Subnets.ru

Простая задачка очень тривиальная, но бьюсь уже третий день...

RB-1:

Код: Выделить всё: [admin@MikroTik] > /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 R ether3-slave-local ether 1500 1598 2028 3 R ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R ;;; dyn ip: user ****** : password **** ;;; static ip: user ***** : password ***** pppoe-out1 pppoe-out 1480 8 X wlan2 wlan 1500 9 R to_tim ovpn-out 1500

Код: Выделить всё: [admin@MikroTik] > /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 ;;; default configuration 192.168.1.1/24 192.168.1.0 bridge-local 1 I 192.168.90.1/24 192.168.90.0 wlan2 2 D 192.168.10.2/32 192.168.10.1 to_tim 3 D 81.90.12.18/32 10.90.8.1 pppoe-out1

Код: Выделить всё: [admin@MikroTik] > /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 10.90.8.1 1 1 ADC 10.90.8.1/32 81.90.12.18 pppoe-out1 0 2 ADC 192.168.1.0/24 192.168.1.1 bridge-local 0 3 A S 192.168.4.0/24 to_tim 1 4 ADS 192.168.10.0/29 192.168.10.1 0 5 ADC 192.168.10.1/32 192.168.10.2 to_tim 0

Код: Выделить всё: [admin@MikroTik] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; Added by webbox chain=customer action=accept connection-state=related 1 ;;; ICMP chain=input action=accept protocol=icmp 2 ;;; OpenVPN chain=forward action=accept protocol=udp dst-port=1194 3 ;;; SSH chain=input action=accept protocol=tcp dst-port=22 4 X ;;; RDP to server chain=forward action=accept protocol=tcp dst-port=3389 5 ;;; MUNIN chain=forward action=accept protocol=tcp src-address=178.218.212.202 dst-port=4949 6 X ;;; WinBox chain=input action=accept protocol=tcp dst-port=8291 7 ;;; Added by webbox chain=input action=accept connection-state=established in-interface=pppoe-out1 8 ;;; Added by webbox chain=input action=accept connection-state=related in-interface=pppoe-out1 9 ;;; Added by webbox chain=customer action=accept connection-state=established 10 ;;; Added by webbox chain=forward action=jump jump-target=customer in-interface=pppoe-out1 11 ;;; Added by webbox chain=input action=drop in-interface=pppoe-out1 12 X chain=forward action=accept src-address=192.168.4.0/24 dst-address=192.168.1.0/24 13 X chain=forward action=accept src-address=192.168.1.0/24 dst-address=192.168.4.0/24 14 ;;; Added by webbox chain=customer action=drop 15 X chain=input action=drop src-address=192.168.90.0/24 dst-address=192.168.1.0/24 16 X chain=input action=drop src-address=192.168.1.0/24 dst-address=192.168.90.0/24

Код: Выделить всё: [admin@MikroTik] > /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=accept to-addresses=0.0.0.0 dst-address=192.168.4.0/24 1 chain=srcnat action=accept src-address=192.168.4.0/24 2 ;;; Added by webbox chain=srcnat action=masquerade out-interface=pppoe-out1 3 ;;; RDP to server chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=3389 protocol=tcp dst-port=3389 4 ;;; OpenVPN chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=1194 protocol=udp dst-port=1194 5 ;;; MUNIN chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=4949 protocol=tcp src-address=178****.212.202 dst-port=4949

Туннель подымается

Код: Выделить всё: [admin@MikroTik] /interface ovpn-client> /ping 192.168.10.1 HOST SIZE TTL TIME STATUS 192.168.10.1 56 64 5ms 192.168.10.1 56 64 5ms 192.168.10.1 56 64 5ms 192.168.10.1 56 64 5ms 192.168.10.1 56 64 5ms 192.168.10.1 56 64 5ms sent=6 received=6 packet-loss=0% min-rtt=5ms avg-rtt=5ms max-rtt=5ms

Код: Выделить всё: [admin@MikroTik] /interface ovpn-client> /ping 192.168.4.1 HOST SIZE TTL TIME STATUS 192.168.4.1 56 64 5ms 192.168.4.1 56 64 5ms 192.168.4.1 56 64 5ms 192.168.4.1 56 64 5ms 192.168.4.1 56 64 5ms sent=5 received=5 packet-loss=0% min-rtt=5ms avg-rtt=5ms max-rtt=5ms

Код: Выделить всё: [admin@MikroTik] /interface ovpn-client> /ping 192.168.4.1 src-address=192.168.1.1 HOST SIZE TTL TIME STATUS packet rejected packet rejected packet rejected packet rejected packet rejected packet rejected packet rejected sent=7 received=0 packet-loss=100%

