Aceitar trafego PPTP mikrotik com rota de saída desativada

[fredericoafd]

Olá pessoal, estou com um problema bem especifico em minha routerboard, se algum puder me ajudar ficarei agradecido... é o seguinte.

Possuo dois links chegando em minha routerboard, sendo 1 link na ETH4 e outro na ETH6.
O link de saída está para a ETH4 e está com um ip invalido.
O link da ETH6 possui um ip válido mas mantenho a rota de saída desabilitada e só ativo caso o link da ETH4 caia.

O problema é que estou precisando fazer conexão PPTP de fora para a ETH6 e não está funcionando. Só funciona quando habilito a rota de saída da ETH6.

Alguem pode me dar uma luz?

[eduardomazolini]

Vai precisar aprender sobre marcação de conexão, pacotes e rouing Mark.

Basicamente vai dizer:
- o que entrar pela eth6 recebe marca de conexão.
- o que tiver marca de conexão recebe marca de pacotes
- os pacotes marcados usam route Mark para serem roteados.

Aí existe um rota default com marca que usa o Link dá ether6

[fredericoafd]

Amigo, eu até ja tinha tentado isso mas não deu certo. Porém não marquei a conexão, eu marquei os pacotes e setei ele em uma rota default.

[alextaws]

o ip que usa pra acessar sua routeboard principal é público (válido)?

Quer acessar essa routeboard ou o equipamento em do link de ip público?

[fredericoafd]

O link que entra pela ETH6 sim, é publico. Preciso fazer uma conexão PPTP e redirecionamento de portas para toda requisição que chegar para ela.

[alextaws]

e qual o empecilho em usar o ip público? pois vai precisar dele pra fazer oque quer

[fredericoafd]

O link que tenho pelo ip inválido é bem maior do que o link que tenho pelo ip válido. Sendo assim gostaria de deixar o link com ip válido apenas para administração, acesso remoto etc...

[alextaws]

Existe 2 tipos de Ip;
IP Privados (ou inválido, como preferir chamar), conforme regras estabelecidas pela RFC1918
IPs Público (ou válido como preferir chamar).

Poderia fazer um pequeno diagrama da tua rede, desse seu projeto?

[fredericoafd]

Sim amigo, conforme disse à cima, meu link com ip válido(privado) é menor do que o link que tenho com ip inválido(está atrás de um NAT da operadora). Eu apenas preciso que todo tráfego de internet saia pelo ip inválido(já está assim) e todo serviço extra de rede(PPTP, redirecionamento de portas para acesso remoto, etc...) saia pelo ip válido(já está assim) e também aceite conexões pelo ip inválido(não está funcionando pois retirei a rota default).
O que acontece é que quando a routerboard recebe a requisição pelo ip válido, ela tenta responder pelo inválido, o que logicamente irá dar problemas. Eu preciso que toda requisição recebida pelo ip válido, seja respondida pelo ip válido.
Todos os dois links chegam em uma mesma Routerboard.

[alextaws]

IP VÁLIDO o correto é IP PÚBLICO
IP INVÁLIDO o correto é IP PRIVADO.

Então creio que deve fazer balance.

Já experimentou fazer marcação de pacotes?

[eduardomazolini]

Só pra flama mais o assunto em prova dá cisco os dois são IPs válidos kkkk. Válido é qualquer número que pode ser preenchido no campo IP kkkk.

A pergunta foi clara não sei por que chegaram neste assunto kkk

Vou procurar a regra que eu fiz eu já errei uma vez ao escolher o chain da mangle para fazer a marcação aí não funcionava.
Ou tive que usar 2 um para output outro para forward não lembro.

[alextaws]

Já fiz também, to procurando a regra salva na minhas anotações, se encontrar posto aqui, meu tempo e corrido, então posso demorar a postar

[andrecarlim]

Olá pessoal, estou com um problema bem especifico em minha routerboard, se algum puder me ajudar ficarei agradecido... é o seguinte.

Possuo dois links chegando em minha routerboard, sendo 1 link na ETH4 e outro na ETH6.
O link de saída está para a ETH4 e está com um ip invalido.
O link da ETH6 possui um ip válido mas mantenho a rota de saída desabilitada e só ativo caso o link da ETH4 caia.

O problema é que estou precisando fazer conexão PPTP de fora para a ETH6 e não está funcionando. Só funciona quando habilito a rota de saída da ETH6.

