А с маркировками есть прикольная детская (потому короткая и бьет больнее) грабелька в output. Дело в том, что для того, чтобы пакет попал в output и мог быть отмаркирован в mangle надо иметь хотя бы один немаркированный маршрут в который этот пакет попадает.

Получается нат только один?

А в нем разные правила

Т.е. там работа идет так CPU->Routing Decision (а тут еще нет маркировки) и если пакет есть куда отправлять то Mangle-output -> Routing Ajastment (изменение маршрута)

А в нем разные правила

https://spw.ru/solutions/natpart1/ https://spw.ru/solutions/natpart2/ https://spw.ru/solutions/natpart3/ https://spw.ru/solutions/natpart4/ https://spw.ru/solutions/natpart5/ читать до просветления. Знаю что в 5й части ошибка, никак не соберусь исправить.

Пссс, тут убиквитоводов нет?

Оригинальный вопрос в группе по микротику. Лучше звучал бы "тут балерин нету?"

https://spw.ru/solutions/natpart1/ https://spw.ru/solutions/natpart2/ https://spw.ru/solutions/natpart3/ https://spw.ru/solutions/natpart4/ https://spw.ru/solutions/natpart5/ читать до просветления. Знаю что в 5й части ошибка, никак не соберусь исправить.

Что такое нат я представляю

Тогда что значит "NAT только один"?

Алгоритм его работы знаю поверхностно но этого достаточно

Тимур, я с трудом представляю понятие "поверхностного знания алгоритма". Это все равно что "поверхностное знание таблицы умножения".

Тогда что значит "NAT только один"?

Это значит что я не понимаю как создать правила для двух провайдеров следовательно доя двух натов

У вас проблема в том, что src-nat срабатывает ПОСЛЕ МАРШРУТИЗАЦИИ.

Т.е. вам надо написать 2 стандартных маскарада. Но правильно направить трафик. А это уже не NAT а роутинг

Тимур, я с трудом представляю понятие "поверхностного знания алгоритма". Это все равно что "поверхностное знание таблицы умножения".

Дуглас Камер подробно описал алгоритмы работы всех основных сетевых протоколов, наверняка эти алгоритмы есть и в RFC

Повторюсь, ваша задача это в первую очередь роутинг.

Т.е. вам надо написать 2 стандартных маскарада. Но правильно направить трафик. А это уже не NAT а роутинг

А как тогда транслировать алреса

/ip firewall nat add chain=srcnat out-interface=WAN1 action=masquerade add chain=srcnat out-interface=WAN2 action=masquerade

А вот чтобы пакет пошел на WAN1 или на WAN2 его надо смаршрутизировать

Так понятно?

Не совсем

А если создавать dstnat?

Вас интересует ромбик сверху с надписью. Routing Decision. Именно он определяет через какой интерфейс (на какой шлюз) пойдет пакет.

src-nat не меняет интерфейс!!!

Этот файрвол аналог iptables?

Или это он и есть?

Скажем так, на его базе, да.

Тогда как реализовать простейший алгоритм

Создать нат

И 2 правила

За натом

И под натом

Я не понимаю вопроса. Для меня непонятны слова "под натом" и "за натом".

Нат это просто алгоритм который транслирует адреса

Переводит один адрес в другой

Не алгоритм а технология. Да переводит

С одной стороны будут мои адреса с другой адрес провайдера

По середине будет нат

Хорошо.

Провайдеров два. Так?

Да

Хотя бы с одним разобраться

Так вам надо сначала добиться чтобы нужные пакеты пошли к нужному провайдеру.

А для NAT достаточно тех двух правил, которые я написал

Я так понимаю srcnat это то что за натом?

Т.е. примерно так /ip firewall mangle add chain=prerouting (условия отбора) action=mark-routing new-mark=ISP1 /ip firewall mangle add chain=prerouting (условия отбора) action=mark-routing new-mark=ISP2 /ip route add gateway=1.1.1.1 routing-mark=ISP1 add gateway=2.2.2.2 routeing-mark=ISP2

А вот после этого можно повесить маскарад, для предобрадования адресов во внешние. /ip firewall nat add chain=srcnat out-interface=WAN1 action=masquerade add chain=srcnat out-interface=WAN2 action=masquerade

...и хорошо бы чтобы оно еще не на всё подряд маскарадило)

У меня корректно все )))

А то я долго не мог понять чо у меня в гре трубу не улетает

Обычно когда маскарадит все подрят, начинают с вытаскивания своего почтовика из спам-листов)

хотя вру, там не гре был, а просто айписец без всего, голый

и там как раз были эти публичные адреса

мерзкий способ делать л3 туннели ппц

фуфу

Ребят, подскажите, RB3011UiAS-RM стоящая железка? Или есть подводные камни? Вроде как первая и единственная на AMR пока что.

Запросы такие когда хочется Core, но бюджет не позволяет.

Вполне приличная.

А аппаратное шифрование они так и не доделали там?

Почему? AES256 шифрует

Т.е. примерно так /ip firewall mangle add chain=prerouting (условия отбора) action=mark-routing new-mark=ISP1 /ip firewall mangle add chain=prerouting (условия отбора) action=mark-routing new-mark=ISP2 /ip route add gateway=1.1.1.1 routing-mark=ISP1 add gateway=2.2.2.2 routeing-mark=ISP2

Не совсем понимаю

И есть ещё 1100 роутер.

В ip addresses повесили адрес на сфп интерфейс провайдера который он выдал

Почему? AES256 шифрует

Именно на аппаратном модуле процессора?

Далее я так понимаю надо маркировать пакеты

ERROR: S client not available

Вопрос нужно ди указывать интерфейсы в mangle prerouting chain

И есть ещё 1100 роутер.

Ну у того мощи поменьше будет, зато аппаратное шифрование вроде точно есть.

Вопрос нужно ди указывать интерфейсы в mangle prerouting chain

Я откуда знаю? Это вы выбираете какие пакеты пойдут этим маршрутом.

Именно на аппаратном модуле процессора?

Да

Ну у того мощи поменьше будет, зато аппаратное шифрование вроде точно есть.

Мощи побольше. И байпас.

Илья, со шлюзами не очень понял

Обычный маршрут 0.0.0.0/0 но сиаркировкой

С маркировкой

Это значит любой адрес пойдёт через этот интерфейс?

И будет промаркирован?

Или будет проходит через этот интерфейс только промаркированный пакет?

Мощи побольше. И байпас.

2x1.4 GHz против 2x1.066 GHz у RB1100AHx2. И стоит он поболее чем в 2 раза больше.

Да

На первых версиях вроде не было аппаратного шифрования, судя по обзорам. Они прошивку допилили или аппаратно добавили чего то там?

Илья, нет такого параметра new-mark

Есть только new-routin-mark

И new-packet-mark

Не совсем понимаю как можно маркировать роутинг

Илья, со шлюзами не очень понял

Просто маршрут 0.0.0.0/0 с нужным шлюзом и маркировкой

Просто маршрут 0.0.0.0/0 с нужным шлюзом и маркировкой

Шлюзом будет порт провайдера?

Вам провайдер default-gateway дал?

Нет

Только айпи с маской

Тогда обычно первый адрес в диапазоне - шлюз

Как указать какие интерфейсы будут использовать нат а какие нет?

NAT

out-interface в правиле. Вообще я вам накидал базу из 6 правил вокруг которых все крутится.

Далее сами )

А я спать ))

Стойте))))))

Один вопрос можно?

Аут интерфейс это провайдер

Ин это локалка