Трафик микротика через определенный адрес провайдера
-
- Сообщения: 9
- Зарегистрирован: 30 мар 2020, 22:07
Трафик микротика через определенный адрес провайдера
Добрый вечер! Есть микротик CCR1016-12G с уже обновленной (до обновления 6.44) прошивкой 6.46.4. Провайдер выдает пул адресов. Изначально один из адресов провайдера был назначен микротику как основной для построения gre+ipsec, некоторые адреса были назначены (на тот же интерфейс) для публикации некоторых сервисов. GRE+IPSEC работали устойчиво около года, то есть до перезагрузки микротика, после перезагрузки было обнаружено что на некоторые клиенты (где-то микротик, где-то линукс) от этого микротика запрос для обмена ipsec поступает не от основного адреса микротика, а почему-то от младшего адреса в пуле, который выдает провайдер, соответственно и не работает gre. Возникает вопрос, почему микротик себя так ведет, когда в настройках gre-туннелей явно указан адрес от которого его строить, может с прошивкой что-то не то или какая-то другая проблема. Так же хотелось бы узнать каким образом можно промаркировать трафик(получается самого микротика), в данном случае наверное gre и ipsec, с определенного адреса, который бы указал я. Микротик находится на очень важном направлении и возможности заменить его пока не представляется.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Трафик микротика через определенный адрес провайдера
Добрый.
А правила в Firewall NAT SourceNAT не могут менять адрес с того, который должен быть, на тот, который они хотят?
Посмотрите динамические политики IPSec: они с каким из адресов пытаются работать?
А правила в Firewall NAT SourceNAT не могут менять адрес с того, который должен быть, на тот, который они хотят?
Посмотрите динамические политики IPSec: они с каким из адресов пытаются работать?
-
- Сообщения: 9
- Зарегистрирован: 30 мар 2020, 22:07
-
- Сообщения: 9
- Зарегистрирован: 30 мар 2020, 22:07
Re: Трафик микротика через определенный адрес провайдера
секрет айписек указываю в самом гре и политики она пытается создать с верным сорс-адресом , только почему-то на ответной стороне адрес другой светится. так вот я и хочу жестко например вид трафика гре и айписек отправлять при любом раскладе только через тот адрес, который мне нужен.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Трафик микротика через определенный адрес провайдера
Имею в виду, что правила разного рода могут вносить смуту в исходящие пакеты. Можно, например, первым правилом сделать "если пакет уходит с адреса роутера - не надо менять ему адрес":
Код: Выделить всё
/ip firewall nat
add chain=srcnat src-address-type=local action=accept place-before=0
-
- Сообщения: 9
- Зарегистрирован: 30 мар 2020, 22:07
Re: Трафик микротика через определенный адрес провайдера
в том то и дело, что ван-адресов у роутера несколько, из одного пула, один шлюз. так вот надо сделать так, чтобы микротик отвечал (наверное в этом случае правильно будет ИНИЦИИРОВАЛ соединение) с того адреса который нам необходим (в данном случае для трафика гре+айписек), сейчас он выбирает самый меньший из пула, он висит как pref-src в коннектед маршруте. то есть немного костыльно было сделано, меньший ван-адрес из пула отключили, микротик перегрузили, получили pref-src в коннектед маршруте ван-адрес который нам надо и затем обратно включили меньший ван-адрес , и все работает устойчиво, до следующей перезагрузки... так вот как жестко микротик заставить ходить с адреса, который нам нужен. Может это глюк прошивки какой-нить?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Трафик микротика через определенный адрес провайдера
Вы с правилами NAT разобралась? Или я тут пишу в пустоту?
-
- Сообщения: 9
- Зарегистрирован: 30 мар 2020, 22:07
-
- Сообщения: 9
- Зарегистрирован: 30 мар 2020, 22:07
Re: Трафик микротика через определенный адрес провайдера
Chupaka, Просто не понимаю, что вы имели ввиду под "если пакет уходит с адреса роутера - не надо менять ему адрес". Так и адресов то у роутера несколько, какой из них роутер не должен менять, как он это определяет и как можно ему сказать принудительно использовать тот, который необходим. Но правило нат, которое вы предложили, пробовал, не работает
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Трафик микротика через определенный адрес провайдера
src-address-type=local - это значит, что правило срабатывает на любой адрес, настроенный на роутере.
Ну, если правилом NAT - то action=src-nat to-addresses=нужный_адрес. Но это костыль. Я бы смотрел в первую очередь в IPSec Policies и SAs.
А оно вообще пакеты ловило? А Connection Tracking очищали для нужных соединений? Правила NAT срабатывают только на первый пакет соединения.
-
- Сообщения: 9
- Зарегистрирован: 30 мар 2020, 22:07
-
- Сообщения: 9
- Зарегистрирован: 30 мар 2020, 22:07
Re: Трафик микротика через определенный адрес провайдера
Src-nat пока нет возможности проверить, чуть позже посмотрю. А в чем костыльность этого метода, не совсем понимаю? Просто на данный момент ipsec настраивается непосредственно в настройках гре и пиры и политики создаются после этого автоматически. И так сейчас настроено около 100 гре туннелей и создавать сейчас для каждого свои политики не очень. Или вы имеете ввиду дефолтные значения policies, указать нужный мне src?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Трафик микротика через определенный адрес провайдера
Я имею в виду, в Policy какой src-адрес указан? В динамической.
-
- Сообщения: 9
- Зарегистрирован: 30 мар 2020, 22:07
Re: Трафик микротика через определенный адрес провайдера
В том то и дело, что src тот, который мне нужен, но на ответной стороне запрос прилетает от другого. Вообще не логичная ситуация, но так и есть. Поэтому я хочу сделать так, чтобы гре и айписек в данном случае ходили строго с определенного адреса, только не знаю, как.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Трафик микротика через определенный адрес провайдера
А в Connection Tracking вы это соединение можете найти? Оно там точно без NAT?