MiktoTik - Два провайдера - распределение по каналам

После добавления в нашу тестовую конфигурацию второго провайдера появилась проблема ответа определенных сервисов по нужному каналу, если обращаться к ним из вне через NAT.


На пример веб сервер, выведенный через NAT на IP адрес первого провайдера получает запрос, а вот вероятность того, что ответ пойдет по нужному каналу уже не 100%. Какой же он после этого веб сервер?

Решить эту проблему нам поможет механизм маркировки пакетов.

Таблица MANGLE предназначена для операций по классификации и маркировке пакетов и соединений, а также модификации заголовков пакетов. В частности нас интересует цепочка PREROUTING, которая позволяет маркировать пакет до маршрутизации.

Попробуем разобраться с веб сервером.

Допустим у нас настроен NAT 80 порта с внешнего IP 192.168.1.116 (ISP1, первый провайдер) на 80 порт веб сервера в локальной сети и необходимо гарантировать, что все ответы, которые буду идти от веб сервера попадали на шлюз первого провайдера.

Вот правило для таблицы NAT.

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT 80 port from ISP1 to local web server"

[mkt@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat action=masquerade out-interface=!LOCAL

1   ;;; NAT 80 port from ISP1 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.1.116 dst-port=80

Первым шагом создадим правило в таблице MANGLE.

[mkt@MikroTik] > ip firewall mangle add chain=prerouting  src-address=192.168.0.2
protocol=tcp src-port=80 action=mark-routing new-routing-mark=to-isp1

[mkt@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=prerouting action=add-src-to-address-list protocol=tcp
address-list=test_list address-list-timeout=0s dst-port=23

1   chain=prerouting action=mark-routing new-routing-mark=to-isp1
passthrough=yes protocol=tcp src-address=192.168.0.2 src-port=80

Пакеты с локального адреса 192.168.0.2 с 80 порта буду маркироваться как to-isp1.

Вторым шагом добавим правило в таблицу маршрутизации.

[mkt@MikroTik] > ip route add gateway=192.168.1.249 routing-mark=to-isp1

[mkt@MikroTik] > ip route print      
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.249 r... 1
1 A S  0.0.0.0/0                          192.168.1.249 r... 1
                                        192.168.1.249 r...
                                        192.168.222.1 r...
2 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
3 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
4 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

Все что приходит с маркером to-isp1 отправляется на шлюз первого провайдера.

Теперь усложним ситуацию, допустим второй провайдер предоставят на выгодных условиях большую локальную сеть по всему городу и через эту сеть объединены все 10 филиалов вашей фирмы. Все филиалы и офис пользуются тем же сайтом, но какой смысл ходить на него через первого провайдера, когда можно настроить доступ к нему практически локально.

В первую очередь добавляем правило в таблицу NAT, по которому все запросы, пришедшие на внешний IP адрес, который предоставляет 2-ой провайдер, на 80 порт будут переадресовываться на 80 порт локального веб сервера.

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.222.100
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT 80 port from ISP2 to local web server"

[mkt@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat action=masquerade out-interface=!LOCAL

1   ;;; NAT 80 port from ISP1 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.1.116 dst-port=80

2   ;;; NAT 80 port from ISP2 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.222.100 dst-port=80

Следующим шагом добавим в таблицу MANGLE еще одно правило:

[mkt@MikroTik] > ip firewall mangle add chain=prerouting src-address=192.168.0.2
protocol=tcp src-port=80 dst-address=192.168.222.0/24 action=mark-routing
new-routing-mark=to-isp2

[mkt@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=prerouting action=add-src-to-address-list protocol=tcp
address-list=test_list address-list-timeout=0s dst-port=23

1   chain=prerouting action=mark-routing new-routing-mark=to-isp2
passthrough=yes protocol=tcp src-address=192.168.0.2
dst-address=192.168.222.0/24 src-port=80

2   chain=prerouting action=mark-routing new-routing-mark=to-isp1
passthrough=yes protocol=tcp src-address=192.168.0.2 src-port=80 

Пакеты с локального адреса 192.168.0.2 с 80 порта буду маркироваться как to-isp2 если они предназначены для подсети второго провайдера.

