Добрый день, пытаюсь настроить VRRP на апстриме к провайдеру (там ethernet) c NAT и fasttrack.

Проблема в том, что когда роутер находится в режиме VRRP backup, у него есть default route на VRRP master через отдельный интерфейс на котором нет nat

и когда VRRP backup становится VRRP master - на нем поднимается default route на провайдера с меньшим весом, но через интерейс на котором есть NAT

при этом это роутер начинает слать пакеты на провайдера, но не делает NAT

Нутром чую, что нужно курить мануалы по packet flow, кучу уже прочитал, много видео насмотрелся (в том числе через такое видео вышел на этот телеграм чат), но все равно не понимаю как это правильно организовать

максимум что придумал, это делать
/ip firewall connection remove [find]

но опять, же, если ручками это сделать из консоли, то это работает, а если повесить это на vrrp-интерфес на событие on-master, то это не работает и почему - вот тут я уже не понимаю

Соответсвенно, два вопроса:
1. Как сделать правильно без скриптов vrrp+nat+fasttrack
2. Если без скриптов это сделать нельзя, то как сделать со скриптами правильно

Под NAT подразымевается src-nat в базовом виде

/ip firewall nat
add action=src-nat chain=srcnat out-interface=vrrp-upstream to-addresses=<белый IP>

там двести  штук /24, но  суммировать незя, так как это сто филиалов и маршруты разные. на скрине вид из филиала, поэтому маршруты через голову идут, а в голове они уже рассыпаются. но даже две сотни маршрутов это никакая нагрузка в относительно статично и стабильной топологии

а ну как они продолбают логи и на штраф налетишь

нет, ибо сервис предоставляют они, у тебя договор. Вопросы к ним

т.е. и с этой стороны - это удобно

можно даже сказать  -в этом и смысл

обязанность хранить журналы на тебе и ее не передать. спросят с тебя. в договоре можно только штраф указать, но если у тебя 100 филиалов с бесплатным вайфаем, то потеря логов везде может стоить емнип 300.000р*100=30млн. на такой штраф никто не согласится

1. без скриптов - никак.
2.  на он-бкп/он-мастер, помимо сброса соединений, включать-выключать НАТ на интерфейсе

с чего ты взял? не на мне, я заключил договор на предоставление услуги. услугу предоставляет, например, глобалхотспот.

ты заключаешь договор на предоставление услуг. Услугу доступа к сети предоставляешь клиентам не ты, а они

=))

интерьесно..

в этом смысл

спасибо
интересно, почему тогда
/ip firewall connection remove [find]
срабатывает, когда его запускаешь ручками?
возможно, секрет в том, что его нужно запускать уже посде того, как передернется nat на интерфейсе?

не уверен, что они такой договор дают всем

И, кстати, еще вопрос
А есть ли у Mikrotik аналог цискиного
show ip nat translations

/ip fi co pr where srcnat
самое близкое из "простого" :)

Прям образцово-показательная постановка вопроса: "что есть" - "чего хочу" - "что получаю вместо" - "что пробовал". Респект!

спасибо