MikroTik 2× WAN - nastavení port forward přes konkrétní WAN

[ZAJDAN]

Ahoj,
na Mikrotiku mám přpojené dvě konektivity od dvou různých ISP.
Primární WAN1 je klasická (IP definovaná přímo na fyzický Interface)
Sekundární WAN2 je Vodafone(PPPoE)

Pro primární mám vytvořenou Route s Distance 1
Pro sekundární(Vodafone) mám Route s Distance 2

Chtěl bych aby spojení na sFTP server v lokální síti šlo přes WAN-Vodafone
Nastavil jsem tedy
chain=dstnat in-interface=Vodafone-PPPoE protocol=tcp dst-port=2226 action=dst-nat to-addresses=192.168.0.100 to-ports=22
chain=srcnat src-address=192.168.0.100 out-interface=Vodafone-PPPoE action=masquerade comment="NAT odpovědí WAN2"

Pokud z venčí zkusím spojení, tak vidím, že pakety na dst-nat přicházejí, ale nespojím se. srcnat neukáže žádnej paket.
Jako by odchozí spojení stále šlo přes WAN1

Lze to co chci nějak realizovat?

díky

[Reklama]

[5nik]

Nebudu sem psát konkrétní příkazy, spíše Vás nakopnu a jistě dohledáte zbytek. Momentálně se děje skutečně to, co popisujete - odpověď z sFTP serveru opravdu odchází WAN1. Problém dvou (a více) WAN se často řeší více routovacími tabulkami a následně značkováním paketů (mangle-prerouting, mark-connection a následně mark-routing). V principu jde o to, že označíte spojení přicházející na sFTP z WAN2 a následně označíte odchozí pakety, aby si hledaly bránu v druhé routovací tabulce, kde je pouze výchozí routa do WAN2 (případně routa s menší vzdáleností).

[Don.J]

Neměl by tohle všechno obsloužit NAT skrze který to jde? Značkování paketů si myslím je v tomhle případě nesmysl.

Předpokládám, že maškarádu máš pro obě WAN, nedělej žádnou specifickou jakou tam zmiňuješ, je jen na škodu. Ty přeci chceš, aby server obsluhovat příchozí provoz na VODAFONU, ale aktualizace si snad může stáhnout i přes tu druhou přípojku ne, resp. když vypadne 1. nebo 2. ISP tak může použít kterékoli funkční spojení.

chain=srcnat out-interface=WAN1 action=masquerade comment="NAT WAN1"
chain=srcnat out-interface=Vodafone-PPPoE action=masquerade comment="NAT WAN2 PPPoE"

chain=dstnat in-interface=Vodafone-PPPoE protocol=tcp dst-port=2226 action=dst-nat to-addresses=192.168.0.100 to-ports=22

Na firewallu zkontroluj, že máš buď uni. pravidlo chain=forward, in.interface=Vodafone-PPPoE, Connection state=new, Conn NAT State (!) dstnat, action=drop (ten vykřičník je skutečně v tom pravidle! a v překladu znamená všechny nové připojení na WAN Vodafone, která se mají forwardovat a nejsou natované zahoď, zápis není přesný, naklikej si to přes gui)
nebo musíš mít specifické pravidlo pro forward na sFTP server

[Michal Šmucr]

Neměl by tohle všechno obsloužit NAT skrze který to jde? Značkování paketů si myslím je v tomhle případě nesmysl.

Nikdy jsem sice podobnou věc neřešil na Mikrotiku, ale není to nesmysl. Nejde v mangle o značkování paketů (mark), ale značkování spojení (connmark).
5nik má podle mě pravdu, nejde to udělat bez tzv. policy based routing.
NAT samotný tohle neřeší, ten prostě podle pravidla a bez další vazby na spojení přepisuje cílovou (dovnitř - dnat) nebo zdrojovou adresu (ven - maškaráda, resp. snat).
Problém nastává v tom, že bez dalších úprav se prostě pro všechny odchozí pakety vyhodnotí pořadí v hlavní směrovací tabulce a všechny pak jdou přes bránu venku na primární WAN.
Takže právě proto jsou potřeba použít ty přidané značky od spojení (navázaného zvenku přes sekundární WAN) a při směrování odpovědí použít druhou směrovací tabulku, kde bude nastavená jiná výchozí brána od druhého ISP.

[panpanika]

je to jak pise 5nik, vice routovacich tabulek, znackovani v mangle. bezelo mi to tak roky na ros7.

[Reklama]

[ZAJDAN]

Nebudu sem psát konkrétní příkazy, spíše Vás nakopnu a jistě dohledáte zbytek. Momentálně se děje skutečně to, co popisujete - odpověď z sFTP serveru opravdu odchází WAN1. Problém dvou (a více) WAN se často řeší více routovacími tabulkami a následně značkováním paketů (mangle-prerouting, mark-connection a následně mark-routing). V principu jde o to, že označíte spojení přicházející na sFTP z WAN2 a následně označíte odchozí pakety, aby si hledaly bránu v druhé routovací tabulce, kde je pouze výchozí routa do WAN2 (případně routa s menší vzdáleností).

díky
něco pdobného je i tady:
https://help.mikrotik.com/docs/spaces/ROS/pages/152600617/Per+connection+classifier#Perconnectionclassifier-ConfigurationExample