Ну и в заключении правило в таблице маршрутизации:

[mkt@MikroTik] > ip route add gateway=192.168.222.1 routing-mark=to-isp2

[mkt@MikroTik] > ip route print      
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.249 r... 1
1 A S  0.0.0.0/0                          192.168.222.1 r... 1
2 A S  0.0.0.0/0                          192.168.1.249 r... 1
                                        192.168.1.249 r...
                                        192.168.222.1 r...
3 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
4 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
5 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

Теперь на запросы, пришедшие со стороны первого провайдера, ответ пойдет на шлюз первого провайдера, а на запросы со стороны второго провайдера и из подсети второго провайдера ответ пойдет на шлюз второго провайдера.

Comments: 40

Анонимный
  
Отлично! Спасибо за труд! Хотелось бы поподробнее про QOS а конкретнее про приоритезацию трафика по типам-чтобы при включенном торренте открывались хтмл-страницы без тормозов.Заранее благодарен!
Анонимный
  
С фильтрами QOS будут примеры?
Sergey Lagovskiy
  
Будут, надо время найти, что бы написать.
Анонимный
  
А как можно поднять 2 РРРое на 450G с двух Адсл модемов включенных в бридж???? И возможно ли их сбалансировать?
Анонимный
  
Привет что у меня тут не правильно???? Есть проблемы с автгоризацией на некоторых сайтах.
За микротиком стоит прокся каналы балансируються ну как-то не тек больше на WAN1 идет.
/ip addres
add address=192.168.2.1/24 network=192.168.2.0 broadcast=192.168.2.255 interface=LAN
add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255 interface=WAN1
add address=192.168.3.2/24 network=192.168.3.0 broadcast=192.168.3.255 interface=WAN2
/ip firewall mangle
chain=prerouting action=mark-connection new-connection-mark=WAN1 passthrough=no connection-state=new src-address=192.168.2.0/24 nth=2,1
chain=prerouting action=mark-routing new-routing-mark=WAN1 passthrough=yes src-address=192.168.2.0/24 connection-mark=WAN1
chain=prerouting action=mark-connection new-connection-mark=WAN2 passthrough=yes connection-state=new src-addresss=192.168.2.0/24
chain=prerouting action=mark-routing new-routing-mark=WAN2 passthrough=yes src-address=192.168.2.0/24 connection-mark=WAN2
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10 routing-mark=WAN1
add dst-address=0.0.0.0/0 gateway=192.168.3.1 scope=255 target-scope=10 routing-mark=WAN2
add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10
/ip firewall nat
add chain=srcnat out-interface=WAN1 action=masquerade
add chain=srcnat out-interface=WAN2 action=masquerade

Заранее благодарен!!!!
Анонимный
  
Добрый день ! спасибо за толковые статьи. У меня так же вопрос. Есть три интерфейса 2 WAN (ADSL) и один LAN. Нужно сделать балансировку для внутренней сети, пробросить RDP(в локалку), telnet (для микротик) порты для входа снаружи, а также на mikrotik поднят pptp сервер Сделал балансировку - все ок пробросил RDP - ок, а вот pptp проблема. Этот порт пробрасывать не надо - его надо заставить ходить по тому интерфейсу по которому пришел запрос, а бывает так что запрос приходит через wan1 а ответ идет по wan2 точно так же и с telnet. Очень жду помощи
Sergey Lagovskiy
  
Сам микротик пытается ходить на шлюз по умолчанию, если у него там прописано два адреса, то он и будет пытаться раскидывать запросы.
Я всегда стараюсь помечать пользовательский трафик, что бы потом иметь возможность направлять его по любому из каналов насильно. Как предложение - создайте шлюз по умолчанию с одним каналом, что бы им пользовался микротик. Далее пометьте трафик пользователей и создайте в таблице маршрутизации правило с балансировкой, но что бы в него попадали только пакеты, помеченные этим маркером.
Анонимный
  
тут вопрос такой: нужно подключаться к pptp серверу на микротике из вне через оба интерфейса WAN !!! (в этом самая большая проблема) и при этом балансировать каналы для внутренних пользователей
Sergey Lagovskiy
  
По моему никакой проблемы нет, два vpn, в результате для виртуальных интерфейса, да, получается некая таблица маршрутизации, которую будет создавать само vpn подключение, для хождения пользователей можно переопределить свои правила маршрутизации, используя в качестве шлюзов точки входа, которые создаются vpn-ами.
s.lebed
  
Сергей, добрый день.
прошу помощи. есть микротики,через них идут клиенты,nat'ом.возникла необходимость части клиентов сделать роутинг,т.е. выдавать белые адреса.
вроде как все делаю правильно, в итоге получаю то, что выхожу в интернет с реальным ip адресом, из внешней сети к моему ip можно подключиться по любому протоколу,снифер видит все входящие соединения,адреса источников верные,НО icmp на адрес не проходит,т.е. я вижу что icmp request доходит до меня, а вот мой комп почему то не хочет отвечать на него. причем если пинговать с микротика, то адрес пингуется, и если пинговать адрес микротика, который является шлюзом для абонента, то он тоже пингуется, т.е. проблема где то на микротике, уже второй день сравниваю icmp пакеты, не могу понять, где косяк.
пните в какую нибудь сторону.
с уважением.
Sergey Lagovskiy
  
В свое время, когда я настраивал маршрутизацию между офисами, причем задача была отдавать разные протоколы по разным провайдерам в зависимости от того к какому провайдеру подключен офис-получатель, мне сильно помог Packet sniffer, через фильтр можно ограничить что ты хочешь промониторить, на каком интерфейсе, куда и кто посылает и по какому интерфейсу уходит ответ.
s.lebed
  
packet sniffer не противоречит wireshark на тестовом компьютере. т.е. видно, что реквест прилетает на внешний интерфейс и улетает через внутренний, а в ответ тишина(хотя сам комп в своей сети на ping отвечает, даже тому же МТ, через который он выходит во внешний мир).
сейчас вот сравнил показания с двух МТ, через один пытаемся дать белые адреса, через другой идёт опрос мониторингом коммутаторов из другой сети.
в итоге, на том, через которые связаны несколько сетей(172.31.0.0\16 - промежуточная сеть - 172.30.0.0\16):
http://s46.radikal.ru/i111/1009/c5/59f09ea6ce4b.jpg

на том, через которые пытаемся смаршрутизировать белые адреса:
http://s56.radikal.ru/i151/1009/c1/c75e5888a056.jpg

видим, что в одном случае у нас 3 паета на одну сторону, а в другом 5, а ответа нет.
почему такая разница может возникнуть?
Sergey Lagovskiy
  
а как для клиента сделан nat?
Анонимный
  
Сергей, здравствуйте, подскажите пожалуйста, в случае работы через прокси МТ, как правильно отмаркировать пакеты идущие с самого МТ, с целью балансировки прокси или списки адресов через нужный WAN ?
Sergey Lagovskiy
  
я бы сказал как удобнее Вам, сработает и тот и другой вариант
Анонимный
  
спросил как правильно, потому что цепочка output предназначенная вроде как для этого дела, не работает, верней работает, пакеты уходят c WAN2 (Tx)но не возвращаются - фаирвол выключен, интерфейс и шлюз рабочие...

/ip firewall mangle
chain=output action=mark-routing new-routing-mark=WAN2 passthrough=yes dst-port=80

маркировал совместно с этим и конэкшены и пакеты, ни в какую...

правило в маршрутизации соответственно тоже есть с указанием шлюза и марк-а

какие могут быть варианты ?
с уважением, Леонид
Sergey Lagovskiy
  
не всегда можно полностью представить картину в голове, что бы что то конкретное советовать, да я не всегда бываю прав, порой комментарий в две строчки оборачивается общением на 3-и дня в почте и удаленным подключением к микротику, что бы помочь.

