PCC + VPN Server = Problem!

[alefgr]

Τελικά αυτά τα δύο μπορούν να συνδυαστούν; Απενεργοποιώντας τα 15 mangles rules που έχουν σχέση με το PCC (υπάρχουν 3 WAN συνδέσεις), μπορώ να κάνω σύνδεση και σε PPTP και σε L2TP από το WAN1 interface. Με το που τα ξαναενεργοποιώ, σταματάει να δουλεύει το VPN. Κάπου διάβασα πως θα πρέπει να μαρκαριστούν τα VPN πακέτα από πριν, για να γίνει η σωστή δρομολόγηση, αλλά μην έχοντας κάποιο παράδειγμα και σαν νέος στο χώρο του mikrotik, δεν κατάφερα να το κάνω να δουλέψει.

Υπάρχει λύση ή το ξεχνάω το VPN;

[macro]

Ναι ετσι ειναι, πρεπει να μαρκαρεις τα πακετα πριν απο το pcc για να μπορεσεις να συνδεθεις και για να το επιτυχεις αυτο θα το κανεις me routing mark.

Εγω π.χ. για να στειλω τα https στη μια γραμμη για να μην εχω θεμα με τραπεζικα sites κ.λ.π. που εχουν αυξημενο security χρησιμοποιω το παρακατω κανονα.

Κώδικας:

/ip firewall mangle
add action=mark-routing chain=prerouting comment=______HTTPS_TO_ETHER3 new-routing-mark=to_ether3 passthrough=no port=443 protocol=tcp src-address=192.168.16.0/24

Σου εβαλα σε bold τις αλλαγες που πρεπει να κανεις για τις δικες σου αναγκες.


Αυτο μπορεις να το κανεις και απευθειας με route κανονες, αλλα εμενα με βολεψε το παραπανω.

[alefgr]

Καταρχήν σε ευχαριστώ για την απάντησή σου.

Υποθέτω ότι θα πρέπει αυτός ο κανόνας να μπει στην πρώτη θέση με port το 1723, μαζί με έναν δεύτερο σχεδόν πανομοιότυπο, που αντί για το tcp πρωτόκολλο θα έχει στη θέση του το gre.

Υποθέτω πως αντί για το μαρκάρισμα "to_ether3" θα πρέπει να βάλω το μαρκάρισμα που δουλεύω ήδη στα rules του PCC και στο Route, δηλαδή "to_WAN1" μιας και από το 1o gateway θέλω να κάνω την VPN σύνδεση.

Μια ακόμα ερώτηση, το 192.168.16.0/24 είναι το subnet στο ether3, στην δική σου περίπτωση;

[macro]

Για τα 2 πρωτα ειναι ετσι οπως τα κατανοησες, δε γνωριζω βεβαια αν πρεπει να μπει το gre. Υποθετω πως εσυ ξερεις καλυτερα. Πιστευω πως οχι.... με tcp 1723 νομιζω θα κανεις τη δουλεια σου. Δοκιμασε το.

Και wan1 οπως σωστα ειπες αν θες να βγαινει απο εκει το vpn σου και ναι πρωτος κανονας θα ειναι, ή τουλαχιστον πανω απο το pcc αν εχεις μερικους τετοιους κανονες. Επειδη εγω εχω καμια 10ρια, για αυτο το λεω.


Το 192.168.16.0/24 ειναι το τοπικο LAN, εκει θα βαλεις το αντιστοιχο δικο σου. Αν εχεις π.χ. λαν 192.168.1.χ , θα βαλεις 192.168.1.0/24 που σημαινει οτι ο κανονας αυτος θα καλυπτει ολο το λαν σου.

[alefgr]

Σχετικά με το 192.168.16.0/24 και το τοπικό LAN, δεν κατανοώ το τι σχέση έχει με το VPN. Δεν θέλω να στήσω VPN Server στο τοπικό δίκτυο, αλλά να αναλάβει το ίδιο το mikrotik το ρόλο του VPN Server, που θα μου δίνει πρόσβαση για να συνδέομαι από το Internet, όπου θα μου κάνει bridge στο Hotspot δίκτυο. Στην δική μου περίπτωση, υπάρχουν στο mikrotik 3 WAN subnets, 1 LAN, 1 Hotspot και 1 για το VPN που έχει το δικό του subnet.