При этом запуск снифера на RB-4 ни дает никаких пакетов

Код: Выделить всё: [admin@MikroTik] /tool sniffer> quick ip-address=192.168.1.1/32 INTERFACE TIME NUM DIR SRC-MAC DST-MAC VLAN SRC-ADDRESS DST-ADDRESS PROTOCOL SIZE

Сервер в сети RB-1 пинает др сервер в сети RB-4С, снифер на RB-1 дает вот что

Код: Выделить всё: [admin@MikroTik] /tool sniffer> quick ip-protocol=icmp ip-address=192.168.4.1 INTERFACE TIME NUM DIR SRC-MAC DST-MAC VLAN SRC-ADDRESS DST-ADDRESS PROTOCOL SIZE ether2... 0.188 1 <- 192.168.1.2 192.168.4.14 ip:icmp 60 bridge... 0.188 2 <- 192.168.1.2 192.168.4.14 ip:icmp 60 ether2... 5.186 3 <- 192.168.1.2 192.168.4.14 ip:icmp 60 bridge... 5.186 4 <- 192.168.1.2 192.168.4.14 ip:icmp 60 ether2... 10.184 5 <- 192.168.1.2 192.168.4.14 ip:icmp 60 bridge... 10.184 6 <- 192.168.1.2 192.168.4.14 ip:icmp 60

кто и где реджектит пакеты плз нид хел уже кончились идеи (

С микротиком не работал пока, но:
Как выглядит трасса (traceroute) с 192.168.1.2 до 192.168.4.14 ?
вывод ip route print с RB-4 ?

harius писал(а):кто и где реджектит пакеты плз

а если отключить фаирвол на RB-1 на время ? точно последнего deny any any нет ? если есть, то убрать последний deny и посмотреть, все тоже самое - reject ?

harius писал(а):[admin@MikroTik] > /ip firewall nat print

что то не очень понятен вывод, т.к. зачем там NAT вообще ? Суть туннеля сквозной доступ одной сети к другой без NAT`а.

Во-первых, я бы задизейблил на время разборов на обоих микротиках все правила в фаерволе.
Во-вторых, нужно поправить правило с NAT на RB-1, чтобы пакеты к 192.168.4.0/24 не натились:

Код: Выделить всё: chain=srcnat action=masquerade out-interface=pppoe-out1 src-address=192.168.1.0/24 dst-address=!192.168.4.0/24

Также было бы не лишним показать конфиг RB-4 (но это упреждающее действие, т.к. на сколько я понимаю, пакеты не покидают RB-1).

root писал(а):
harius писал(а):[admin@MikroTik] > /ip firewall nat print
что то не очень понятен вывод, т.к. зачем там NAT вообще ?

2root: Видимо, для того, чтобы локалка ходила еще и в инет, а не только в туннель

Трасировка с 192.168.1.2 к 192.168.4.14

Код: Выделить всё: C:\Users\Администратор.BIKOL>tracert 192.168.4.14 Трассировка маршрута к 192.168.4.14 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 192.168.1.1 2 * * * Превышен интервал ожидания для запроса. 3 ^C

Пробуем пинать удаленный конец туннеля с 192.168.1.2

Код: Выделить всё: C:\Users\Администратор.BIKOL>ping 192.168.10.1 Обмен пакетами с 192.168.10.1 по с 32 байтами данных: Ответ от 192.168.10.1: число байт=32 время=5мс TTL=63 Ответ от 192.168.10.1: число байт=32 время=5мс TTL=63 Ответ от 192.168.10.1: число байт=32 время=5мс TTL=63 Ответ от 192.168.10.1: число байт=32 время=5мс TTL=63 Статистика Ping для 192.168.10.1: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 5мсек, Максимальное = 5 мсек, Среднее = 5 мсек

Код: Выделить всё: C:\Users\Администратор.BIKOL>tracert 192.168.10.1 Трассировка маршрута к 192.168.10.1 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 192.168.1.1 2 5 ms 5 ms 5 ms 192.168.10.1 Трассировка завершена.

Локалка RB-1 ходит в сеть самостоятельно, для этого NAT

Попробовал отключить drop правила на RB-1 результат тотже, что то их реджектит, NAT чуть позже попробую поменять правило, когда возле рутера будет адекватный человек.

