Mirotik failover, wan port in bridge

WAN порты объедены в bridge

Fuuuu

Вариант с выносом WAN из бриджа не интересен, ищу решение для текущего конфига, куда мне копать?

В сторону от одного из операторов, который скоро придет к тебе с черенком от лопаты

WAN порты объедены в bridge

Epic fail.

Бридж убери. А по поводу пингов изучай раздел /ip route rules

Ок, подскажите тогда как сделать одно в фаерволе, что бы правило работало для двух интерфейсов и не дублировать его для каждого.

В данный момент просто использую дистанцию в маршрутах, но это не работает в тех случаях когда шлюз доступен, а интернет вылетел где-то дальше у провайдера.

https://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting пробуй так

Если же я хочу использовать решение с пингом, мне необходимо запретить пинг разных назначений для разных WAN портов. Но как быть если все WAN в одном бридже и NAT таблица общая?

Ты зачем wan интерфейсы в bridge загнал сначала расскажи? если лень для каждого правила писать, то придумали interfaces lists уже давно.
И если ты с микрота пингуешь, то nat тебя вообще волновать не должен. Если хочешь пинговать с разных внешних ip, то либо prb осваивай, либо опция src-address в ping.

Если же уйти от фаервола, а указать конкретный интерфейс для использования пинга - он не проходит с WAN портов.

А чего ты хотел? У тебя eth интерфейсы стали Slave, при таких выкрутасах могут быть самые разные глюки. Когда объединяешь порты в bridge, то работать надо с bridge интерфейсом.

Ок, подскажите тогда как сделать одно в фаерволе, что бы правило работало для двух интерфейсов и не дублировать его для каждого.

/interface list 

Ага, с этим разобрался, можно создать списки интерфейсов.

/interface list
add name=WAN
/interface list member
add interface=ISP1 list=WAN
add interface=ISP2 list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment="HTTP" dst-port=80 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.0.83 to-ports=80

Для вас звучит это глупо, но могли бы объяснить почему 2 WAN в бридже плохо?

Bridge для других целей предназначен. Когда ты объединяешь интерфейсы в bridge, то трафик между ними будет ходить как через свитч, сам подумай к чему это приведет на провайдерских интерфейсах(я вообще удивлен, что у тебя маскардинг работал в такй конфигурации). Ну и работать с интерфейсами по отдельности(на l3) уже не получится.

Работает больше 400 дней без нареканий и единого ребута) Ну у провайдера да, маки лишние видны от другого провайдера.

Переделаю теперь без моста, раньше о /interface list не знал. Тогда собственно и проблема с фейловером решится.

Всем спасибо.

одно в фаерволе, что бы правило работало для двух интерфейсов и не дублировать его для каждого

У тебя там что, больше 5 wan-ов? Но даже для этого случая б-г дал вам interface list и ip firewall address-list.

Для вас звучит это глупо, но могли бы объяснить почему 2 WAN в бридже плохо?

bridge - это свитч
На примере отдельных железок ваша схема выглядит так

      
      +--------+
ISP1--|        |   +--------+
      | switch |---| router |--LAN
ISP2--|        |   +--------+
      +--------+