Aceitar trafego PPTP mikrotik com rota de saída desativada

Olá pessoal, estou com um problema bem especifico em minha routerboard, se algum puder me ajudar ficarei agradecido... é o seguinte.

Possuo dois links chegando em minha routerboard, sendo 1 link na ETH4 e outro na ETH6.
O link de saída está para a ETH4 e está com um ip invalido.
O link da ETH6 possui um ip válido mas mantenho a rota de saída desabilitada e só ativo caso o link da ETH4 caia.

O problema é que estou precisando fazer conexão PPTP de fora para a ETH6 e não está funcionando. Só funciona quando habilito a rota de saída da ETH6.

Alguem pode me dar uma luz?

Vai precisar aprender sobre marcação de conexão, pacotes e rouing Mark.

Basicamente vai dizer:
- o que entrar pela eth6 recebe marca de conexão.
- o que tiver marca de conexão recebe marca de pacotes
- os pacotes marcados usam route Mark para serem roteados.

Aí existe um rota default com marca que usa o Link dá ether6

Amigo, eu até ja tinha tentado isso mas não deu certo. Porém não marquei a conexão, eu marquei os pacotes e setei ele em uma rota default.

o ip que usa pra acessar sua routeboard principal é público (válido)?

Quer acessar essa routeboard ou o equipamento em do link de ip público?

O link que entra pela ETH6 sim, é publico. Preciso fazer uma conexão PPTP e redirecionamento de portas para toda requisição que chegar para ela.

e qual o empecilho em usar o ip público? pois vai precisar dele pra fazer oque quer

O link que tenho pelo ip inválido é bem maior do que o link que tenho pelo ip válido. Sendo assim gostaria de deixar o link com ip válido apenas para administração, acesso remoto etc...

Existe 2 tipos de Ip;
IP Privados (ou inválido, como preferir chamar), conforme regras estabelecidas pela RFC1918
IPs Público (ou válido como preferir chamar).

Poderia fazer um pequeno diagrama da tua rede, desse seu projeto?

Sim amigo, conforme disse à cima, meu link com ip válido(privado) é menor do que o link que tenho com ip inválido(está atrás de um NAT da operadora). Eu apenas preciso que todo tráfego de internet saia pelo ip inválido(já está assim) e todo serviço extra de rede(PPTP, redirecionamento de portas para acesso remoto, etc...) saia pelo ip válido(já está assim) e também aceite conexões pelo ip inválido(não está funcionando pois retirei a rota default).
O que acontece é que quando a routerboard recebe a requisição pelo ip válido, ela tenta responder pelo inválido, o que logicamente irá dar problemas. Eu preciso que toda requisição recebida pelo ip válido, seja respondida pelo ip válido.
Todos os dois links chegam em uma mesma Routerboard.

IP VÁLIDO o correto é IP PÚBLICO
IP INVÁLIDO o correto é IP PRIVADO.

Então creio que deve fazer balance.

Já experimentou fazer marcação de pacotes?

Só pra flama mais o assunto em prova dá cisco os dois são IPs válidos kkkk. Válido é qualquer número que pode ser preenchido no campo IP kkkk.

A pergunta foi clara não sei por que chegaram neste assunto kkk

Vou procurar a regra que eu fiz eu já errei uma vez ao escolher o chain da mangle para fazer a marcação aí não funcionava.
Ou tive que usar 2 um para output outro para forward não lembro.

Já fiz também, to procurando a regra salva na minhas anotações, se encontrar posto aqui, meu tempo e corrido, então posso demorar a postar

Citação:

---

Postado originalmente por fredericoafd

Olá pessoal, estou com um problema bem especifico em minha routerboard, se algum puder me ajudar ficarei agradecido... é o seguinte.

Possuo dois links chegando em minha routerboard, sendo 1 link na ETH4 e outro na ETH6.
O link de saída está para a ETH4 e está com um ip invalido.
O link da ETH6 possui um ip válido mas mantenho a rota de saída desabilitada e só ativo caso o link da ETH4 caia.

O problema é que estou precisando fazer conexão PPTP de fora para a ETH6 e não está funcionando. Só funciona quando habilito a rota de saída da ETH6.

Alguem pode me dar uma luz?