Το balance του traffic ανάμεσα στα 3 gateway με χρήση του PCC, γίνεται μόνο στο Hotspot δίκτυο και μάλιστα μόνο σε αυτούς που έχουν κάνει authentication. Όλα τα υπόλοιπα connections γίνονται στο default gateway, που λόγο ρύθμισης είναι το WAN1, μέχρι να πέσει και να πάει στο επόμενο.

- - - Updated - - -

Τελικά με 2 απλά mangle rules στην κορυφή, κατάφερα να κάνω σύνδεση vpn και να μπορώ να δω ολόκληρο το hotspot subnet.

Κώδικας:

/ip firewall mangle
add chain=prerouting dst-address=10.20.0.1 protocol=tcp dst-port=1723 action=accept
add chain=prerouting dst-address=10.20.0.1 protocol=gre action=accept

Το 10.20.0.1 είναι το gateway του vpn.

Μου παρουσιάστηκε όμως ένα κουφό πρόβλημα. Από λειτουργικά που τρέχουν windows server 2003 όλα είναι άψογα, αλλά από windows 7 έχω error 807 και καμία καταγραφή στο log του mikrotik! Σαν να μην φτάνει καν σε αυτό κανένα πακέτο. Όμως αν βγεί εκτός το load balancing, τότε συνδέονται και τα seven.

Καμιά καλή ιδέα για το τι συμβαίνει;

[ayger]

Σχετικά με το 192.168.16.0/24 και το τοπικό LAN, δεν κατανοώ το τι σχέση έχει με το VPN. Δεν θέλω να στήσω VPN Server στο τοπικό δίκτυο, αλλά να αναλάβει το ίδιο το mikrotik το ρόλο του VPN Server, που θα μου δίνει πρόσβαση για να συνδέομαι από το Internet, όπου θα μου κάνει bridge στο Hotspot δίκτυο.

Προσωπικά, μου ακούγεται λίγο μπερδεμένο αυτό. Μπορείς να εξηγήσεις πιο απλοϊκά τι _ακριβώς_ προσπαθείς να επιτύχεις?

Το balance του traffic ανάμεσα στα 3 gateway με χρήση του PCC, γίνεται μόνο στο Hotspot δίκτυο και μάλιστα μόνο σε αυτούς που έχουν κάνει authentication.
Όλα τα υπόλοιπα connections γίνονται στο default gateway, που λόγο ρύθμισης είναι το WAN1, μέχρι να πέσει και να πάει στο επόμενο.

Και γιατί δεν τα βάζεις όλα με όλα να γίνει ωραίο blending? Υποθέτω ότι έχεις βάλει firewall filter να μην επικοινωνούν τα δύο υποδίκτυα μεταξύ τους, σωστα?

Τελικά με 2 απλά mangle rules στην κορυφή, κατάφερα να κάνω σύνδεση vpn και να μπορώ να δω ολόκληρο το hotspot subnet.

Κώδικας:

/ip firewall mangle
add chain=prerouting dst-address=10.20.0.1 protocol=tcp dst-port=1723 action=accept
add chain=prerouting dst-address=10.20.0.1 protocol=gre action=accept

O λόγος που έπαιξε αυτό είναι ότι στα pptp το gre πρωτόκολλο και το control port του πάνε δυο δυο σαν τους Χιώτες.
Αν το gre βγαίνει από την 2.2.2.2 wan ip και το control port από την 3.3.3.3 wan ip, θα έχεις broken connection.
O Κανόνας που έβαλες επάνω επάνω με accept, είναι να ΜΗΝ προχωρήσει στην αλυσίδα του mangle η περαιτέρω επεξεργασία, άρα να βγεις από το default route.

To pcc τι το έχεις βάλει? both destination ip and ports ίσως?

[macro]

Στοο κανονα που σου εβαλα πιο πανω εσυ θα βαλεις 10.20.0.0/24 και θα βγαινει απο τη wan1. Και δε θα εχεις κανενα προβλημα το πιθανοτερο.

[alefgr]

Αυτό που προσπαθώ να πετύχω, είναι να μπορώ μέσω απομακρυσμένης σύνδεσης vpn, να μπορώ να συνδεθώ σε οποιαδήποτε συσκευή είναι συνδεδεμένη, είτε στο Hotspot δίκτυο είτε στο LAN και φυσικά να μπορώ να πάρω τον έλεγχο των 3 modems μέσω μπρόσορα. Το κακό είναι με τα τελευταία modems-boosters του ΟΤΕ Huawei HA35 έχω θέματα, όπως σε κάποιο από αυτά θέλει διαφορετική ip διεύθυνση για να συνδεθώ στο WebUI του modem, από την διεύθυνση wan που μπορώ να την ξέρω μέσω του noip και με την βοήθεια του mikrotik. Και την διεύθυνση αυτή που είναι στο bonding tunnel, την ξέρει μόνο το ίδιο το modem.

