А вышла beta5? Интересно…
Сейчас активно гоняю в тестовой лабе 5 chr на beta4 и вообще никаких проблем не испытываю

p.s. наверное речь идет всеже о 7.1beta5 ?

приветствую, а подскажите, плиз, насколько стабильна в работе ROS 7.0beta5 или новее? есть необходимость в использовании vxlan

Вопрос: а можно ли на одно и тоже соединение одновременно сделать и srcnat и dstnat, и еще завернуть не по маршруту?

Чуть подробнее: есть комп с серым адресом за NAT на Mikrotik.

На Микротике 2 апстрима, комп с серым IP должен ходить наружу по одному из апстримов, но если если вдруг он пойдет на сочетание IP/порт, то нужно его завернуть на другой апстрим и при этом поменять номер порта

Нужно это для подмены IP-адреса.

Грубо говоря, если с компа открывают A.B.C.D:80 то идем по дефолтному маршруту и при выходе во внешний канал делаем srcnat с адресом роутера на этом канале

но, если с компа открывают к примеру A.B.C.D:8080, то идем через другой канал, делаем srcnat с адресом роутера на этом другом канале и плюс к этому меняем DST port с 8080 на 80

С packet flow diagram дружу очень тяжело, хоть и стараюсь понять и простить, но тяжело

догадался, что сначала нужно в prerouting пометить соединение

/ip firewall mangle  add chain=prerouting protocol=tcp dst-address=A.B.C.D/32 dst-port=8080 action=mark-connection new-connection-mark=test

А дальше как сделать чтоб все три правила отработали (и srcnat, и dstnat, и еще изменение маршрута)?

можно. достаточно использовать mangle action=route

А в какой цепочке?

а есть варианты?

Так яж потому и задаю вопрос, что не совсем понимаю

Предположу, что postrouting ?

pre

Вопрос: а можно ли на одно и тоже соединение одновременно сделать и srcnat и dstnat, и еще завернуть не по маршруту?

Чуть подробнее: есть комп с серым адресом за NAT на Mikrotik.

На Микротике 2 апстрима, комп с серым IP должен ходить наружу по одному из апстримов, но если если вдруг он пойдет на сочетание IP/порт, то нужно его завернуть на другой апстрим и при этом поменять номер порта

Нужно это для подмены IP-адреса.

Грубо говоря, если с компа открывают A.B.C.D:80 то идем по дефолтному маршруту и при выходе во внешний канал делаем srcnat с адресом роутера на этом канале

но, если с компа открывают к примеру A.B.C.D:8080, то идем через другой канал, делаем srcnat с адресом роутера на этом другом канале и плюс к этому меняем DST port с 8080 на 80

С packet flow diagram дружу очень тяжело, хоть и стараюсь понять и простить, но тяжело

догадался, что сначала нужно в prerouting пометить соединение

/ip firewall mangle  add chain=prerouting protocol=tcp dst-address=A.B.C.D/32 dst-port=8080 action=mark-connection new-connection-mark=test

А дальше как сделать чтоб все три правила отработали (и srcnat, и dstnat, и еще изменение маршрута)?

Если прям хотите через метки/марки, то последовательность такова: сначала метка соединения, потом, по метке соединения маркроут, потом дстнат, (потом применится маршрут, который Вы создадите для маркроута) и потом, на выходе,  соурснат.

Спасибо, пойду теперь читать, как сделать, чтоб 2 правила в prerouting сработали, думаю это тупой вопрос - стыдно спрашивать

1. Вам же посоветовали, как сделать одним.
2. А метка соединения с пастру даст тут же отработать марке маршрута

Я, видимо, не понял
Да и через метки больше нравится, так как прийдется решение масштабировать (будет несколько разных белых IP)

Что именно не поняли?
Масштабированию это не мешает. И, если речь идет только о транзитном трафике, здорово упрощает работу, плюс экономит ресурсы роутера.

Что не понял: мне нужно 3 операции сделать, поменять маршрут, сделать srcnat и dstnat. Я думал, что если сначала пометить соединение и работать только с ним, то роутеру будет легче

"режим свитча" это что?