[ bachi @ 11.10.2018. 18:24 ] @
Molim da me neko uputi u kom pravcu da idem kako bih rešio sledeći problem.

Postoje dva dolazna linka.

Prvi je SBBov link, brzina je 100/6 i nakačen je na ether1 interfejs i dobija IP od DHCP servera i Internet iz LAN mreže radi.

Kako je taj link nestabilan, sa situacijama gde upload ne prelazi 0.1Mb/s (da, da, dobro ste videli), performanse unutar OpenVPN tunela su tada očajne. OpenVPN server je podignut na Mikrotiku.

E sad, uveden je još jedan link, veza se ostvaruje preko PPPOE (ether 10) i to je link 10/10. Kako je reč o 10/10 linku, koristiće se samo i bukvalno samo za OpenVPN server<>klijent komunikaciju. Dakle, ne treba mi failover u slučaju da ako padne SBB da ovaj preuzima, treba mi samo sledeća stvar.

Računari unutar mreže koriste Internet preko SBBa.

Udaljene prodavnice se kače na OpenVPN server koji se nalazi na toj drugom linku, TCP:20000 i to je sve što treba.

Dodam sam PPPoE client interfejs i onda se lepo nakači i dobije statičku javnu IP adresu, pod routes sam dodao 0.0.0.0/0 i za distance postavio 2 (distance 1 je SBBov link) i piše da je gateway reachable.

Mogu da pingujem bilo šta sa PPPoE interfejsa, međutim, obrnuti smer ne radi, niti mogu da pingujem spolja IP adresu od pppoe interfejsa, niti mogu da se VPNujem iako su portovi otvoreni.

Rešenja na koja sam nailazio jeste PCC metoda sa ili bez failovera, ali bih da izbegnem to, već da dobijem samo gore opisano.

Imajte u vidu da sam totalni n00b što se Mikrotika tiče.


Uređaj je RB2011il, 6.93.9.

Napomena: OpenVPN klijenti u udaljenim prodavnicama imaju dinamičke ip adrese koje se menjaju.
[ rajco @ 12.10.2018. 11:48 ] @
Pozdrav,

Ne mozes da pingujes jer pokusava da ti vrati preko default rute koja je u tvom slucaju SBB, potrebno je uradis za pocetak markiranje input konekcija(connection state mozes samo new), zatim u output chain kreiras routing mark u odnosu na input konekcije i napravis default rutu, ali sa tim routing mark-om. Sva podesavanja radis pod ip firewall mangle. Ovo je iz glave, a ako se ne budes snasao mogu da ti exportujem konfig sa nekog rutera.
[ bachi @ 12.10.2018. 11:52 ] @
Pa ne bi bilo loše ako može export, jer nikad to nisam radio. :(

Možda bi bilo najbolje rešenje da ruter vraća pakete preko onog interfejsa na kom je primio novu konekciju? U stvari, realno mi to treba. Da računari iz LANa idu preko SBBa, a da Mikrotik pokraj toga vraća pakete (odgovor) preko onog interfejsa na kom je primio dolazni paket.

Ti sam iskreno i očekivao da bude podrazumevan način rada, ali avaj - Mikrotik. :(



[Ovu poruku je menjao bachi dana 12.10.2018. u 13:07 GMT+1]
[ bachi @ 12.10.2018. 20:45 ] @
Uspeo sam malo proučavajući PCC pa sam ubo deo koji meni treba i dobio ovo:

1. Ip/Firewall/Mange

-



-


2. Ip/Routes

-

I sad radi!

Ali se pitam da li je ovo najbolji način?

Čemu služi passthrough u mangle pravilima?

Edit: Sad vidim rajco da si mi napisao isto to, ali to tada nisam razumeo šta mi pišeš. Hvala.


[Ovu poruku je menjao bachi dana 12.10.2018. u 21:58 GMT+1]
[ milosbeo @ 12.10.2018. 21:03 ] @
To sto ti podesavas se zove PBR - Policy Based Routing.
Citat:
Čemu služi passthrough u mangle pravilima?


Pomocu passthrough mozes da to sto si kreirao upotrebis u pravilu ispod.
Najceseca je upotreba da se u prvom pravilu recimo markiraju paketi, a posle se u sledecem pravilu poziva taj packet mark za action=connection mark... Kao neka optimizacija i efikasnije iskoriscenje hardvera.

Valjda je malo jasnije :D
[ bachi @ 12.10.2018. 21:39 ] @
Ok, a u ovom slučaju mi to nije potrebno?
[ valjan @ 15.10.2018. 08:00 ] @
Paket može imati samo jednu oznaku u jednom trenutku, (možeš markirati pojedinačni paket, konekciju, ili rutu, pa od svake te vrste u jednom trenutku možeš imati samo po jednu aktivnu "markicu"), pa ako štrikliraš passtrough to znači da dozvoljavaš da se izvrši neko naredno pravilo u mangle tabeli, što može da dovede do toga da se tvoja markica pregazi nekom drugom, i paket ne završi gde bi trebalo. Znači, ugašen passthrough ti obezbeđuje da će to što si markirao imati baš tu markicu koju si zadao, ali u nekim situacijama moraš praviti algoritme tipa "if... then... else..." pa tu moraš dozvoliti passthrough i omogućiti da se markica prepiše nekom drugom jer taj paket ili konekcija zadovoljavaju neke dodatne specifičnije uslove...

[Ovu poruku je menjao valjan dana 15.10.2018. u 09:43 GMT+1]
[ bachi @ 15.10.2018. 09:54 ] @
Nisam još stigao do if then else, ali hvala na objašnjenju, sad znam više nego što sam do skoro znao u vezi MT, tj. mangleovanja (muljanja?) :) paketa.