> /ip firewall mangle
chain=output action=mark-routing new-routing-mark=WAN2 passthrough=yes dst-port=80

> маркировал совместно с этим и конэкшены и пакеты, ни в какую...

Вообще есть такая цепочка как prerouting, т.е. то, что до маршрутизации и именно тогда можно приклеить новый маркер, по которому потом будет отрабатывать таблица маршрутизации.

Если попробуете по подробнее описать Вашу проблему, можно на почту, то я постараюсь свой взгляд на возможное решение.
Анонимный
  
Приветствую
подскажите, а как быть с 3-мя провайдерами?
то же самое что и с 2-мя или есть какие то тонкости?
Sergey Lagovskiy
  
Нет, ровно тоже самое.
Анонимный
  
Здравствуйте, очень хорошие статьи, но хотелось бы знать а пример с 2 провайдерами, когда 2 выступает в качестве резервного канала(если исп-1 отваливается, то переключается на исп-2, а когда появляется исп-1, исп-2 отключается) будут? если нет то может подскажите где подобное можно посмотреть?
Sergey Lagovskiy
  
нет, в данной конфигурации будет теряться половина запросов, если придумывать автоматическое резервное переключение, то имеет смысл смотреть на /tool netwatch, а там уже писать скрипты, которые будут переключаться с одного канала на другой в случае потери связи.
Анонимный
  
Сергей
у меня проблема
балансировка работает
настраивал по Вашей статье
а вот проблема в следующем
имеем
2 провайдера
балансировка нагрузки сделана по вашему примеру
на каждом провайдере слушается один и тот же порт и натом отправляется во внутреннюю сеть
затык в том, что если к примеру зашли через одного провайдера к примеру по сшш
то то же самое не получается сделать через второго
те получается что ответы с внутреннего адреса уходят не туда, от куда идёт запрос
из этой статьи не совсем понял как сделать
чтобы всё что пришло с прова 1 к нему и возвращалось?
и можно ли это сделать со всем трафиком, а не с конкретным как в примере http?
Sergey Lagovskiy
  
я такие вещи закрепляю за одним провайдером, т.е. если открыт пор, то он отрут на определенном белом адресе, все заходят на него, ответы насильно передаются на этого провайдера.

делает очень просто, считаем что на первом провайдере у нас уже открыт nat и запросы приходят с сети первого провайдера.

1 шаг, надо пометить ответы маркером для последующего роутинга.

/ip firewall mangle add chain=prerouting src-address=192.168.1.1 protocol=tcp src-port=80 action=mark-routing new-routing-mark=route-to-isp1

в результате этого все ответы с 80-го порта машины 192.168.1.1 будут помечаться маркером route-to-isp1

2 шаг, передавать пакеты с маркером route-to-isp1 на определенный шлюз

/ip route add dst-address=0.0.0.0 gateway=81.82.83.84 routing-mark=route-to-isp1

у меня некоторые сервисы работают наружу для всех по одному каналу, а по другому эти сервисы доступны только для наших филиалов (аля подсеть внутри сети провайдера), в таком варианте я вывожу nat-ом порт на двух каналах, первый для всех и для него пакеты помечаются как описано выше, для второго канала, который обслуживает филиалы, первое правило чуть "уточняется ":

/ip firewall mangle add chain=prerouting src-address=192.168.1.1 dst-address=195.195.195.195 protocol=tcp src-port=80 action=mark-routing new-routing-mark=route-to-isp2

т.е. добавляется dst-address=195.195.195.195 что означает, что маркером route-to-isp2 будут помечены только те пакеты, которые предназначены конкретному филиалу (можно указать сразу подсеть), а дальше еще одно правило для таблицы маршрутизации, что бы передавать пакеты с маркером route-to-isp2 на шлюз второго провайдера.
Анонимный
  
зачем мне нужно слушать 2-х провайдеров
бывают ситуации, когда один пров отвалился
приходится переключаться на 2-ого
а портов слушается много и все они работают