Мне тоже кажется что пакеты не уходят с RB-1
Вот конфига RB-4:

Код: Выделить всё: [admin@MikroTik] > /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 ;;; default configuration 192.168.88.1/24 192.168.88.0 bridge-local 1 192.168.4.1/24 192.168.4.0 bridge-local 2 ;;; One 62.117.116.10/29 62.117.116.8 ether1-gateway 3 D 192.168.10.1/32 192.168.10.2 <ovpn-petrasha> [admin@MikroTik] > /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ;;; WAN ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 R ether4-slave-local ether 1500 1598 2028 4 R ether5-slave-local ether 1500 1598 2028 5 R ;;; wifi key ******** wlan1 wlan 1500 2290 6 R ;;; LAN bridge-local bridge 1500 1598 7 DR <ovpn-petrasha> ovpn-in 1500 [admin@MikroTik] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept protocol=tcp dst-port=80 1 ;;; default configuration chain=input action=accept protocol=icmp 2 ;;; default configuration chain=input action=accept connection-state=established 3 ;;; default configuration chain=input action=accept connection-state=related 4 ;;; SSH chain=input action=accept protocol=tcp in-interface=ether1-gateway dst-port=22 5 ;;; OpenVPN chain=input action=accept protocol=tcp dst-port=1194 6 chain=input action=accept dst-address=192.168.1.0/24 7 chain=input action=accept src-address=192.168.1.0/24 8 ;;; default configuration chain=input action=drop in-interface=ether1-gateway [admin@MikroTik] > /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 X chain=srcnat action=accept src-address=192.168.1.0/24 1 X chain=srcnat action=accept dst-address=192.168.1.0/24 2 ;;; default configuration chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-gateway [admin@MikroTik] > /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 62.117.116.9 1 1 S 0.0.0.0/0 10.0.0.2 2 2 ADC 62.117.116.8/29 62.117.116.10 ether1-gateway 0 3 A S 192.168.1.0/24 192.168.10.2 1 4 ADC 192.168.4.0/24 192.168.4.1 bridge-local 0 5 ADC 192.168.10.2/32 192.168.10.1 <ovpn-petrasha> 0 6 ADC 192.168.88.0/24 192.168.88.1 bridge-local 0

root писал(а):С микротиком не работал пока, но:
Как выглядит трасса (traceroute) с 192.168.1.2 до 192.168.4.14 ?
вывод ip route print с RB-4 ?

harius писал(а):кто и где реджектит пакеты плз

а если отключить фаирвол на RB-1 на время ? точно последнего deny any any нет ? если есть, то убрать последний deny и посмотреть, все тоже самое - reject ?

harius писал(а):[admin@MikroTik] > /ip firewall nat print

что то не очень понятен вывод, т.к. зачем там NAT вообще ? Суть туннеля сквозной доступ одной сети к другой без NAT`а.

Да как раз первые два правила:

Код: Выделить всё: 0 chain=srcnat action=accept to-addresses=0.0.0.0 dst-address=192.168.4.0/24 1 chain=srcnat action=accept src-address=192.168.4.0/24

должны исключить хождение через нат пакетов сетей, мне так кажется

harius писал(а):должны исключить хождение через нат пакетов сетей, мне так кажется

ну "кажется" тут не подходит.
я думаю что пакеты от 192.168.1.0/24 до 192.168.4.0/24 у тя все же попадают под NAT.
Почему я так думаю ? Потому что с 192.168.1.2 до 192.168.4.14 - облом, а с 192.168.1.2 до 192.168.10.1 - все ОК.
Теперь смотрим правила на RB-1 касаемые NAT`а и что мы видим ? А видим мы то что 192.168.4.0 там есть, а 192.168.10.0 нету.
Временно убери NAT совсем и посмотри изменится ли ситуация.

Так же стоит обратить внимание на chain forward:

The chain forward is used to process packets passing through the router.

Так же там можно прочесть про:

log ( yes | no; default: no) - specifies, to log the action or not

Соотвественно добавь логирование к правилам и посмотришь попадают ли пакеты под правило, а если попадают, то под какое.

Схема прохождения пакета через firewall:

: MikroTik_ip_packet_flow

harius писал(а):Да как раз первые два правила:
Код: Выделить всё
0 chain=srcnat action=accept to-addresses=0.0.0.0 dst-address=192.168.4.0/24 1 chain=srcnat action=accept src-address=192.168.4.0/24

должны исключить хождение через нат пакетов сетей, мне так кажется

Ты прав - согласно мурзилке:

accept - Accept the packet. No action, id est, the packet is passed through without undertaking any action, except for mangle, and no more rules are processed in the relevant list/chain

Только я бы изменил правила, где явно указал бы src и dst сети :

Код: Выделить всё: chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.4.0/24 chain=srcnat action=accept src-address=192.168.4.0/24 dst-address=192.168.1.0/24

Далее, как посоветовал root, включай на RB-1 логгирование пакетов:

Код: Выделить всё: add place-before=0 chain=forward action=log dst-address=192.168.4.0/24 out-interface=to_tim

и смотри, что попадает под это правило (и попадает ли вообще что-то).
Если правило отрабатывает и в логах корректные пакеты, значит, трафик уходит в туннель openvpn и нужно точно также начинать дебажить RB-4 - создать правило:

Код: Выделить всё: add place-before=0 chain=forward action=log dst-address=192.168.4.0/24 in-interface=ovpn-petrasha

И смотреть, приходят ли пакеты на RB-4.

