http://mikrotik.moscow Новое в теме Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sat, 23 May 2026 19:26:11 +0300 Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" RouterOS в форуме RouterOS.
Спасибо, mrz. На самом деле я думал о похожем подходе перед сном, но не проверял его. Так что твоё решение работает! Спасибо. Мне придётся заменить это во всех правилах, где ожидается подобное поведение. Удачи, хорошего дня!
22.04.2025 17:05:00, novasys.]]> http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383244 http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383244 Tue, 22 Apr 2025 17:05:00 +0300 RouterOS Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" RouterOS в форуме RouterOS.
если (dst в BGP_NETWORKS_VPN_VDF && dst-len > 32)
22.04.2025 07:14:00, mrz.]]> http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383243 http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383243 Tue, 22 Apr 2025 07:14:00 +0300 RouterOS Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" RouterOS в форуме RouterOS.
Почти год прошёл, а проблема всё ещё присутствует. Я не смог найти обходное решение. Все /32, которые объявляются от BGP-пира, фильтруются правилом chain=BGP_IN_VPN_VDF rule="if ( dst in BGP_NETWORKS_VPN_VDF ) { reject; }".

Ниже вывод, полученный при активном правиле:

[local@NSG_MB_Core] /routing/filter/rule> /routing/route/print detail where gateway=10.1.255.1 and 81.181.171.131 in dst-address
Flags: X - отключено, F - отфильтровано, U - недоступно, A - активно; c - connect, s - static, r - rip, b - bgp, o - ospf, i - isis, d - dhcp, v - vpn, m - modem, a - ldp-address, l - ldp-mapping, g - slaac, y - bgp-mpls-vpn; H - аппаратное ускорение;  
+ - ecmp, B - blackhole  
b   afi=ip4 contribution=best-candidate dst-address=0.0.0.0/0 routing-table=main gateway=10.1.255.1 immediate-gw=10.1.255.1%vlan4004 distance=150 scope=40 target-scope=10 belongs-to="bgp-IP-10.1.255.1"  
     bgp.session=VDF_VPN-1 .as-path="64891,12302,12302,207737" .communities=64891:1,64891:100,64891:1006 .weight=90 .local-pref=90 .origin=igp  
     debug.fwp-ptr=0x20342BA0  

Fb   afi=ip4 contribution=filtered dst-address=81.181.171.131/32 routing-table=main gateway=10.1.255.1 immediate-gw=10.1.255.1%vlan4004 distance=20 scope=40 target-scope=10 belongs-to="bgp-IP-10.1.255.1"  
     bgp.session=VDF_VPN-1 .as-path="64891,12302,12302,207737" .communities=64891:1 .origin=igp  
     debug.fwp-ptr=0x20342BA0  

А когда правило выключено:

[local@NSG_MB_Core] /routing/filter/rule> /routing/route/print detail where gateway=10.1.255.1 and 81.181.171.131 in dst-address
Flags: X - отключено, F - отфильтровано, U - недоступно, A - активно; c - connect, s - static, r - rip, b - bgp, o - ospf, i - isis, d - dhcp, v - vpn, m - modem, a - ldp-address, l - ldp-mapping, g - slaac, y - bgp-mpls-vpn; H - аппаратное ускорение;  
+ - ecmp, B - blackhole  
b   afi=ip4 contribution=best-candidate dst-address=0.0.0.0/0 routing-table=main gateway=10.1.255.1 immediate-gw=10.1.255.1%vlan4004 distance=150 scope=40 target-scope=10 belongs-to="bgp-IP-10.1.255.1"  
     bgp.session=VDF_VPN-1 .as-path="64891,12302,12302,207737" .communities=64891:1,64891:100,64891:1006 .weight=90 .local-pref=90 .origin=igp  
     debug.fwp-ptr=0x20342BA0  

