Dve rozhrania

asdfg

Na MK som spojeni s dodavatelom konektivity cez dve rozhrania. Na prvom rozhrani mam pridelenu staticku IP a default route smerom von. Druhe rozhranie je za ucelom BGP prepoju s ISP. Traceroute smeron dnu ide cez interface 1 namiesto interface 2. Smeron von som si to uz "ovplyvnil" cez "route rules". BGP default route ktoru dostavam od ISP, tak ta dostava "route mark".

Celemu problemu chapem, ze default route ma distance 1 oproti eBGP route s distance 20.

Ma to niekto vyriesene? Alebo sa musim vzdat tej default route, ktora je rucne pridana? Ak ju odstranim, vsetko chodi cez BGP rozhranie. V podstate mi ide o to, aby siet napr 192.168.1.0/24 ignoroval default route ale isla cez eBGP route.

net_work

omangluj si pozadovane packety routing markem a tomu pak prirad danou routu

asdfg

Mam to takto:

[admin@MK1] /ip firewall mangle> print

Flags: X - disabled, I - invalid, D - dynamic

0 chain=prerouting action=mark-routing new-routing-mark=local passthrough=yes

src-address=XXX.XXX.XXX.XXX/22

[admin@MK1] /ip firewall mangle> /ip route print detail

0 ADb dst-address=0.0.0.0/0 gateway=YYY.YYY.YYY.YYY

gateway-status=YYY.YYY.YYY.YYY reachable via VLAN102 distance=20

scope=40 target-scope=10 routing-mark=local bgp-as-path="LLLLLL"

bgp-origin=igp received-from=COMPANY

Ale PING mi pride na eth2 ale odpoved sa vrati cez eth1 (default rote, distance 1). Ak si spravim LOG pravidlo, tak vidim, ze mangle funguje OK. Ale nechapem, preco sa nepouzije dana BGP route.

asdfg

Z logu:

13 firewall,info prerouting: in - IP out:(none), src-mac ..., proto ICMP (type 8, code 0), My_IP->DST_IP, len 6

Ako ho prinutit aby to poslal cez prislusne rozhranie?

majklik

Jako co přijde přes eth2, aby se na to odpovídalo zpět skrz eth2, či-li přes routy s routing mark "local"? Možná takto:

/ip firewall mangle

add action=mark-connection chain=prerouting connection-state=new in-interface=ether2 new-connection-mark=from_ETH2 passthrough=no

add action=mark-routing chain=output connection-mark=from_ETH2 new-routing-mark=local passthrough=no

add action=mark-routing chain=prerouting connection-mark=from_ETH2 new-routing-mark=local passthrough=no

A je vhodné mít i nastaveno:

/ip route rule

add dst-address=10.0.0.0/8 table=main

add dst-address=A.A.A.A/24 table=main

add dst-address=XXX.XXX.XXX.XXX/22 table=main

add action=lookup-only-in-table src-address=XXX.XXX.XXX.XXX table=local

Za předpokladu,že uvnitř sítě používáš segment 10/8, IP/blok na ether1 je A.A.A.A/24 a na ether2 je to XXX.XXX.XXX.XXX/22. To poslední pravidlo nahrazuje nutnost toho "chain=prerouting action=mark-routing new-routing-mark=local passthrough=yes src-address=XXX.XXX.XXX.XXX/22".