TOXКак видите, нетмап должен делаться всегда в паре. Одно правило туда и одно обратно.

Также, можно попробовать redirect


В микротике вороде для такого есть функция jump, но как ей пользоваться не понял, а мануалов не нашёл даже близких к моей задаче

Это не то. Это условный переход, грубо говоря. Позволяет пропустить выполнение каких-то операций или вообще перейти к другому типу обработки пакета. По окончанию обработки, можно вернуться и продолжить работу с помощью команды return

frontv
Я обязательно попробую, вот только не сегодня скорее всего,.... а уже сегодня
Добавление от 02.11.2013 03:54:

попробовал.... не вышло, и в микротике слетели настройки-надо было спать!

Проблему решил, все дело было в модеме, точнее в провайдере-переключил модем в gsm 3g стандарт, (он двухстандартный) естественно сменился провайдер и все заработало побежало. Осталось выяснить почему на хочет от cdma evdo работать ???

Джамаль

Спасибо, за отклик!

Начну с той железки, где всё хорошо.

А это правила с железки на которой проблема

Джамаль сорри что туплю, а почему просто не маскарадить вывод с микротика на тот комп? Тогда комп будет общаться с микротиком без роутера своего. Что я упустил в таком подходе? Просто интересно для общего развития.

Не работает hairpin nat, или работает, но я не улавливаю какого-то нюанса.

При таком раскладе, если заходить снаружи, то все ок, а если заходить внутри сети по внешнему IP:80, то кидает на webfig тика. Где я не доглядел?

erazel
а почему просто не маскарадить вывод с микротика на тот комп? Тогда комп будет общаться с микротиком без роутера своего

Так ведь компы в разных сегментах и разных подсетях. А при маскараде и NAT меняется только один адрес в пакете, и сервер получает запрос, инициатор которого указан из другой подсети, куда маршрут неправильный. Поэтому, надо менять оба адреса - и отправителя, и получателя.

Несколько уточнений, вопросов.
Имеем домашнюю сеть в отдельно взятой квартире (NAS, медиаплееры, компьютеры, телефоны, принтсервер). 2 провайдера (ростелеком, мтс). В качестве роутера куплен rb951g-2hnd - каналы соответственно 50мбит и 40-80 мбит. Настроил балансировку 50/50, UPNP для торрента, замаскарадил внутреннюю сеть.
1. Трафик внутри сети (гигабитные линки NAS, стационарные компьютеры, подключенные к портам роутера) создает нагрузку - решение выделение гигабитного коммутатора (свитча) для внутренних нужд в отдельное устройство (планируется)и аплинк в роутер для внешних ресурсов, это правильное решение!? Жрет до 25% ресурсов CPU.
2. dns сервис жрет кучу ресурсов - решение дроп udp пакетов с внешек. Загрузка гораздо меньше - причем флудит (может неправильное слово) провайдер мтс. Есть такие у него проблемы?
3. балансировка 50/50 при нагрузке в первую очередь нагружается интерфейс на ether1 потом на ether2 в не зависимости от правил роутинга (гейты на провайдером меняем местами), привязку провайдеров по разным портам пока не пробовал менять (pppoe на обоих). Это нормально? Или где то, что то, не так настроено. Нагружал торрентами - потихоньку съедает полосу пропускания от двух провайдеров, но опять же сначала нагружаем одного потом другого.
4. загрузка в максимуме (CPU разогнан дефолт средствами до 700 мгц), то есть 130 мбит нагружает до 90-95% (при отсутствии внутренней сетевой активности и wifi). Вариант убить в торрентах uTP (уменьшим pps - не факт, что получим быстрый торрент)
Итог железка при данных условиях работает почти в 100% нагрузку, правил файрволла 2 - дропать dns, в мангле помечать пакеты: откуда пришел - туда ушел. При увеличении пропускной способности каналов- 951 не справится или мои кривые руки?