так наверное и сделаю, повешаю на одного прова прослушку

а вот ещё один не понятный мне момент
балансировка работает, но вот почему то аська к примеру отваливается минут через 5 и снова потом всё ок. и так туда сюда пере подключается
по канекшинам видно как пакеты уходят по разным маршрутам, может таким же способом надо их метить
или в чём может быть затык?
Sergey Lagovskiy
  
> но вот почему то аська к примеру отваливается минут через 5

это побочное действие от подобной балансировки, будут слетать сеансы, где авторизация основана на ip т.к. запросы приходят то с одного адреса, то с другого.
Анонимный
  
такой вопрос, имеется 2 lan и 1 wan, проблема в том что из каждой локальной сети есть доступ в другую локальную, как сделать чтоб они друг с другом не контачили вообще, но при этом выходили в инет?
Sergey Lagovskiy
  
Разделить по подсетям и ограничить глубиной маски, на пример первый локальный интерфейс имеет адрес 192.168.1.1/24 а второй 192.168.2.1/24, ну и клиентские адреса в каждой подсети должны иметь соответствующие маски и адреса.
Анонимный
  
Так и есть вот только почему-то я могу с 192.168.1.* зайти на 192.168.2.* и наоборот
Анонимный
  
все сети я разделил, просто добавил правило:
> ip firewall filter chain=forward add arc-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=drop

теперь в идеале надо чтоб с 192.168.1.* можно было зайти на 192.168.2.*, но с 192.168.2.* на 192.168.1.* нельзя, можете что-нибудь посоветовать?
Анонимный
  
Возможно глупый вопрос но ограничение скорости в Queue trees для группы применяется к каждому ИП в группе или для всех ИП в этой группе?
Sergey Lagovskiy
  
для каждого ip в группе.
Анонимный
  
Сергей, можете пояснить такой момент:

если у нас два провайдера wan1 и wan2 и пакеты приходят с любых адресов, в отличие от:
>=================================
делает очень просто, считаем что на первом провайдере у нас уже открыт nat и запросы приходят с сети первого провайдера.

1 шаг, надо пометить ответы маркером для последующего роутинга.

/ip firewall mangle add chai.....
>========================

как тогда их маркировать, чтоб они уходили по тому же интерфейсу? по какому признаку?

пробовал по наименованию входящего интерфейса - не работает.
Анонимный
  
у меня работа с двумя провайдерами и ответом тому провайдеру от которого пришел запрос, т.е. сервис одновременно работает с двумя провайдерами и отвечает на запросы с любых адресов, работает только в RouterOS 2.8, как сделать это в более новых версиях RouterOS непонятно :(
Анонимный
  
Как сделать Балансировку 2-х PPPOE от разных провайдеров с динамическими IP но приэтом нужно чтобы Аська, Агент, Скай и Контакт не разрывало сессий
Анонимный
  
Народ помогите и объясните как настроить два канала на mikrotik 750.
Задача следующая, есть два подключения к интернету по IP шлюз и DNS. как сделать так, чтоб один компьютер ишёл в интернет через одно соединение, а другой через другое. тоесть привязать по IP адресам. Помогите я заплачу пожалуйста.
Мой skype: igorstas0312
Анонимный
  
Сергей, помогите настроить на RB493 доступ к интернет для двух провайдеров: через ADSL-модем и серую сеть. Сам я совсем новичок, объясните, пожалуйста, популярно, что да как.

Собственно, имеем:

WAN: (ether1)
ADSL-модем ZyXEL (сам поднимает PPPoE, раздает DHCP, он же выступает в качестве DNS, имеет IP 192.168.1.1). wan IP 192.168.1.34.

Провайдер с серой IP-адресацией в сети: (ether2)
IP: 192.168.240.13
Шлюз: 192.168.240.100
Primary DNS: 192.168.10.101
Secondary DNS: 192.168.10.102

LAN (внутренняя сеть организации): (ether3)
IP: 192.168.0.0/24
На сервере сети подняты DHCP, DNS.

