Обикновен src + dst NAT

[Sko]

Здравейте потребител съм от дълги години. На скоро си смених рутера в къщи със 2011UiAS-2HnD и тогава започнаха проблемите.

Това което искам да направя е възможно най глупавия сценарии. 

2  Интернет доставчика без load balansing просто част от адресите да ги натна към вътрешната мрежа и обратно.

/ip address print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                                                   
 0   ;;; defconf
     192.168.88.1/24    192.168.88.0    ether2-master
 1   84.54.xxx.249/29   84.54.xxx.248   WAN2-pppoe                                                                                                                                                                
 2   84.54.xxx.251/29   84.54.xxx.248   WAN2-pppoe                                                                                                                                                                
 3   84.54.xxx.252/29   84.54.xxx.248   WAN2-pppoe                                                                                                                                                                
 4   84.54.xxx.253/29   84.54.xxx.248   WAN2-pppoe                                                                                                                                                                
 5   84.54.xxx.250/29   84.54.xxx.248   WAN2-pppoe                                                                                                                                                                
 6 D 84.54.xxx.136/32   84.54.xxx.1     WAN2-pppoe                                                                                                                                                                
 7 D 84.242.xxx.127/21  84.242.168.0    WAN1    

/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=masquerade src-address=192.168.88.0/24 out-interface=WAN2-pppoe log=no log-prefix="" 
 1    chain=srcnat action=masquerade src-address=192.168.88.0/24 out-interface=WAN1 log=no log-prefix="" 
 2    chain=srcnat action=src-nat to-addresses=84.54.xxx.250 src-address=192.168.88.37 log=yes log-prefix="SRCNAT" 
 3    chain=dstnat action=dst-nat to-addresses=192.168.88.37 protocol=tcp dst-address=84.54.xxx.250 log=no log-prefix="DNAT" 

Това което виждам от connection монитора е че трафика идва през WAN2 и се опитва да излезе през WAN1.

Тук реших да започна да слагам рутинг марки и да персистирам връзките. 

 /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=prerouting action=passthrough 
 1  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 
 2  D ;;; special dummy rule to show fasttrack counters
      chain=postrouting action=passthrough 
 3   chain=forward action=mark-connection new-connection-mark=mtel_conn passthrough=yes connection-state=new in-interface=WAN1 log=no log-prefix="" 
 4   chain=forward action=mark-connection new-connection-mark=oc_conn passthrough=yes connection-state=new in-interface=WAN2-pppoe log=no log-prefix="" 
 5   chain=input action=mark-connection new-connection-mark=mtel_conn passthrough=yes in-interface=WAN1 log=no log-prefix="" 
 6   chain=input action=mark-connection new-connection-mark=oc_conn passthrough=yes in-interface=WAN2-pppoe log=no log-prefix="" 
 7   chain=output action=mark-routing new-routing-mark=to_mtel passthrough=yes connection-mark=mtel_conn log=no log-prefix="" 
 8   chain=output action=mark-routing new-routing-mark=to_oc passthrough=yes connection-mark=oc_conn log=no log-prefix="" 
 9   chain=prerouting action=accept dst-address=84.242.xxx.0/21 in-interface=bridge log=no log-prefix="" 
10   chain=prerouting action=accept dst-address=84.54.xxx.248/29 in-interface=bridge log=no log-prefix="" 
11   chain=prerouting action=mark-connection new-connection-mark=mtel_conn passthrough=yes dst-address-type=!local connection-mark=no-mark in-interface=bridge log=no log-prefix="" 
12   chain=prerouting action=mark-connection new-connection-mark=oc_conn passthrough=yes dst-address-type=!local connection-mark=no-mark in-interface=bridge log=no log-prefix="" 
13   chain=prerouting action=mark-routing new-routing-mark=to_mtel passthrough=yes connection-mark=mtel_conn in-interface=bridge log=no log-prefix="" 
14   chain=prerouting action=mark-routing new-routing-mark=to_oc passthrough=yes connection-mark=oc_conn in-interface=bridge log=no log-prefix=""

И респективо добавих рутинг правила на база на марките да но не .. дори и така връзката идва през WAN2 опитва да я изкара през WAN1 при поворен ретрансмит пакета излиза през WAN1 но това причинява огромни закъснения .. 

Очевидно нещо много генерално греша но нямам никаква идея какво може да е.

[111111]

Не виждам каде си си описал адресите от локалните за ната 
п.с.

използвай export вместо print

[Sko]

Локалната мрежа е стандартната за микротик 

192.168.88.1/24    192.168.88.0    ether2-master

като  ether2-master е част от ot bridge с име "bridge"

Конкретно казано аз очаквам че ако има SNAT при пренаписването на адреса очаквам рутинг-а да се усети и да изпрати пакета обратно през правилният интерфейс. т.е дори да не е нужно да се ползва mangle но очевидно това не се случва по някаква причина. 

Редактирано 30 Август, 2017 от Sko