Όσο για το PCC είναι όντως στο both address & ports, μιας που προς το παρόν έχω δει καλύτερες επιδώσεις με αυτή την επιλογή, ιδιαίτερα όταν ανοίγω βαριές σελίδες με πολλαπλές συνδέσεις.

Το πρόβλημα όμως παραμένει με τα seven. Και με τρίτο μηχάνημα που τρέχει Win2K3 μπαίνω κανονικά, αλλά με seven ούτε με σφαίρες. Ένα μόνο προβληματάκι αντιμετωπίζω με την πρόσβαση στα subnets των wan, είναι ότι κάθε φορά θα πρέπει να τρέχω ένα script στο τοπικό μηχάνημα και να προσθέτω το route 192.168.0.0/22 ώστε να βγαίνει από την διεύθυνση που έχω πάρει από το vpn. Το κακό είναι ότι η διεύθυνση αυτή είναι δυναμική και αλλάζει κάθε φορά, οπότε θα πρέπει να δουλέψω static διευθύνσεις στο vpn. Αυτό διορθώνεται. Αυτό που δεν ξέρω πως θα διορθώσω είναι το πώς θα κάνω πρόσβαση vpn από το φορητό μου που τρέχει seven. Μένει να προσθέσω στο mangle και rules για L2TP μπας και με αυτή την σύνδεση καταφέρει να περάσει.

- - - Updated - - -

Υπάρχουν νεότερα σχετικά με το πρόβλημα των seven και με L2TP/IPSec VPN συνδέσεις. Μετά από αρκετό ψάξιμο σε πολλά sites, βρήκα πως το πρόβλημα έχει να κάνει με τις μεταγενέστερες εκδόσεις των windows, από τα seven και μετά. Για άγνωστο λόγο, ίσως για περισσότερη ασφάλεια, η Microsoft έκοψε την δυνατότητα πρόσβασης σε L2TP server, όταν ο server είναι πίσω από NAT-T. Υπάρχει όμως η λύση να ξεπεραστεί το πρόβλημα, φτιάχνοντας μια εγγραφή στη registry.

Κώδικας:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Μετά θέλει επανεκκίνηση. Υποθέτω πως κάτι αντίστοιχο παίζει και με το PPTP και τα seven, αλλά ακόμα δεν έχω βρει την λύση του.

[kostas2911]

Εγώ με αυτούς τους κανόνες στο Mangle για PCC και φυσικά τα αντίστοιχα routes έχω κανονικά vpn

Κώδικας:

add action=accept chain=prerouting dst-address=192.168.1.0/24 \
    src-address=192.168.1.0/24
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=OTE1 new-connection-mark=OTE1-conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=OTE2 new-connection-mark=OTE2-conn passthrough=yes
add action=jump chain=prerouting connection-mark=no-mark in-interface=\
    Management jump-target=policy_route
add action=mark-routing chain=prerouting connection-mark=OTE1_conn \
    new-routing-mark=OTE1_route passthrough=yes src-address=192.168.1.0/24
add action=mark-routing chain=prerouting connection-mark=OTE2_conn \
    new-routing-mark=OTE2_route passthrough=yes src-address=192.168.1.0/24
add action=mark-routing chain=output connection-mark=OTE1-conn \
    new-routing-mark=OTE1_route passthrough=yes
add action=mark-routing chain=output connection-mark=OTE2-conn \
    new-routing-mark=OTE2_route passthrough=yes
add action=mark-connection chain=policy_route dst-address-type=!local \
    new-connection-mark=OTE1_conn passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:2/0
add action=mark-connection chain=policy_route dst-address-type=!local \
    new-connection-mark=OTE2_conn passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:2/1

[ayger]

Μετά θέλει επανεκκίνηση. Υποθέτω πως κάτι αντίστοιχο παίζει και με το PPTP και τα seven, αλλά ακόμα δεν έχω βρει την λύση του.

Κανε ενα export compact hide-sensitive
και ποσταρε το εδω.

[alefgr]

Από την στιγμή που μπαίνω στα seven με L2TP, λίγο με νοιάζει που δεν μου δουλεύει το PPTP στα seven παρά μόνο στα 2003. Πάντως απ' ότι δοκίμασα έχω πρόσβαση και από το 2ο WAN. Υποθέτω ότι όταν θα συνδεθεί και η τρίτη γραμμή, θα μπορώ να μπω και από εκεί χωρίς καμία άλλη ρύθμιση. Ευτυχώς που τα booster του ΟΤΕ δουλεύουνε εντάξει σε αυτό τον τομέα και περνάνε από το NAT με επιτυχία τα vpn πακέτα.

[ayger]

Από την στιγμή που μπαίνω στα seven με L2TP, λίγο με νοιάζει που δεν μου δουλεύει το PPTP στα seven παρά μόνο στα 2003. Πάντως απ' ότι δοκίμασα έχω πρόσβαση και από το 2ο WAN. Υποθέτω ότι όταν θα συνδεθεί και η τρίτη γραμμή, θα μπορώ να μπω και από εκεί χωρίς καμία άλλη ρύθμιση. Ευτυχώς που τα booster του ΟΤΕ δουλεύουνε εντάξει σε αυτό τον τομέα και περνάνε από το NAT με επιτυχία τα vpn πακέτα.

Πασο. Your router,your packets,your decision. :P

Αλλα μου κανει εντυπωση που δεν σου παιζει το ππτπ στα 7αρια. Δεν το εχω συναντησει ποτε σε καμια απο τις υλοποιησεις μου. Μαλλον το εχω συναντησει οταν κατι ειναι misconfigured. Εξακολουθω να πιστευω οτι ειναι θεμα mangle και comnection mark.

[alefgr]

Ναι αλλά σε αυτή την περίπτωση θα είχα θέμα και με τα Win2K3 αλλά δεν έχω. Υποθέτω (δεν έχω δοκιμάσει) ότι θα πρέπει να μην υπάρχει πρόβλημα ούτε και με τα XP, γιατί αυτά τα δύο λειτουργικά πάνε μαζί.

Όσο για τις ρυθμίσεις στο mangle είναι παρόμοιες με αυτές του L2TP.

Κώδικας:

/ip firewall mangle
add action=accept chain=prerouting comment=VPN-PPTP dst-address=10.20.0.0/24 \
    dst-port=1723 protocol=tcp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=gre
add action=accept chain=prerouting comment=VPN-L2TP/IPSec dst-address=\
    10.20.0.0/24 port=500,1701,4500 protocol=udp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=\
    ipsec-esp

Για να μην ανοίγω νέο θέμα. Μου ήρθε για δοκιμές ένα 750Gr3 το οποίο δίπλα στο usb βύσμα έχει ένα button. Ξέρει κανείς τι κάνει αυτό;

[ayger]

Για να μην ανοίγω νέο θέμα. Μου ήρθε για δοκιμές ένα 750Gr3 το οποίο δίπλα στο usb βύσμα έχει ένα button. Ξέρει κανείς τι κάνει αυτό;

"RB750Gr3 Mode button currently does nothing, it is added for future use. There is no specific functionality decided yet."

Ναι αλλά σε αυτή την περίπτωση θα είχα θέμα και με τα Win2K3 αλλά δεν έχω. Υποθέτω (δεν έχω δοκιμάσει) ότι θα πρέπει να μην υπάρχει πρόβλημα ούτε και με τα XP, γιατί αυτά τα δύο λειτουργικά πάνε μαζί (....)

Δυστυχώς, παραθέτεις ένα μικρό τμήμα από το mangle ενώ ένα export θα βοηθούσε πολύ καλύτερα για να υπάρχει η ευρύτερη εικόνα.

[alefgr]

Υπάρχουν και κάποια rules που έχουν προστεθεί (filter & nat) για να πετύχω πρόσβαση στα modems μέσω του mikrotik, αλλά δεν βλέπω να δουλεύουν, με εξαίρεση την πρόσβαση από το WAN1 στο modem1, αλλά παραδόξως όταν επιχειρώ πρόσβαση από WAN1 στο modem2, ο μπρόσορας μου δείχνει ότι από το https://domain.ddns.net:53342 έχει γίνει ανακατεύθυνση στο https://192.168.2.1 και φυσικά είναι αδύνατη η σύνδεση. Από WAN2 δεν δουλεύει κανένα από τα δύο, αλλά μάλλον ευθύνεται το PCC, γιατί όλες οι default συνδέσεις γίνονται μόνο από το WAN1.

Κώδικας:

/ip address
add address=192.168.0.1/24 comment=LAN interface=lan-bridge network=\
    192.168.0.0
add address=10.10.0.1/22 comment=Hotspot interface=hot-bridge network=\
    10.10.0.0
add address=192.168.1.2/24 comment=WAN1 interface=ether1-WAN1 network=\
    192.168.1.0
add address=192.168.2.2/24 comment=WAN2 interface=ether6-WAN2 network=\
    192.168.2.0
add address=192.168.3.2/24 comment=WAN3 disabled=yes interface=ether7-WAN3 \
    network=192.168.3.0

/queue type
add kind=pcq name=pcq-download pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=8M pcq-src-address6-mask=64
add kind=pcq name=pcq-upload pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=800k pcq-src-address6-mask=64
add kind=pcq name=pcq_down pcq-classifier=dst-address
add kind=pcq name=pcq_up pcq-classifier=src-address
set 9 pcq-burst-time=15s

/queue simple
add disabled=yes name=hs-qos queue=pcq-upload/pcq-download target=hot-bridge

/queue tree
add name=DOWLOAD packet-mark=equal-mark-pack parent=hot-bridge queue=pcq_down
add name=UPLOAD1 packet-mark=equal-mark-pack parent=ether1-WAN1 queue=pcq_up
add name=UPLOAD2 packet-mark=equal-mark-pack parent=ether6-WAN2 queue=pcq_up
add name=UPLOAD3 packet-mark=equal-mark-pack parent=ether7-WAN3 queue=pcq_up

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="VPN PPTP" dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="VPN L2TP/IPSEC" port=500,1701,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="Router Access" dst-port=8291 protocol=\
    tcp
add action=accept chain=input dst-port=21 protocol=tcp
add action=accept chain=input dst-port=80 protocol=tcp
add action=accept chain=input comment="Wireless Devices Access" dst-port=\
    53354-53360 in-interface-list="WAN Ports" protocol=tcp
add action=accept chain=input comment="Modems Access" dst-port=53341-53342 \
    in-interface-list="WAN Ports" protocol=tcp
add action=drop chain=forward comment="P2P: torrentsites" disabled=yes \
    layer7-protocol=torrentsites
add action=drop chain=forward comment="P2P: dropDNS" disabled=yes dst-port=53 \
    layer7-protocol=torrentsites protocol=udp
add action=drop chain=forward comment="P2P: keyword_drop" content=torrent \
    disabled=yes
add action=drop chain=forward comment="P2P: trackers_drop" content=tracker \
    disabled=yes
add action=drop chain=forward comment="P2P: get_peers_drop" content=getpeers \
    disabled=yes
add action=drop chain=forward comment="P2P: info_hash_drop" content=info_hash \
    disabled=yes
add action=drop chain=forward comment="P2P: announce_peers_drop" content=\
    announce_peers disabled=yes
add action=drop chain=input comment="defconf: drop all from WANs" disabled=\
    yes in-interface-list="WAN Ports"
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list="WAN Ports"

/ip firewall mangle
add action=accept chain=prerouting comment=VPN-PPTP dst-address=10.20.0.0/24 \
    dst-port=1723 protocol=tcp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=gre
add action=accept chain=prerouting comment=VPN-L2TP/IPSec dst-address=\
    10.20.0.0/24 port=500,1701,4500 protocol=udp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=\
    ipsec-esp
add action=mark-connection chain=forward comment=PCQ new-connection-mark=\
    equal-mark-con passthrough=yes src-address=10.10.0.0/22
add action=mark-packet chain=forward connection-mark=equal-mark-con \
    new-packet-mark=equal-mark-pack passthrough=yes
add action=mark-connection chain=input comment=PCC in-interface=ether1-WAN1 \
    new-connection-mark=WAN1_conn passthrough=yes
add action=mark-connection chain=input in-interface=ether6-WAN2 \
    new-connection-mark=WAN2_conn passthrough=yes
add action=mark-connection chain=input disabled=yes in-interface=ether7-WAN3 \
    new-connection-mark=WAN3_conn passthrough=yes
add action=mark-routing chain=output connection-mark=WAN1_conn \
    new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=WAN2_conn \
    new-routing-mark=to_WAN2 passthrough=yes
add action=mark-routing chain=output connection-mark=WAN3_conn disabled=yes \
    new-routing-mark=to_WAN3 passthrough=yes
add action=accept chain=prerouting dst-address=192.168.1.0/24 in-interface=\
    hot-bridge
add action=accept chain=prerouting dst-address=192.168.2.0/24 in-interface=\
    hot-bridge
add action=accept chain=prerouting disabled=yes dst-address=192.168.3.0/24 \
    in-interface=hot-bridge
add action=mark-connection chain=prerouting dst-address-type=!local hotspot=\
    auth in-interface=hot-bridge new-connection-mark=WAN1_conn passthrough=\
    yes per-connection-classifier=both-addresses-and-ports:3/0
add action=mark-connection chain=prerouting dst-address-type=!local hotspot=\
    auth in-interface=hot-bridge new-connection-mark=WAN2_conn passthrough=\
    yes per-connection-classifier=both-addresses-and-ports:3/1
add action=mark-connection chain=prerouting dst-address-type=!local hotspot=\
    auth in-interface=hot-bridge new-connection-mark=WAN2_conn passthrough=\
    yes per-connection-classifier=both-addresses-and-ports:3/2
add action=mark-routing chain=prerouting connection-mark=WAN1_conn \
    in-interface=hot-bridge new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=WAN2_conn \
    in-interface=hot-bridge new-routing-mark=to_WAN2 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=WAN3_conn disabled=\
    yes in-interface=hot-bridge new-routing-mark=to_WAN3 passthrough=yes

/ip firewall nat
add action=dst-nat chain=dstnat comment="Modems Access" dst-address=\
    192.168.1.2 dst-port=53341 protocol=tcp to-addresses=192.168.1.1 \
    to-ports=443
add action=dst-nat chain=dstnat dst-address=192.168.1.2 dst-port=53342 \
    protocol=tcp to-addresses=192.168.2.1 to-ports=443
add action=dst-nat chain=dstnat dst-address=192.168.2.2 dst-port=53341 \
    protocol=tcp to-addresses=192.168.1.1 to-ports=443
add action=dst-nat chain=dstnat dst-address=192.168.2.2 dst-port=53342 \
    protocol=tcp to-addresses=192.168.2.1 to-ports=443
add action=dst-nat chain=dstnat comment="Wireless Devices Access" dst-port=\
    53354 in-interface-list="WAN Ports" protocol=tcp to-addresses=10.10.0.16 \
    to-ports=443
add action=dst-nat chain=dstnat dst-port=53355 in-interface-list="WAN Ports" \
    protocol=tcp to-addresses=10.10.0.17 to-ports=443
add action=dst-nat chain=dstnat dst-port=53356 in-interface-list="WAN Ports" \
    protocol=tcp to-addresses=10.10.0.18 to-ports=443
add action=dst-nat chain=dstnat dst-port=53357 in-interface-list="WAN Ports" \
    protocol=tcp to-addresses=10.10.0.19 to-ports=443
add action=dst-nat chain=dstnat dst-port=53358 in-interface-list="WAN Ports" \
    protocol=tcp to-addresses=10.10.0.8 to-ports=80
add action=dst-nat chain=dstnat dst-port=53359 in-interface-list="WAN Ports" \
    protocol=tcp to-addresses=10.10.0.9 to-ports=80
add action=dst-nat chain=dstnat dst-port=53360 in-interface-list="WAN Ports" \
    protocol=tcp to-addresses=10.10.0.10 to-ports=80
add action=dst-nat chain=dstnat dst-port=53361 in-interface-list="WAN Ports" \
    protocol=tcp to-addresses=10.10.0.7 to-ports=80
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat comment="LAN: masquerade" src-address=\
    192.168.0.0/24
add action=masquerade chain=srcnat comment="WAN1: masquerade" out-interface=\
    ether1-WAN1
add action=masquerade chain=srcnat comment="WAN2: masquerade" out-interface=\
    ether6-WAN2
add action=masquerade chain=srcnat comment="WAN3: masquerade" disabled=yes \
    out-interface=ether7-WAN3
add action=masquerade chain=srcnat comment="Horspot: masquerade" src-address=\
    10.10.0.0/22

/ip route
add check-gateway=ping distance=1 gateway=192.168.1.1 routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=192.168.2.1 routing-mark=to_WAN2
add check-gateway=ping disabled=yes distance=1 gateway=192.168.3.1 \
    routing-mark=to_WAN3
add check-gateway=ping distance=1 gateway=192.168.1.1
add check-gateway=ping distance=2 gateway=192.168.2.1
add check-gateway=ping disabled=yes distance=3 gateway=192.168.3.1
add check-gateway=ping comment="For check WAN2 IP" distance=1 dst-address=\
    64.182.x.x/32 gateway=192.168.2.1