Obrigado pela exportação.
Acontece que esta configuração não é suportada pelo MikroTik ou existe um bug.
De acordo com o diagrama de fluxo de pacotes, se eu entendi corretamente, dst-nat
deve ser capaz de detectar as marcas de pacote / conexão, pois mangle prerouting
é antes de dst-nat
.
Mas depois de alguns testes meus, fiquei preso como você fez.
Enquantoomangle/filterpodecombinarospacotesmarcados(oumesmosemmarcar,masusandodiretamenteofiltroL7nasregras)nonatelesimplesmentenãocombinacomnenhumpacote.
ExistemtambémváriostópicosrelevantesnosfórunsdoMikroTik,quenenhumpareceterencontradoumasolução.
Um cara menciona uma solução usando o WebProxy do MikroTik, que eu pessoalmente não usaria, pois mudaria o endereço IP de origem para o IP do MikroTik e, assim, os servidores da Web registrariam todos os pedidos com o mesmo IP em vez do IPs dos visitantes reais.
Eu posso pensar em duas outras soluções, mas não são tão simples assim.
Solução 1: Se você estiver usando a versão 5.x do MikroTik, há uma imagem ISO que corrigirá o MikroTik e adicionará uma distribuição mínima do Debian no topo (ou abaixo) dele. Que então você pode usar para instalar o HAproxy ou qualquer outro proxy reverso que você gosta de realizar o que você precisa corretamente (HAproxy ou qualquer outro proxy reverso é a maneira correta de fazer isso, como outros já mencionaram)
Solução 2: Outra abordagem é criar um metarouter (se você executar o MikroTik em uma routerboard, você tem RAM livre suficiente e você não usa nstreme) e carregar uma imagem openwrt nela. Em que você pode então instalar um proxy reverso do seu gosto para realizar a tarefa.
O mais provável é que não seja uma solução: É claro que você também pode enviar um ticket de suporte ao MikroTik para confirmar ou (muito provavelmente) negar que existe um bug no NAT com a marcação de pacotes L7. Mas eu não esperaria muito do apoio deles. Na maioria das vezes não vai ajudar em nada. Sua estratégia padrão é que todo mundo é estúpido e o problema está sempre na configuração dos usuários e não no próprio MikroTik ...
Seria bom poder lidar com essa tarefa no próprio roteador. É adequado para ambientes restritos, em que colocar outra máquina para fazer o proxy reverso não é uma opção. Embora eu não usasse esse método (mesmo que funcionasse) em um ambiente de produção. O filtro da camada 7 é bastante lento e pesado para o roteador.
Atualização: Acabei de ver que você está usando o RB2011, então a solução ISO / debian não funcionará para você (é apenas para x86). Se você não está usando nstreme (eu acho que não), então sua única aposta é usando um metarouter com openwrt para fazer o material de proxy reverso para você.