双线问题!困扰N久的问题

hgptop

双线实现方法
通过路由表在routes里添加了电信的路由表,实现了客户机的双线,现在遇到的问题是外面网通的线路可以ping通网通的ip,但是ping不通电信的地址,反之电信的地址能ping通我电信的ip,ping不通我网通的ip.小弟恳求各位大大们指条明路!

hcb

做两个标记就可以了
1,在mangle里面，对来自线路A的数据包，做mark connection 标记，比如取名con1,对来自线路B的数据包，做类似的标记，取名con2,这样就把数据的来源区分开了,这个是关键
2,在mangle里面，对connection标记为con1的数据包，出去的时候，做mark routing标记，比如取名为rou1,同样对con2做标记rou2
3,在rule里面，添加链条规则，对标记为rou1的，指定走路由1,标记为rou2的，指定走路由2,这样就使得从哪里来的数据就从哪里出去，正确的到达目的地了

我做过粗略的测试，是可以的，但因为没有这样的环境，没有得到真正的检验，具体的参数选择你自己去摸索，如果成功的话，把经验共享出来

hgptop

我试先

hgptop

搞了半天没弄成事
有以下几个疑问
1、如何“对来自线路A的数据包，做mark connection 标记，比如取名con1”
2、如何“对connection标记为con1的数据包，出去的时候，做mark routing标记”
3、如何“,在rule里面，添加链条规则，对标记为rou1的，指定走路由1,标记为rou2的，指定走路由2,”

                               
登录/注册后可看大图

hcb帮我看看设置的对不对

hcb

给个示意图你看看，因为我没有测试环境，也不知道这样行不行

wbyz20

在mangle里面用input和output这样有副作用．好多数据包会溜走。官方用的是forward我自己也用的
直接选项外出的网卡就行了。
Passthrough标记外出连接的时候打勾这里就不用了。
直接在routes里面做就行了。听说2。9X版本中。rules会不起作用的。

[ 本帖最后由 wbyz20 于 2008-7-24 21:20 编辑 ]

yinjian_sh

ddddddd

hgptop

结合两位大大的帮助,目前电信、网通都已经正常，不过我还接有教育网，用的是跟网通一块网卡，看mangle里似乎只能对网卡进行限制。
对两位大大的意见做出个回应：
1、“在mangle里面用input和output这样有副作用．好多数据包会溜走。官方用的是forward我自己也用的”事实证明这样是不行的，这样设定后，策略失效；
2、“Passthrough标记外出连接的时候打勾这里就不用了。”打不打钩是一样的，打与不打有什么区别吗？
3、“直接在routes里面做就行了。听说2。9X版本中。rules会不起作用的。”rules也必须的设置，不设置不起任何作用，但是不在routes里面设置也不行，个人感觉得相互配合才行。
感谢两位的帮助，我把我的设置分享给大家
我的是网通为主路由，网卡为wan；电信为辅，网卡为tel；教育线路的网卡也是wan；
一、mangle里分别标记网通和电信的进和出
网通的进

                               
登录/注册后可看大图

网通的出

                               
登录/注册后可看大图

电信的进

                               
登录/注册后可看大图

电信的出

                               
登录/注册后可看大图

二、rules规则设置
网通定义

                               
登录/注册后可看大图

电信定义

                               
登录/注册后可看大图

三、routes规则的设置
网通定义

                               
登录/注册后可看大图

我网通用了防火墙，影射的地址是个内网地址，实际是公网。
电信定义

                               
登录/注册后可看大图

设置完

然后再问个问题，难道我就没办法对教育网也进行策略设置吗？就因为他是跟网通一块网卡？

[ 本帖最后由 hgptop 于 2008-7-25 10:59 编辑 ]

hcb

呵呵，基本上和我的设想是一样的嘛
但还是有点没明白:
_____________________________________________________________________
在mangle里面用input和output这样有副作用．好多数据包会溜走。官方用的是forward我自己也用的直接选项外出的网卡就行了。
_____________________________________________________________________
这个方法行还是不行？是不是比做标记更正确和更有效率？希望选择一个更好的办法

hgptop

我为教育网单独增加了一块网卡,教育网也按以上方法做了策略,目前各个网络环境对三个ip均能ping通,但是,我映射的80端口仍然只有所属网络才能打开,异网仍然打不开,请问各位大大端口映射是不是需要也进行设置下??我把我的映射设置贴上来给大伙瞧瞧.

                               
登录/注册后可看大图

常规来说这个是对的,但是目的是让电信的ip既能访问电信的80还能访问网通的80,网通同样如此,这样设置就不行了,具体怎么设置还请各位大大指点.

[ 本帖最后由 hgptop 于 2008-7-25 16:30 编辑 ]

hcb

晕死
你只做了一条线路的dst-nat,当然只有一个能通了,只有访问222.88.30.110才能转到10.87.1.2上面
按同样的道理，对另外两条线路做dstnat就可以了

hgptop

都做了,只能访问同网的80,异网的80访问不到,但是可以ping通异网的地址,要问各位大大的是,映射是不是也要进行策略的设置才可以?

ksw520

官网论坛上有个类似问题的贴子。
http://forum.mikrotik.com/viewto ... =a&hilit=dstnat

2、“Passthrough标记外出连接的时候打勾这里就不用了。”打不打钩是一样的，打与不打有什么区别吗？

Passthrough我理解是，规则是否继续到下一条

比如两条规则
add chain=prerouting action=mark-routing new-routing-mark=main passthrough=yes \
    dst-address=61.145.117.1 dst-port=80 protocol=tcp comment="" disabled=no

add chain=prerouting action=mark-routing new-routing-mark=ADSL2 passthrough=no \
    dst-port=80 protocol=tcp comment="" disabled=no

同时在mangle内，第一条 passthrough=yes ，那么规则的匹配的将是最后一条

[ 本帖最后由 ksw520 于 2008-7-26 10:17 编辑 ]

hgptop

在线苦等，可以ping通但是访问不了任何映射出来的端口啊，各位谁能解决望能指点下。

jykgcx

学习看看！！！