ip firewall nat action=same [РЕШЕНО]

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

ip firewall nat action=same [РЕШЕНО]

Сообщение Sir_Prikol »

Доброго времени суток

Имеем следующую конфигурацию
Аплинк к магистралу, по BGP забираю /24 сеть (фулл вью)
Имеется ещё второй аплинк, забираю по pppoe
Задача, на поределённые подсети отправить через pppoe соединение.
Всё работает кроме одного

Когда я ставлю вместо маскардинга правило same to-addresses=моя _белая_сеть/24, маршрут перестаёт бегать в сторону pppoe

mangle

Код: Выделить всё

 chain=prerouting action=mark-routing new-routing-mark=Smotreshka passthrough=yes dst-address-list=Smotreshka log=no log-prefix=""
route

Код: Выделить всё

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  ;;; Smotreshka
        0.0.0.0/0          95.79.32.44     pppoe-ISP03               1
 1 X S  ;;; Smotreshka
        37.18.127.0/24                     pppoe-ISP03               1
 2 X S  ;;; Smotreshka
        95.163.68.48/28                    pppoe-ISP03               1
 3 X S  ;;; Smotreshka
        185.198.112.0/22                   pppoe-ISP03               1
P.S. (куда на пиво засылать, с chap challenge направление было правильным)
Последний раз редактировалось Sir_Prikol 20 апр 2019, 09:35, всего редактировалось 1 раз.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ip firewall nat action=same

Сообщение Chupaka »

Доброго.

Эм-м-м... А по PPPoE провайдер сделал исключение и разрешил каким-то левым чужим адресам бегать через него? Или это специальный PPPoE, в котором ваши адреса разрешены в качестве исходящих?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ip firewall nat action=same

Сообщение Chupaka »

Маскарадинг меняется только в правиле для данного PPPoE? Там же не общее правило?
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: ip firewall nat action=same

Сообщение Sir_Prikol »

Chupaka писал(а): 18 апр 2019, 21:09 Доброго.

Эм-м-м... А по PPPoE провайдер сделал исключение и разрешил каким-то левым чужим адресам бегать через него? Или это специальный PPPoE, в котором ваши адреса разрешены в качестве исходящих?
Как раз эта pppoe для телевидения, провайдер знает, там свой белый IP и маскарадится в него. Туда юзеры должны выходить с ip от pppoe-шки, а в мир через same
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: ip firewall nat action=same

Сообщение Sir_Prikol »

Chupaka писал(а): 18 апр 2019, 21:10 Маскарадинг меняется только в правиле для данного PPPoE? Там же не общее правило?

nat
CLIENT_15 (это биллинг, тарифные планы)
100.64.0.0/10 - служебная
10.0.0.0/10 - клиенты pppoe
193.238.44.0/24 - белая сеть

В такой конфе поворот в pppoe работает, но в мир выходит со служебного адреса пиринга BGP
Соответственно, нужно изменить правила и выходить в мир через свою белую сеть (самый оптимальный вариант испоользовать same, так как src-nat 1:1 не попадает, всего 254 ip нормально не разделить на 1100 абонов, можно нарезать клиентскую сеть и сделать 1:30, но то-же не вариант

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=\
    10.0.0.0/10 to-addresses=10.0.0.1 to-ports=53
add action=dst-nat chain=dstnat dst-address=193.238.44.30 to-addresses=\
    100.64.0.50
add action=dst-nat chain=dstnat dst-address=193.238.44.11 to-addresses=\
    100.64.0.246
add action=dst-nat chain=dstnat dst-address=193.238.44.12 to-addresses=\
    100.64.0.248
add action=masquerade chain=srcnat disabled=yes src-address=10.0.0.0/8
add action=masquerade chain=srcnat comment="Our network" log-prefix=123 \
    src-address=100.64.0.0/10
add action=masquerade chain=srcnat comment=DHCP_users log-prefix=dhcp \
    src-address=10.64.0.0/24
add action=masquerade chain=srcnat comment="ABillS Masquerade CUSTOM" \
    src-address=!193.238.44.0/24 src-address-list=CUSTOM_SPEED to-addresses=\
    193.238.44.100-193.238.44.254
add action=masquerade chain=srcnat comment="ABillS Masquerade TP_15" \
    src-address=!193.238.44.0/24 src-address-list=CLIENTS_15 to-addresses=\
    193.238.44.100-193.238.44.254
add action=masquerade chain=srcnat comment="ABillS Masquerade TP_16" \
    src-address=!193.238.44.0/24 src-address-list=CLIENTS_16 to-addresses=\
    193.238.44.100-193.238.44.254
Опачки, вот и глюк нарисовался в коде, в винбоксе такого нет
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ip firewall nat action=same

Сообщение Chupaka »

Какой глюк? Чего нет в винбоксе?

Добавьте вверху правило chain=srcnat out-interface=pppoe action=masquerade, а ниже уже делайте same для основного канала.
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: ip firewall nat action=same [РЕШЕНО]

Сообщение Sir_Prikol »

Спасибо, заработало!

Правда есть другая проблема, которую я так и не смог решить. Микротик ни в какую не хочет менять MTU
Выставляю правило в манглах

Код: Выделить всё

 chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp in-interface-list=WAN-pppoe tcp-mss=1280-65535 log=no 
      log-prefix="pppoe1" 

 5    chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface-list=WAN-pppoe tcp-mss=1280-65535 log=no 
      log-prefix="pppoe3" 
Но оно упорно не понижает значение MTU, при этом, если я принудительно на компе понижу MTU до приемлемого уровня, сайты открываются

При этом может сутки работать нормально (имеется ввиду сам микротик), а потом ни с того ни с сего, перестаёт пропускать
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ip firewall nat action=same [РЕШЕНО]

Сообщение Chupaka »

А вместо clamp-to-pmtu пробовали выставить фиксированное значение? Или по какой-то причине не подходит? А то мало ли провайдер периодически блокирует pmtu discovery ненароком...
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: ip firewall nat action=same [РЕШЕНО]

Сообщение Sir_Prikol »

не-а, не отрабатывает, только принудительное понижение mtu на хост-машине даёт возможность ходить везде. на роутере не срабатывает на всю локалку
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ip firewall nat action=same [РЕШЕНО]

Сообщение Chupaka »

Не отрабатывает правило? Т.е. счётчик перестаёт увеличиваться?
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: ip firewall nat action=same [РЕШЕНО]

Сообщение Sir_Prikol »

Счётчик увеличивается в любом случае, передёргивание pppoe сессии не даёт ничего, перезапуск рутера даёт рандомный эффект от 2-х часов до суток.

Причём это уже не от прова зависит, так как такая шляпа на разных провайдерах, плюс мту работает и на выключенных правилах, до определённого момента. Вот момент отключения работы понижения мту - я пока не отследил
Дома: CCR2004 (7-ISP(GPON)белый IP)