Маршрутизация на основе политики с использованием двух восходящих каналов связи

У меня вопрос про маршрутизацию на основе политик. У нас есть 3 провайдера и 3 интернет-соединения. Я настроил все необходимые политики, и всё работает как надо. Единственное – я не знаю, что делать с маршрутом по умолчанию. У меня на Mikrotik стоит PPTP-сервер, и часть клиентов подключается через ссылку ISP1, а другие – через ISP2. Что нужно добавить в роутер, чтобы политика маршрутизации работала для обеих ссылок и при этом мы могли принимать PPTP-клиентов с обеих сторон? Если поставить маршрут по умолчанию без маркировки маршрута на ISP1, то PPTP-соединения принимаются только через ISP1, а через ISP2 — нет. Если поменять на ISP2, то клиенты с ISP1 не смогут подключиться. Как сделать так, чтобы принимать клиентов с обоих провайдеров? Спасибо за помощь!

Всем привет! Сценарий такой: у меня есть один RB в роли defgw и один ISP (bridge pppoe). Сервисы на сервере размещены на гипервизоре, и один из них — Firewall appliance, который я хочу сделать новым defgw для выбранных рабочих станций. У FW два стандартных интерфейса — public и private, у каждого свой vlan (VL-fw-priv и VL-FW-pub).

Итого, у меня 3 vlan: 1 LAN локальный, 2 VL-FW-priv, 3 VL-FW-pub.

План такой: перенаправить трафик с LAN-локальной станции с RB на FW-private интерфейс как новый шлюз, затем с FW-public обратно на RB и оттуда к ISP (см. приложенный pdf). Трафик должен идти RB → FW-appliance → RB → ISP.

У FW настроен статический маршрут до LAN-local, поэтому NAT для трафика с рабочей станции к FW-private интерфейсу не нужен. FW может пинговать устройства LAN-local.

Я настроил routing-mark для LAN-устройств, добавил default-route для этого routing-mark, но результат очень частичный — пинг и трассировка на 8.8.8.8 проходят корректно → WorkSt → RB → FW-private → FW-pub → (RB) VL-FW-pub IP → ISP → … 8.8.8.8 отвечает быстро, поиск Google тоже, НО обычный браузинг не работает: несколько страниц грузятся очень медленно, остальные вообще не загружаются.

Если рабочую станцию поместить в vlan FW-priv и назначить IP FW-private в качестве дефолтного шлюза, всё работает отлично и в реальном времени.

Конфиг:

/ip firewall mangle  
add action=mark-routing chain=prerouting in-interface=bridge-lan new-routing-mark=to-kvc passthrough=no src-address-list=kvc-client

/ip route  
add distance=1 gateway=10.168.14.2 routing-mark=to-kvc scope=30

Трассировка маршрута к dns.google [8.8.8.8], максимум 30 прыжков:

1    <1 ms    <1 ms    <1 ms  192.168.17.1   …    OK!      RB-IP    LAN-local defgw  
2    11 ms    <1 ms     1 ms  10.168.14.2      …     OK!     FW-priv-IP  
3     1 ms     1 ms    <1 ms  10.168.15.1       …     OK!     RB-VL-FW-pub-IP  
4     1 ms     1 ms     1 ms  10.10.10.1          …      OK!      … ISP  
5     1 ms     1 ms     1 ms  10.200.4.189  
6     2 ms     1 ms     1 ms vd36-n229-h8.loc-b.akton.net [81.17.229.8]
7     2 ms     1 ms     1 ms cr72-1-n229-h40.loc-b.akton.net [81.17.229.40]

Любая помощь очень приветствуется. Спасибо большое заранее!  
BR  
stup-2.pdf (68.1 KB)

anav, спасибо. Да!!! … правила маршрутизации решили всё … кажется, теперь всё работает так, как должно … Вопрос остаётся: почему это не сработало с mangle … или как бы это работало с mangle … но теперь это уже не так важно.

Я пробовал это сделать, но без mangle не работает. Поясните, пожалуйста, подробнее.