P.S. На RB-4 в фильтре фаервола не видно ни одного правила для forward.

Поставил явные правила сетей перед NAT правилом на обоих все так же.
И всетаки проблемма дума в RB-1
Вот тест: пинаю с RB-4 сервер 192.168.1.2

Код: Выделить всё: [admin@MikroTik] /interface ovpn-server server> /ping 192.168.1.2 src-address=192.168.4.1 HOST SIZE TTL TIME STATUS 192.168.1.2 timeout 192.168.1.2 timeout 192.168.1.2 timeout 192.168.1.2 timeout 192.168.1.2 timeout sent=5 received=0 packet-loss=100%

и снифю на RB-1

Код: Выделить всё: [admin@MikroTik] /tool sniffer> quick direction=any ip-address=192.168.4.1/32 INTERFACE TIME NUM DIR SRC-MAC DST-MAC VLAN SRC-ADDRESS DST-ADDRESS PROTOCOL SIZE ether2... 0.305 1 <- 192.168.1.2 192.168.4.1 ip:icmp 60 bridge... 0.305 2 <- 192.168.1.2 192.168.4.1 ip:icmp 60 to_tim 0.651 3 <- 192.168.4.1 192.168.1.2 ip:icmp 60 to_tim 1.656 4 <- 192.168.4.1 192.168.1.2 ip:icmp 60 to_tim 2.66 5 <- 192.168.4.1 192.168.1.2 ip:icmp 60 to_tim 3.664 6 <- 192.168.4.1 192.168.1.2 ip:icmp 60 to_tim 4.668 7 <- 192.168.4.1 192.168.1.2 ip:icmp 60

т.е. пакеты приходят с туннеля и переправляются на ether2 (LAN)
дальше слушаем что нам отвечает сервер 192.168.1.2

Код: Выделить всё: [admin@MikroTik] /tool sniffer> quick direction=rx ip-address=192.168.1.2/32 ip-protocol=icmp INTERFACE TIME NUM DIR SRC-MAC DST-MAC VLAN SRC-ADDRESS DST-ADDRESS PROTOCOL SIZE ether2... 1.725 1 <- 192.168.1.2 192.168.4.1 ip:icmp 60 bridge... 1.725 2 <- 192.168.1.2 192.168.4.1 ip:icmp 60 ether2... 6.724 3 <- 192.168.1.2 192.168.4.1 ip:icmp 60 bridge... 6.724 4 <- 192.168.1.2 192.168.4.1 ip:icmp 60 ether2... 11.724 5 <- 192.168.1.2 192.168.4.1 ip:icmp 60 bridge... 11.724 6 <- 192.168.1.2 192.168.4.1 ip:icmp 60

и как бы не пересылает в туннель (

harius писал(а):
Код: Выделить всё
[admin@MikroTik] /tool sniffer> quick direction=rx ip-address=192.168.1.2/32 ip-protocol=icmp

...
и как бы не пересылает в туннель (

Во-первых, почему direction=rx, а не any? Пересылка - это вообще-то tx. Так что все правильно показывает снифер - пакеты от 192.168.1.2, действительно, приходят со стороны ether2/bridge.
Во-вторых, согласно данным снифера, пакеты отправляются в to_tim:

Код: Выделить всё: to_tim 0.651 3 <- 192.168.4.1 192.168.1.2 ip:icmp 60

В-третьих, правила с логгированием сделал? Где логи?
В-четвертых, для определенности, давай договоримся, что будем делать все в одном ключе: если уже начали решать вопрос "видимости" с RB-4 192.168.1.2, то давай будем добивать именно эту ситуацию до победного. Как решим ее - перейдем к следующему этапу (если он, конечно, останется).

Subnets.ru

2 x RB750 + PPPoE + OpenVPN

2 x RB750 + PPPoE + OpenVPN

Re: 2 x RB750 + PPPoE + OpenVPN

Re: 2 x RB750 + PPPoE + OpenVPN

Re: 2 x RB750 + PPPoE + OpenVPN

Re: 2 x RB750 + PPPoE + OpenVPN

Re: 2 x RB750 + PPPoE + OpenVPN

Re: 2 x RB750 + PPPoE + OpenVPN

Re: 2 x RB750 + PPPoE + OpenVPN

Re: 2 x RB750 + PPPoE + OpenVPN

Re: 2 x RB750 + PPPoE + OpenVPN