Ab   afi=ip4 contribution=active dst-address=81.181.171.131/32 routing-table=main gateway=10.1.255.1 immediate-gw=10.1.255.1%vlan4004 distance=20 scope=40 target-scope=10 belongs-to="bgp-IP-10.1.255.1"  
     bgp.session=VDF_VPN-1 .as-path="64891,12302,12302,207737" .communities=64891:1 .origin=igp  
     debug.fwp-ptr=0x20342BA0  

Мой адресный список содержит только:  

[local@NSG_MB_Core] /routing/filter/rule> /ip fi address-list/print where 81.181.171.131 in address and list=BGP_NETWORKS_VPN_VDF
Columns: LIST, ADDRESS, CREATION-TIME  
# LIST                  ADDRESS          CREATION-TIME  
;;; NSG #001 - ICI  
2 BGP_NETWORKS_VPN_VDF  81.181.171.0/24  2025-04-22 01:13:18  
;;; NSG #000 - ICI  
3 BGP_NETWORKS_VPN_VDF  81.181.170.0/23  2025-04-22 01:13:18  

Пока не было возможности проверить анонсы, но явно получаемые маршруты затрагиваются. Есть какие-нибудь советы?
22.04.2025 01:22:00, novasys.]]> http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383242 http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383242 Tue, 22 Apr 2025 01:22:00 +0300 RouterOS Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" RouterOS в форуме RouterOS.
Есть ли у тебя новости от службы поддержки?
12.06.2024 18:55:00, alexjhart.]]> http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383241 http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383241 Wed, 12 Jun 2024 18:55:00 +0300 RouterOS Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" RouterOS в форуме RouterOS.
Это поведение совершенно неинтуитивное и сильно усложняет автоматизацию фильтров. По моему мнению, при использовании списков должно работать следующее:

address-list add list=test_list address=192.168.1.0/24  
address-list add list=test_list address=10.0.0.0/8

#accept 192.168.1.0/24, 192.168.1.128/29, 10.1.2.0/24  
#deny 1.1.1.0/24  
chain=test_bgp_rule="if (afi ipv4 && dst in test_list) {set bgp-path-prepend 2;accept}"  
chain=test_bgp_rule="reject;"

#accept 192.168.1.0/24  
#deny 1.1.1.0/24, 192.168.1.128/29, 10.1.2.0/24  
chain=test_bgp_rule="if (afi ipv4 && dst == test_list) {set bgp-path-prepend 2;accept}"  
chain=test_bgp_rule="reject;"

#accept 1.1.1.0/24, 192.168.1.128/29, 10.1.2.0/24  
#deny 192.168.1.0/24  
chain=test_bgp_rule="if (afi ipv4 && dst != test_list) {set bgp-path-prepend 2;accept}"  
chain=test_bgp_rule="reject;"

Ещё, возможно, стоит добавить новый оператор «!in» — «не в префиксе», которого сейчас нет.

address-list add list=test_list address=192.168.1.0/24  
address-list add list=test_list address=10.0.0.0/8

#accept 1.1.1.0/24  
#deny 192.168.1.0/24, 192.168.1.128/29, 10.1.2.0/24  
chain=test_bgp_rule="if (afi ipv4 && dst !in test_list) {set bgp-path-prepend 2;accept}"  
chain=test_bgp_rule="reject;"
10.02.2024 22:31:00, twofatmonkeys.]]> http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383240 http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383240 Sat, 10 Feb 2024 22:31:00 +0300 RouterOS Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" RouterOS в форуме RouterOS.
Я бы также хотел получить окончательное разъяснение по этому поведению — останется ли оно таким, какое есть, или оператор будет изменён. В данный момент я использую этот баг/фичу в своих целях для фильтрации BGP, чтобы пропускать от клиентов только правильные префиксы с точным совпадением, как указано в списке префиксов клиента. По счастливой случайности, если от клиента приходит /32 или /128, он проходит через начальное правило фильтра в цепочке клиента и попадает в правило blackhole.