Удалось настроить выход из LAN в интернет через ether2 вот так:

/ip address add interface= "ether2 " address= "192.168.240.13/24 "
/ip route add gateway= "192.168.240.100 "
/ip dns set servers= "192.168.10.101 "
/ip dns set servers= "192.168.10.102 "

/ip address add interface= "ether3 " address= "192.168.0.5/24 "

/ip firewall nat add out-interface= "ether2 " chain= "srcnat " action= "masquerade "

Для доступа в интернет на клиентских машинах указываем шлюз 192.168.0.5 и все довольны.

Вопрос: как, что, куда надо прописать, чтобы настроить выход в интернет еще и через ADSL, через него пойдут только ограниченное число юзеров (остальные через ether2), но в случае отказа первого канала нужно будет пустить тех, кто не на ADSL, через это ADSL-подключение.
Анонимный
  
Доброго времени суток всем Добрым и Отзывчим людям!
Да простят меня админы форума за этот отчаянный крик души.Помогите настроить роутер: Microtik RouterBoard 493G,
За взаимную МАТЕРИАЛЬНУЮ помощь с моей стороны,
для компенсации ваших титанических усилий и затраченного времени.

Необходимо реализовать следующую конфигурацию:

1.) Настроить 2 разных интернет соединения.
a.) ISP1 проводной интернет - имеет выделенный ip.
b.) ISP2 usb модем Yota LTE - имеет выделенный ip. ( Роутер имеет usb порт )
причем пытался подключить по этой статье http://mikrotik.ru/forum/viewtopic.php?f=11&t=1371
но ничего не получилось выдает ( no such item .. ) Если вдруг так и не получиться подключить
совместными усилиями то как вариант Yota модем воткну в ноут а из него ISP2 (провод)

2.) Организовать резервную балансировку интернет канала в случае падения основного ,
для всех периферийных устройств находящихся в сети Lan, по одноименной повести
легендарного человека: http://mikrotik.axiom-pro.ru/scripts/balancerv1.php
а именно:
a.) 2 Сервера RDP имеют Основной Канал ISP2 ( usb модем Yota LTE) - Резерв ISP 1 ( провод ).
b.) 2 IP телефона имеют Основной Канал ISP1 (проводной интернет ) - Резерв ISP 2 ( usb Yota LTE)

3.) Дать доступ к 2-ум серверам RDP (radmin) с обоих внешних IP ( isp 1 и isp 2 )
по мотивам того же всем нам хорошего известного человека легенды :)
http://mikrotik.axiom-pro.ru/scripts/balancerv1.php

Мои Контакты
Skype: euazimut
ICQ: 617712138
E-mail: EuroTrusts@Gmail.com
Анонимный
  
Спасибо большое, очень помогла ваша статья, я никак сам не мог додуматься как разделить пользователей по каналу. Теперь у меня пользователи из adr_list1 ходят через wan1, а из adr_list2 соответственно через wan2. Wan1 для меня "главнее ", через него вывешены сайт и почта. Шлюз на Wan1 прописан и без "маркера " для доступа к самому микротику. Все замечательно, но...
Подключаясь по VPN не могу получить доступ к внутренней сети. Пробовал PPTP и OVPN. Подключаюсь, соединяюсь, но дальше роутера доступа нет. По torch видно что пакеты только в одну сторону ходят.
Конфиг был взят с рабочего роутера. На нем pptp работало. Подозреваю, что проблема именно в маркировке пакетов и vpn-пакеты надо либо как то по особенному маркировать, либо никак не маркировать. Помогите плз, моего скудоумия не хватает... Файрвол пробовал вообще отключать...
Анонимный
  
Сергей, помогите пожалуйста с настройкой. Я в winbox полный чайник, а мне поставлена задача настроить роутер вот по этому принципу http://radikal.ru/fp/29213030245349a5998fcdfe26f8b7e9 Разбираясь в течении некоторого времени я понял, что дело на самом деле не сложное, но у меня все же возникли с этим проблемы.
DarkRevenger
  
Почему, когда я добавляю маркировку пакетов, у меня пропадает интернет. И как тогда раздавать пользователям одновременно каналы обоих провайдеров, если с маркировкой такой тупняк?