AP
Сейчас целиком проблему опишу.
Size: a a a
2019 October 29
VP
У меня эта пчела слово "зачем" уже даже в вербальном плане выкосила. )))
E
У меня эта пчела слово "зачем" уже даже в вербальном плане выкосила. )))
это прекрасно и замечательно :)
ST
Вот у меня и было два правила просто с указанием оут интерфейса, но что то пошло не так.
еще раз напомню старую истину - поля в правиле файрвола(нат, мангл. фильтр) ОТСЕКАЮЩИЕ. Если мы их не указываем то они не проверяются. Поэтому под правило где ничего не указано подпадет ВЕСЬ трафик
W
Добро пожаловать в чат про MikroTik.
Если у тебя есть затруднения с настройкой MikroTik, посмотри здесь, как правильно задавать вопросы:
https://habr.com/ru/post/460221/
Если у тебя есть затруднения с настройкой MikroTik, посмотри здесь, как правильно задавать вопросы:
https://habr.com/ru/post/460221/
VP
это прекрасно и замечательно :)
Угу. Есть матерные, которые прекрасно его заменяют. )
AP
еще раз напомню старую истину - поля в правиле файрвола(нат, мангл. фильтр) ОТСЕКАЮЩИЕ. Если мы их не указываем то они не проверяются. Поэтому под правило где ничего не указано подпадет ВЕСЬ трафик
Был основной интернет (static ip), и к нему LTE как резерв (через рекурсивный маршрут). Также Было три src nat правила - 1) одно для сети 175.0/24 с выходным адресом .18/32, 2) второе для всех остальных сетей с выходным адресом .17/32 и 3) третье правило маскарад для lte просто с out интерфейсом. И все прекрасно работало.
AP
еще раз напомню старую истину - поля в правиле файрвола(нат, мангл. фильтр) ОТСЕКАЮЩИЕ. Если мы их не указываем то они не проверяются. Поэтому под правило где ничего не указано подпадет ВЕСЬ трафик
Случайно ответил на это сообщение - истину помню)
С
а как это коррелирует с натиком? :)
никак, это ответ на предложение Бони проверить хап ац2
E
никак, это ответ на предложение Бони проверить хап ац2
лаааадно :)
AP
В субботу добавили ещё один резервный канал (вместо lte) и что я сделал - добавил правило маскарадинга для нового интерфейса и заменил в маршрутах новый интерфейс вместо lte. Старое правило для lte не трогал.
AP
И с понедельника дичь началась - основной провайдер стал рандомно падать то на 10 сек то на минуту, и так было раз 10-15 за день. При этом переключение на новый резервный интернет успешно происходило но у сети 175.0/24, любые коннекты не уходили в мир.
VP
И с понедельника дичь началась - основной провайдер стал рандомно падать то на 10 сек то на минуту, и так было раз 10-15 за день. При этом переключение на новый резервный интернет успешно происходило но у сети 175.0/24, любые коннекты не уходили в мир.
Ну, если нат жестко прибит к соурсу, то как же оно уйдет.
AP
Сегодня опять было тоже самое, и после того как я полностью отключил правила для wan2 и lte а также выключил маршруты и интерфейсы - больше проблем пока не было. Грешил вчера на провайдера, но был не понятен отвал 175.0/24. Также позвонив провайдеру - тот никаких проблем не видел. Предлагал лишь напрямую подключить ноут и мониторить.
AP
Ну, если нат жестко прибит к соурсу, то как же оно уйдет.
Но там же правило с src и оут интерфейсом. А как я понимаю если текущий маршрут через другой интерфейс то и это правило с src адресом работать не должно.
VP
Но там же правило с src и оут интерфейсом. А как я понимаю если текущий маршрут через другой интерфейс то и это правило с src адресом работать не должно.
Не должно. Но другого-то нет. ) Вот оно и вылетает БЕЗ Ната.
AP
Тобишь у меня правило Которое идёт первое - src=175.0/24 out=wan1, а второе правило просто out=wan2. Соответсвенно Когда дефолт маршрут через wan2 становится активным - любая есть должна спокойно выходить в мир через правило так как предыдущие правила ната не срабатывают из за того что интерфейс другой. Или не так?
V
Никаво нехачю абидидь, но VPN сервер даже на сраном асус N11 работает луждже чем на RB951
V
Ща на миня тут абидядься одмины и начнут удалядь....
V
Некотиколюбы понимаешь.