В AS0000_CID_IPV6_PL  
192.168.0.0/22

В цепочке Customer:  
if (dst in AS0000_CID_IPV6_PL) {  
 jump ALL_CUSTOMER_IPV6_IN;  
} else {  
 reject;  
}

В ALL_CUSTOMER_IPV6_IN:  
if (bgp-large-communities equal 0000:666:666 && (dst-len == 32 || dst-len == 128)) {  
 set blackhole yes;  
 return;  
} else {  
 return;  
}

Интересно, есть ли у кого-нибудь предложения, как сделать это лучше?
18.11.2023 23:28:00, nellicus.]]> http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383239 http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383239 Sat, 18 Nov 2023 23:28:00 +0300 RouterOS Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" RouterOS в форуме RouterOS.
Эта проблема всё ещё существует в RouterOS v7.12rc4. Совпадение точных префиксов, заданных в списке адресов с использованием условия «if (dst in address-list) {accept}», работает некорректно и принимает каждый отдельный адрес /32 в указанных префиксах.
03.11.2023 00:21:00, FezzFest.]]> http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383238 http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383238 Fri, 03 Nov 2023 00:21:00 +0300 RouterOS Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" RouterOS в форуме RouterOS.
Для всех, кто столкнулся с такой же проблемой, я провёл дополнительные тесты, и служба поддержки Mikrotik только что подтвердила: точное совпадение на самом деле работает, но есть ошибка — оно срабатывает и на подсети /32. Другие размеры подсетей не затронуты.
01.12.2022 12:46:00, StepBee.]]> http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383237 http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383237 Thu, 01 Dec 2022 12:46:00 +0300 RouterOS Вопрос по точному совпадению префикса в фильтре маршрутов BGP "dst in address_list" RouterOS в форуме RouterOS.
Привет, ребята из Mikrotik! С большим удовольствием заметил, что в ROS v7.6 снова появилась возможность отображать рекламируемые маршруты — здорово! Благодаря этому я смог увидеть, с моей точки зрения, неожиданное поведение фильтра маршрутов.

Согласно документации по фильтрам маршрутов (BGP), оператор префикса IN — возвращает true, если префикс является подсетью указанной сети. Если оператор используется для сопоставления префиксов из списка адресов (например, «dst in list_name»), то он должен совпадать только с точным префиксом.

Я использую следующее правило:  
chain=ipv4-ebgp-provider-out  
rule=«if (afi ipv4 && dst in ipv4-subnets-own-remote) {set bgp-path-prepend 2; accept}»

И у меня есть такая запись в списке «ipv4-subnets-own-remote»:  
list=ipv4-subnets-own-remote  
address=123.87.184.0/24

Согласно моему пониманию документации, правило должно пропускать только точно «123.87.184.0/24», а не 123.87.184.0/25, не 123.87.184.123/32 или что-то ещё — только точное совпадение префикса.

Но, глядя на рекламируемые маршруты, я вижу:  
peer=ipv4-ebgp-provider-1  
dst=123.87.184.16  
nexthop=99.115.135.123  
origin=2

Когда я отключаю вышеуказанное правило, этот IP не рекламируется — значит, именно это правило его пропускает.

Может, я неправильно понимаю документацию («Если оператор используется для сопоставления префиксов из списка адресов (например, “dst in list_name”), то совпадение происходит только по точному префиксу»), или есть разница между реализацией и документацией?

Есть ли у вас советы, как сделать так, чтобы принимался только точный префикс адреса?

Спасибо и с уважением,  
Стефан
19.10.2022 17:57:00, StepBee.]]> http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383236 http://mikrotik.moscow/forum/forum57/84101-vopros-po-tochnomu-sovpadeniyu-prefiksa-v-filtre-marshrutov-bgp-_dst-in-address_list/message383236 Wed, 19 Oct 2022 17:57:00 +0300 RouterOS