Всем привет, столкнулся с такой проблемой в настройках, не могу достучаться до микротика из вне, в локалке интернет работает, наты на сервера, рдп и тд. пробрасываются и работают, но к самому микротику болт! Что я делаю не так?)) # nov/15/2016 09:16:28 by RouterOS 6.36.4 add address=192.168.71.0/24 list=LocalNet add address=192.168.72.0/24 list=LocalNet /ip firewall filter #Думал всё дело в этих правилах но нет... add action=accept chain=input dst-address=1.1.1.1 in-interface=ether1 add action=accept chain=input dst-address=2.2.2.2 in-interface=ether2 add action=accept chain=output out-interface=ether1 add action=accept chain=output out-interface=ether2 # add action=accept chain=input comment="Accept ICMP" protocol=icmp add action=accept chain=forward protocol=icmp add action=accept chain=input comment="Accept Established connections" \ connection-state=established add action=accept chain=forward connection-state=established add action=accept chain=input comment="Accept Related connections" \ connection-state=related add action=accept chain=forward connection-state=related add action=drop chain=input comment="Drop Invalid connections" \ connection-state=invalid add action=drop chain=forward connection-state=invalid add action=accept chain=input comment="Accept UDP connections" protocol=udp add action=accept chain=forward protocol=udp add action=accept chain=forward comment="Internet for users" out-interface=\ ether1 src-address=192.168.71.0/24 add action=accept chain=forward out-interface=ether2 src-address=\ 192.168.71.0/24 add action=accept chain=forward out-interface=ether2 src-address=\ 192.168.72.0/24 add action=accept chain=forward out-interface=ether1 src-address=\ 192.168.72.0/24 add action=accept chain=input comment=\ "Accept connect to router from local network" src-address=192.168.71.0/24 add action=accept chain=input src-address=192.168.72.0/24 add action=drop chain=input comment="Drop All" add action=drop chain=forward /ip firewall mangle add action=mark-connection chain=input dst-address=1.1.1.1 \ in-interface=ether1 new-connection-mark="ISP 1 -> Input" passthrough=no add action=mark-routing chain=output connection-mark="ISP 1 -> Input" \ new-routing-mark="ISP 1" passthrough=no add action=mark-connection chain=input dst-address=2.2.2.2 \ in-interface=ether2 new-connection-mark="ISP 2 -> Input" passthrough=no add action=mark-routing chain=output connection-mark="ISP 2 -> Input" \ new-routing-mark="ISP 2" passthrough=no #В адрес листе group1 и group2 у меня указаны конкретные IP адреса которые маршрутизируются add action=mark-routing chain=prerouting comment="Group Users1" dst-address-list=\ !LocalNet new-routing-mark="WAN 1" passthrough=no src-address-list=\ Group1 add action=mark-routing chain=prerouting comment="Group Users2" dst-address-list=\ !LocalNet new-routing-mark="WAN 2" passthrough=no src-address-list=\ Group2 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=masquerade chain=srcnat out-interface=ether2 /ip route add distance=1 gateway=ISP1_GW routing-mark="ISP 1" add distance=1 gateway=ISP2_GW routing-mark="ISP 2" add check-gateway=arp distance=10 gateway=ISP1_GW routing-mark=\ "WAN 1" add check-gateway=arp distance=11 gateway=ISP2_GW routing-mark=\ "WAN 1" add check-gateway=arp distance=10 gateway=ISP2_GW routing-mark=\ "WAN 2" add check-gateway=arp distance=11 gateway=ISP1_GW routing-mark=\ "WAN 2" #Netwatch add distance=1 dst-address=8.8.4.4/32 gateway=ISP2_GW add distance=1 dst-address=8.8.8.8/32 gateway=ISP1_GW
Уж сколько раз твердили миру, что должен быть хотя бы один маршрут на 0.0.0.0/0 немаркированный. Пусть вообще в странное место ведет (например в LAN), но он должен быть. Прикладываю диаграмму обработки трафика Обратите внимание на выход из Local Process. Чтобы пакет попал в Output, сначала надо пройти решение об маршрутизации. И там еще нет маркировок. А вот в Output Routing Adjustment уже будут учтены маркировки. Ваш роутер получив пакет в Input не может ответить, потому что на Routing Decision получает что такого маршрута нет.
Должно быть заведомо большая дистанция от ваших основных маршрутов, и на любой интерфейс с состоянием Runnig ip route dst-adddress=0.0.0.0/0 add distance=30 gateway=bridge
книжки нет, есть курсы по трафик контролу https://spw.ru/educate/programms/mtctce/ - советую очень полезный.
Спасибо за приглашение в Питер, был правда 1 раз, понравилось. Мне задачку подкинули хорошую lte l2tp и еще спутник хотят и что б на спутник можно было самому включаться и смс слал если авария. Курс наверное как раз для меня))) а книжечки курсовые табу!