---

Na mangle você tem que lembrar de marcar apenas pacotes no 'state' NEW, no caso mark-connection, state NEW, e no input interface vai colocar a interface que tem o IP público, lembrando que se for um PPPoE tem que colocar a interface ppp, depois disso na mangle ainda você faz um routing-mark para esses pacotes com connection-mark...

Enviado via XT1580 usando UnderLinux App

Citação:

---

Postado originalmente por alextaws

IP VÁLIDO o correto é IP PÚBLICO
IP INVÁLIDO o correto é IP PRIVADO.

Então creio que deve fazer balance.

Já experimentou fazer marcação de pacotes?

---

SIm, já fiz o mangle, mesmo assim não funcionou...

Citação:

---

Postado originalmente por andrecarlim

Na mangle você tem que lembrar de marcar apenas pacotes no 'state' NEW, no caso mark-connection, state NEW, e no input interface vai colocar a interface que tem o IP público, lembrando que se for um PPPoE tem que colocar a interface ppp, depois disso na mangle ainda você faz um routing-mark para esses pacotes com connection-mark...

Enviado via XT1580 usando UnderLinux App

---

Amigo, realmente não estava marcado a opção "New" no state, porém marquei e fiz os testes, mas não houve nenhum progresso...

Posta as regras que fez

action=mark-connection chain=input comment="Marca Conexao ETH6" \
connection-state=new in-interface=ether6 new-connection-mark=Mark_ETH6 \
passthrough=yes

action=mark-routing chain=prerouting comment="Marca Rota para ETH6" \
connection-mark=Mark_ETH6 new-routing-mark=Rota_ETH6 passthrough=yes

As regras estão corretas amigo?

Citação:

---

Postado originalmente por fredericoafd

As regras estão corretas amigo?

---

Não o chain prerouting não é usado em pacotes de saída.

/ip firewall mangle
add action=mark-connection chain=input connection-state=new in-interface=ether-link1 new-connection-mark=LINK1 passthrough=yes protocol=tcp
add action=mark-connection chain=forward connection-state=new in-interface=ether-link1 new-connection-mark=LINK1 passthrough=yes protocol=tcp
add action=mark-connection chain=input connection-state=new in-interface=ether-link2 new-connection-mark=LINK2 passthrough=yes protocol=tcp
add action=mark-connection chain=forward connection-state=new in-interface=ether-link2 new-connection-mark=LINK2 passthrough=yes protocol=tcp
add action=mark-packet chain=output connection-mark=LINK1 new-packet-mark=LINK1 passthrough=yes
add action=mark-packet chain=forward connection-mark=LINK1 new-packet-mark=LINK1 passthrough=yes
add action=mark-packet chain=output connection-mark=LINK2 new-packet-mark=LINK2 passthrough=yes
add action=mark-packet chain=forward connection-mark=LINK2 new-packet-mark=LINK2 passthrough=yes
add action=mark-routing chain=output new-routing-mark=LINK1 packet-mark=LINK1 passthrough=yes
add action=mark-routing chain=prerouting new-routing-mark=LINK1 packet-mark=LINK1 passthrough=yes
add action=mark-routing chain=output new-routing-mark=LINK2 packet-mark=LINK2 passthrough=yes
add action=mark-routing chain=prerouting new-routing-mark=LINK2 packet-mark=LINK2 passthrough=yes


/ip route rule
add dst-address=192.168.0.0/16 table=main
add dst-address=10.0.0.0/8 table=main
add dst-address=172.16.0.0/12 table=main
add comment="recepcao1" dst-address=192.168.10.10/32 table=LINK1
add comment="recepcao2" dst-address=192.168.10.18/32 table=LINK2

/ip route
add distance=1 gateway=xx.yy.zz.ww routing-mark=LINK1
add distance=1 gateway=aa.bb.cc.dd routing-mark=LINK2
add distance=1 gateway=xx.yy.zz.ww,aa.bb.cc.dd


Eu não marco os pacotes as conexões de saída pois uso route rule para os PCs definidos e ECMP(loadbalance simples) para os demais.

Colocar na rules os ips internos para irem pela rota sem marca é necessário para achar o destino das rotas conectadas dinâmicas.
Alternativa seria adicionar src-address igual ips internos na chain forward nas ações de marcar pacotes. Com isso só pacotes de saída seriam marcados e por sua vez receberiam route mark.

Anexo 66539

WIKI MIKROTIK ECMP