сразу марк-роутинг?

Пардон, нет

Под оба эти шлюза должны быть таблицы маршрутизации. Какой дефолт у Вас в мейн?

у меня в мэйне старый шлюз

а новый в таблице route_new

Ок. Тогда Вам, по сути, нужен один мангл, который будет ловить адреса на новый айпишнег. Сервак висит за каким езернетом? Или бриждом?

за бриджом bridge-web

мангл: чейн=прероутинг коннекшн-марк=test-conn-mark ин-интерфейс=bridge-web экшн=марк-роутинг нью-роутинг-марк=route_new

Собсно, всё

красиво

я был близок, не указал ин-интерфейс)

У МТ вообще полиси роутинг красиво сделан

я был близок, не указал ин-интерфейс)

Очень распространённая ошибка

а лучше указывать не локальный интерфейс

а !=wan

не каждый день такие петли закрычиваю) забыл) спасибо за напоминание, это MTCTCE)))

Тоже вариант )

Нет, это MTCRE

мэнглы - это MTCTCE )

а !=wan

ещё можно собрать список локальных интерфейсов

А полиси-роутинг — это MTCRE )

да, тоже вариант, в интерфейс лист

согласен)

Крайне удобная фича

в 6.40 дефолт конфиг сделали грамотным, обратили внимание?

Жду с нетерпением релиза .41. Там очень круто можно будет с вланами на бридже работать.

в 6.40 дефолт конфиг сделали грамотным, обратили внимание?

В плане фаера? да

и фаера и интерфейс-листов WAN/LAN

Да, видел. А ещё там фаервол на ип6 написали полноценный

я был близок, не указал ин-интерфейс)

еще и no-mark не указал в первом правиле))

мт в выводе умеет сумаризировать роуты?

а, кстати

все равно не работает

мт в выводе умеет сумаризировать роуты?

Поясните

создаю роут-правило - работает

пакеты идут

А у Вас в нате, случаем, не маскарадинг?

Поясните

ну есть например куча куча сеток, он каждую показывает отдельным роутом. а не мог ли он их суммаризировать и показать например одной 24 сеткой, один ж хрен он за ними за всеми на 1 ровтер пойдет

Нет, в выводе — не будет. В ОСПФе, при необходимости, сделает. Но это если попросим

4х/26 не равно 1х/24

Потому что это мор специфик

А у Вас в нате, случаем, не маскарадинг?

@tarikin

4х/26 не равно 1х/24

если они все за одним роутером - почему нет?

add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address=x.x.x.x dst-port=80 new-connection-mark=test-conn-mark passthrough=no protocol=tcp add action=mark-routing chain=prerouting connection-mark=test-conn-mark in-interface=bridge-web new-routing-mark=NEW_ROUTE passthrough=no

Потому что это всё равно мор специфик, чем /24

нет, именно срс-нат

пакеты бегут по правилам

Хотя, на это у нас пофиг

У нас же естаблишед не натится

Какой сервис? давайте проверю

Какой сервис? давайте проверю

мне? каким образом?

Это же что-то на внешних ипах? Посмотрю доступность с первого и второго адреса

причем если соаздать

/ip route rule

src-address=x.x.x.x/24 action=lookup table=NEW_ROUTE

коннект удается

по новому адресу

куда копать? torch? где пакеты дебагать-ловить? postroute?

Щас подумаю

src-address=x.x.x.x/24 action=lookup table=NEW_ROUTE

х.х.х.х — это кто?

new ip

на старом ip все работает

Кстати, это правило не повредит совсем. Его можно оставлять. А ещё можно в новом маршруте прописать Pref.Source

прописано

ERROR: S client not available

Новый адрес там?

да

а. стоп

да

Тогда сделайте построутинг на аут-интерфейс по коннекшн-марке ЛОГ

запутал немного

И посмотрите, с каким сурсом обратно пакеты летят

х.х.х.х — это кто?

это серый ip адрес веб сервера

add ch=postrouting connection-mark=new-address out-interface=WAN action=log

сервер отвечает исключительно с нового адреса как и ожадалось

Вот да

И правила сорс-ната дайте, плз

На всякий случай )

add action=src-nat chain=srcnat out-interface=ether1-WAN src-address=192.168.146.254 to-addresses=x.x.x.x

но сорснат же работает когда вебсервер инициирует коннекшн

а не браузер

Так, ладно, это фиг с ним. Да

add ch=postrouting connection-mark=new-address out-interface=WAN action=log

Вот это сделайте

кстати пасстру должны стоять на обоих правилах мэнгл-то?

или они не мешают друг другу?

подскажите в правилах queues приоритет у каких правил выше ?

те у которых номер меньше или больше?

подскажите в правилах queues приоритет у каких правил выше ?

которые выше стоять - те первые отрабатывают

марк-коннекшн -> марк роут -> log

всем пасстру?

которые выше стоять - те первые отрабатывают

Построут с прероутом не пересекается. В пре — они непасстру. В пост они всё равно прилетят

те у которых номер меньше или больше?

Нумерация начинается с нуля. Ноль=верх

тоно

Проверка — сверху вниз, по порядку. Приоритетов в простых очередях (отдельно стоящих, не подвязанных к родителю) нет. С кем совпал — тот и молодец

Нумерация начинается с нуля. Ноль=верх

а если у меня первое правило задет на подсеть 192,168,0,0/24 ограничение в 25 мб а последующие на каждый отдельный ip в этой сети по 1 мб выше 25мб скорость на все ip в сети не будет?

Вы настройте одну очередь и PCQ. Если у вас ип совпал с верхней /24 подсеткой — он дальше не пойдёт