Alguem pode me dar uma luz?

Na mangle você tem que lembrar de marcar apenas pacotes no 'state' NEW, no caso mark-connection, state NEW, e no input interface vai colocar a interface que tem o IP público, lembrando que se for um PPPoE tem que colocar a interface ppp, depois disso na mangle ainda você faz um routing-mark para esses pacotes com connection-mark...

Enviado via XT1580 usando UnderLinux App

[fredericoafd]

IP VÁLIDO o correto é IP PÚBLICO
IP INVÁLIDO o correto é IP PRIVADO.

Então creio que deve fazer balance.

Já experimentou fazer marcação de pacotes?

SIm, já fiz o mangle, mesmo assim não funcionou...

[fredericoafd]

Na mangle você tem que lembrar de marcar apenas pacotes no 'state' NEW, no caso mark-connection, state NEW, e no input interface vai colocar a interface que tem o IP público, lembrando que se for um PPPoE tem que colocar a interface ppp, depois disso na mangle ainda você faz um routing-mark para esses pacotes com connection-mark...

Enviado via XT1580 usando UnderLinux App

Amigo, realmente não estava marcado a opção "New" no state, porém marquei e fiz os testes, mas não houve nenhum progresso...

[eduardomazolini]

Posta as regras que fez

[fredericoafd]

action=mark-connection chain=input comment="Marca Conexao ETH6" \
connection-state=new in-interface=ether6 new-connection-mark=Mark_ETH6 \
passthrough=yes

action=mark-routing chain=prerouting comment="Marca Rota para ETH6" \
connection-mark=Mark_ETH6 new-routing-mark=Rota_ETH6 passthrough=yes

[fredericoafd]

As regras estão corretas amigo?

[eduardomazolini]

As regras estão corretas amigo?

Não o chain prerouting não é usado em pacotes de saída.

[eduardomazolini]

/ip firewall mangle
add action=mark-connection chain=input connection-state=new in-interface=ether-link1 new-connection-mark=LINK1 passthrough=yes protocol=tcp
add action=mark-connection chain=forward connection-state=new in-interface=ether-link1 new-connection-mark=LINK1 passthrough=yes protocol=tcp
add action=mark-connection chain=input connection-state=new in-interface=ether-link2 new-connection-mark=LINK2 passthrough=yes protocol=tcp
add action=mark-connection chain=forward connection-state=new in-interface=ether-link2 new-connection-mark=LINK2 passthrough=yes protocol=tcp
add action=mark-packet chain=output connection-mark=LINK1 new-packet-mark=LINK1 passthrough=yes
add action=mark-packet chain=forward connection-mark=LINK1 new-packet-mark=LINK1 passthrough=yes
add action=mark-packet chain=output connection-mark=LINK2 new-packet-mark=LINK2 passthrough=yes
add action=mark-packet chain=forward connection-mark=LINK2 new-packet-mark=LINK2 passthrough=yes
add action=mark-routing chain=output new-routing-mark=LINK1 packet-mark=LINK1 passthrough=yes
add action=mark-routing chain=prerouting new-routing-mark=LINK1 packet-mark=LINK1 passthrough=yes
add action=mark-routing chain=output new-routing-mark=LINK2 packet-mark=LINK2 passthrough=yes
add action=mark-routing chain=prerouting new-routing-mark=LINK2 packet-mark=LINK2 passthrough=yes


/ip route rule
add dst-address=192.168.0.0/16 table=main
add dst-address=10.0.0.0/8 table=main
add dst-address=172.16.0.0/12 table=main
add comment="recepcao1" dst-address=192.168.10.10/32 table=LINK1
add comment="recepcao2" dst-address=192.168.10.18/32 table=LINK2

/ip route
add distance=1 gateway=xx.yy.zz.ww routing-mark=LINK1
add distance=1 gateway=aa.bb.cc.dd routing-mark=LINK2
add distance=1 gateway=xx.yy.zz.ww,aa.bb.cc.dd


Eu não marco os pacotes as conexões de saída pois uso route rule para os PCs definidos e ECMP(loadbalance simples) para os demais.

Colocar na rules os ips internos para irem pela rota sem marca é necessário para achar o destino das rotas conectadas dinâmicas.
Alternativa seria adicionar src-address igual ips internos na chain forward nas ações de marcar pacotes. Com isso só pacotes de saída seriam marcados e por sua vez receberiam route mark.



WIKI MIKROTIK ECMP