У вас бридж? Ну поставьте локальные порты слевами к одному из них, тогда оно станет апартным свитчем. Процесор грузить не будет.да, есть такое, ДНС нужно отрезать из-вне.как именно вы настраивали балансировку? по какому принципу?

erazel
У вас бридж? Ну поставьте локальные порты слевами к одному из них, тогда оно станет апартным свитчем. Процесор грузить не будет
Проще наверное будет поставить коммутатор с аплинком, пните если не прав, что пакеты так или иначе будут грузить даже по минимуму CPU. Есть момент, мб будет смысл поставить на некоторых ether портах QOS, то есть свитч (типа аппаратный) не совсем будет правильный. Набирается статистика.


да, есть такое, ДНС нужно отрезать из-вне.
Статистика за 2 часа 135К пакетов у мтс против 2 у ростелекома!

балансировка безумно простая, не замарачивался по изменению канала у мтс 40-80
add distance=1 gateway=rt_inet routing-mark=rt_wan
add distance=1 gateway=mts_inet routing-mark=mts_wan
add distance=1 gateway=rt_inet,mts_inet


До этого был 1043nd от TPLINK на dd-wrt. Правда один провайдер - загрузка на нем выше 30 % не поднималась никогда.

Исправлено: com2com, 02.11.2013 22:31

Парни, не ужели и у Вас нет идей? Или с ip tunnel никто не заморачивался никогда.

Хотя бы гипотетическое предположение...

ip tunel это где? Что-то я не встречал такого
А так похоже что кто-то режень new конекшены, но вроде ничего такого нет в вашем експорте.

Да в принципе не суть, очередная технология туннелирования.

Интересен момент такой, что маршрут на обоих девайсах правильный... ибо пакеты хотят с одной подсети.

А вот почему в тунеле подставляется внешний адрес???

На принтскрине хорошо видно.

На принтскрине не видно . А вот на скрине из Wireshark будет видно . Так что если не затруднит то заснифьте трафик в файл и откройте вайршарком. Но трафик снифьте не на ВАНе а в тунеле.

ОК.

Был запущен пинг с "проблемного" микротика (подсеть 10.0/24) непосредственно. Пинговал шлюз в сети 3.0/24.

скрин не прицепился...


И на встречу был запущен пинг из 3.0/24(со шлюза) пинговал принтер в сети 10.0/24. Как видите, в одну сторону всё ок... в другую ... ((

скрин

chipap
Ната нет, всё заворачивается роутингом.

/ip firewall nat
add action.......

А говорили, нет ната . Разберитесь с этим. Особенно с правилом номер 2 - оно вам как раз и портит жизнь, бо в нём не указано, что транслировать надо только пакеты, уходящие в интернет.

И помните: правила трансляции тоже оцениваются сверху вниз, как и фильтрация.

Джамаль, СПАСИБО!!!


и всё заработало.

Я перестал думать в сторону ната вообще, когда полностью его вырубил. Пинги не пошли и я его исключил.

Теперь указав аут.интерфейс, я выключаю правило, перезапускаю пинги, и всё работает.

Буду знать теперь


Спасибо, всем кто участвовал!!! Спасибо!

Ну руборде человек поделился материалом по РОЕ на микротиках - http://arxont.blogspot.ru/2013/11/faq-poe-power-over…net-mikrotik.html
Ну и хотя пятница давно минула но вот "псевдографика для поднятия настроения при работе с терминалом" от того же автора

Друзья, а в разделе DHCP сервера в разделе Leases кирилицу можно заставить показывать?
Так же в разделе подключенных вай-фай клиентов можно кроме MAC выводить имя хоста?

Исправлено: Kryukov Rostislav, 03.11.2013 17:03

Kryukov Rostislav

Кириллицу - не получится, по всей видимости.

А в WiFi-клиентах не может быть имени хоста - оно же на более высоком уровне находится, чем WiFi. Можно только посоветовать разработчикам в вишлист добавить подобную вещь