+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Удалить Nat Sessions при определённом событии

Удалить Nat Sessions при определённом событии, RouterOS

AdminAdmin123

Guest

20.05.2021 14:03:00

Всем привет! Хотел узнать, есть ли возможность автоматизировать удаление конкретных NAT-сессий в соединениях фаервола при срабатывании какого-то события. Более конкретно: у меня на Mikrotik два WAN с резервированием через маршруты и дистанцию. Когда PPPoE падает, весь трафик переключается на резервный LTE через другой Ethernet-интерфейс. Проблема в том, что все SIP-соединения и трафик при этом перестают работать, если я вручную не зайду в соединения фаервола и не удалю все SIP-сессии на порту 5060, заставляя телефоны регистрироваться заново. Есть ли способ с помощью скрипта или какого-то контроля (возможно netwatch, если это применимо, извиняюсь, если написал не в тот раздел) автоматизировать удаление соединений фаервола каждый раз при смене маршрута по умолчанию (то есть основного WAN)? Заранее спасибо за ответы, всем доброго!

AdminAdmin123

Guest

16.06.2021 07:45:00

Привет, mbaute, спасибо за ответ. Переключение на резервное соединение тут не проблема, связь восстанавливается нормально, когда основной WAN отключается. Моя проблема в том, что когда соединения переключаются туда-сюда, старые NAT-сессии остаются, и мне нужно закрывать старые (в основном из-за SIP) каждый раз, когда меняется WAN. (Надеюсь, я понятно объяснил проблему, я одновременно и за рулём, и пишу ^^')

rextended Guest	#3 0 16.06.2021 07:54:00 …БЕЗ КОММЕНТАРИЕВ…

AdminAdmin123

Guest

21.09.2021 15:20:00

Как будто ты никогда этого не делал… ^^’ В общем, я нашёл, как завершать все нужные сессии, но всё равно испытываю трудности, чтобы делать это всего лишь один раз при каждом изменении моего дефолтного маршрута (failover с разным расстоянием).

rextended Guest	#5 0 21.09.2021 16:15:00 Ох... как давно ты одновременно писал и водил в последний раз... Ты только что из больницы?

AdminAdmin123

Guest

11.10.2021 08:15:00

Конечно, только что за рулём и пишу. Возвращаюсь к теме. Я понял, как это может работать для решения проблемы, но у меня слишком мало знаний в скриптах Mikrotik, чтобы реализовать. Мне нужен скрипт, который срабатывает при срабатывании netwatch (up/down) и каждый раз, когда основной канал падает, убивает все сессии с адресом назначения xxx.xxx.xxx.xxx. Мои маршруты сейчас такие:

/ip route
add distance=10 gateway=10.254.251.254
add distance=22 gateway=192.168.129.254

Когда 10.254.251.254 становится недоступен, скрипт должен выполнить команду:
/ip firewall connection remove [/ip firewall connection find dst-address~“xxx.xxx.xxx.xxx:5060”] — и сделать это только один раз.
Когда 10.254.251.254 снова становится доступен, скрипт должен опять выполнить это действие один раз.

Заранее спасибо за все будущие ответы!

rextended

Guest

11.10.2021 11:22:00

Создайте netwatch для этого IP и в параметрах on-down и on-up вставьте следующую команду:

/ip fire conn
:foreach idc in=[find where (timeout > 60) and (reply-dst-address ~ "10.254.251.254")] do={
remove [find where .id=$idc]
}

Пожалуйста, не меняйте значение timeout. http://forum.mikrotik.com/t/dual-wan-failover-script-ping-command/150516/1

Я не пишу это просто так. Если хоть одно соединение в connection tracking уже закрыто по таймауту (или по другой причине) во время выполнения очистки, скрипт выдаст ошибку, так как при попытке обработки соединение уже закрыто, и скрипт не завершит свою работу.

stevenyobrauly Guest	#8 0 21.10.2021 07:54:00 Привет, Rextended, как быть с тем, если соединения, которые мне нужно удалить, находятся за NAT с пулом, например /30 или /29? Как я должен указать это в твоём скрипте?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры