Just another Techblog
Symptom: Hotspot Login Page auf Endgeräten wird bei Setups mit mehreren WAN-Uplinks (Nutzung von Mangle Regeln und Routing Marks) nicht geladen.
Lösung:
/ip firewall mangle add action=accept chain=prerouting comment="no marking for hotspot traffic before authentication (else captive portal can't be reached)" hotspot=!auth in-interface-list=local src-address-list=hotspotHinweise:
Quellen:
/routing/filter/rule/add chain=ospf-redist rule={if [protocol connected] then={action do=accept}
/routing/ospf/instance/set default out-filter-chain=ospf-redistZudem Bug bei IP-Addresses vermutet (RouterOS 7.0.2): Erst das Ändern der IP-Adresse auf der VPN-Bridge (/24 entfernen und wieder hinzufügen) hat ein korrektes Routing über die VPN-Bridge ergeben.
Quellen:
Bei Anpassungen der Mangle-Regeln mark routing oder der Routen in der „Route List“, ggf. den Router neustarten.
Ansonsten kann es vorkommen, dass das Routing (wie in der Routing Table dargestellt) nicht greift bzw. davon betroffene, neue Connections abgelehnt werden.
Teilweise kommt es in WinBox auch vor, dass die aktiven / inaktiven Routen in der Route List bei einem Statuswechsel nicht korrekt aktualisiert werden (Flags und farbliche Darstellung sind falsch). Hier hilft es, das Fenster „Route List“ innerhalb der WinBox zu schließen und neu zu öffnen. (Quelle zum WinBox-Bug)
FastTrack = FastPath + Connection Tracking
All related information and sources:
FastPath
FastPath allows to forward packets without additional processing in the Linux kernel. It improves forwarding speeds significantly. For FastPath to work, interface support and specific configuration conditions are required. Automatically use of IPv4 FastPath if criterias are matching, see here.
Packets can be forwarded by fast path handler (e.g. ipv4 fasttrack) only if at least source interface support FastPath. For complete FastPath forwarding destination interface support is also required (see here).
FastTrack
IPv4 FastTrack handler is automatically used for marked connections. Use firewall action „fasttrack-connection“ to mark connections for FastTrack. Currently only TCP and UDP connections can be actually FastTracked. IPv4 FastTrack handler supports NAT.
Note that not all packets in a connection can be FastTracked, so it is likely to see some packets going through slow path even though connection is marked for FastTrack. This is the reason why fasttrack-connection is usually followed by identical accept-rule. FastTracked packets bypass firewall, connection tracking, traffic shaping queues, IPSec*, and several other configurations. So it is up to the administrator to make sure FastTrack does not interfere with other configuration.
Again, please keep in mind: Firewall filter and mangle rules will not be applied for FastTracked traffic!
*FastTrack can break connections running via IPSec! See video Most underused and overused RouterOS tools and features for details. Solutions: Disabling FastTrack or using Raw Firewalling rules for „no track“.
Use case: VPN-Einwahl, bei der die VPN-Clients IP-Adressen des Zielnetzes erhalten.
Problem: Forwarding / Routing der Pakete zu Geräten im Zielnetz funktioniert nicht. Tx-Pakete gehen an das Zielgerät, Rx-Pakete (Antworten) kommen nicht zurück.
Lösung: Proxy ARP auf lokalem Netzwerk-Interface des VPN-Servers konfigurieren. Kommt auf dem Gateway für das lokale Netz eine Bridge zum Einsatz, ist auf dieser Proxy ARP zu aktivieren.