Noka
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Внутренний DNS сервер и доступ к нему из 2 провайдеров Имеем 2 независимых провайдера интернет: orgus_lan dlm_net_realip И локальную сеть: noka_lan Внутренний DNS на IP 172.22.63.18 [noka@MikroTik] > ip address export /ip address add address=213.135.125.93/29 broadcast=213.135.125.95 comment=orgus_lan \ disabled=no interface=orgus_lan network=213.135.125.88 add address=95.129.235.10/30 broadcast=95.129.235.11 comment=dlm_net_realip \ disabled=no interface=dlm_net_realip network=95.129.235.8 add address=172.22.63.24/28 broadcast=172.22.63.31 comment=noka_lan disabled=\ no interface=noka_lan network=172.22.63.16 Пробрасываю порты на внутренний DNS: [noka@MikroTik] > ip firewall nat export /ip firewall nat add action=masquerade chain=srcnat comment="" disabled=no out-interface=orgus_lan add action=masquerade chain=srcnat comment="" disabled=no out-interface=dlm_net_realip add action=dst-nat chain=dstnat comment="" disabled=no dst-address=213.135.125.93 dst-port=53 protocol=udp to-addresses=172.22.63.18 to-ports=53 add action=dst-nat chain=dstnat comment="" disabled=no dst-address=213.135.125.93 dst-port=53 protocol=tcp to-addresses=172.22.63.18 to-ports=53 add action=dst-nat chain=dstnat comment="" disabled=no dst-address=95.129.235.10 dst-port=53 protocol=udp to-addresses=172.22.63.18 to-ports=53 add action=dst-nat chain=dstnat comment="" disabled=no dst-address=95.129.235.10 dst-port=53 protocol=tcp to-addresses=172.22.63.18 to-ports=53 Все исходящие соединения идут через шлюз указанный по умолчанию: [noka@MikroTik] >> ip route export /ip route add comment=!!! disabled=no distance=1 dst-address=0.0.0.0/0 gateway=213.135.125.94 scope=255 target-scope=10 add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=95.129.235.9 routing-mark=dlm_net_realip-route scope=255 target-scope=10 Задача: Метить входяще соединения по интерфейсам, и исходяшие роутить обратно через теже интерфейсы Поискал по теме, и другим форумам, предполагаю 2 решения: 1) нужно маркировать вошедшие пакеты на порт 53 и исходя из их соурса ответы слать с соответсвующего адреса 2) надо метить сессии, т.е. если сессия пришла с определенного интерфейса, метками маршрутизации выводить её обратно через тот же интерфейс Добавил правила: [noka@MikroTik] > ip firewall mangle export /ip firewall mangle add action=mark-connection chain=input comment="" disabled=no in-interface=dlm_net_realip new-connection-mark=dlm_net_realip-conn passthrough=yes add action=mark-routing chain=output comment="" connection-mark=dlm_net_realip-conn disabled=no new-routing-mark=dlm_net_realip-route passthrough=no В итоге при падении и не доступности шлюза по умолчанию 213.135.125.94 (orgus_lan), интерфейс 95.129.235.10 (dlm_net_realip) виден в интернет. Но это не помогло решить задачу. При падении шлюза 213.135.125.94 (orgus_lan), пакеты приходящие на 95.129.235.10 (dlm_net_realip) port 53, форвардятся на IP 172.22.63.18 port 53 а в ответ идут не на шлюз 95.129.235.9 (dlm_net_realip), а на шлюз по умолчанию 213.135.125.94 (orgus_lan) Подскажите как правильно пометить пакеты, чтобы можно было в ответе завернуть их на нужный шлюз. |