[РЕШЕНО через костыль] Перестаёт работать dst-nat

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

[РЕШЕНО через костыль] Перестаёт работать dst-nat

Сообщение Sir_Prikol » 23 сен 2018, 18:29

Доброго времени суток.
Имеем следующую конфигурацию:

Входящий RB3011, за ним стоит RB2011 (остальные в данной проблеме не важны и не участвуют)
Имеем WAN - 123.123.123.123
LAN 192.168.0.0/24
RB3011 - LAN - 192.168.0.1
RB2011 - 192.168.0.2

На RB2011 подняты sstp, l2tp,pptp серверы
На RB3011 подняты dst-nat на RB2011 по портам этих серверов и находятся в самом верху правил (без passrouth)

В фаерволе что на RB3011, что на RB2011 разрешены gre и даныые порты серверов и подняты на самый верх

Ситуация - связка работает, авторизация проходит на RB2011, но через некоторое время (иногда час иногда 3-е суток) dst-nat прекращает работать и, хоть счётчик пакетов увеличивается, пакеты до RB2011 не долетают.
В логах RB3011 - видно что правило отработало, в логах RB2011 девственная чистота.
После ребута RB3011 всё становится нормально, но опять до какого-то времени.

Часть настроек участвующих в данной реализации
RB3011

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment=PPtP dst-address=123.123.123.123 dst-port=1723 to-addresses=192.168.0.2 to-ports=1723 disabled=no
add action=dst-nat chain=dstnat comment=SStP dst-address=123.123.123.123 dst-port=12443 to-addresses=192.168.0.2 to-ports=12443 disabled=no
add action=dst-nat chain=dstnat comment=L2TP dst-address=123.123.123.123 dst-port=1701 to-addresses=192.168.0.2 to-ports=1701 disabled=no
RB2011

Код: Выделить всё

/ip firewall filter
add action=accept chain=input  disabled=no  dst-port=1723 protocol=tcp
add action=accept chain=input disabled=no  dst-port=12443 protocol=tcp
add action=accept chain=input  disabled=no  protocol=gre 
Эти головняки начались начиная с 6.42.6, как я и говорил, тенденция :)
Куда копать?
Последний раз редактировалось Sir_Prikol 26 окт 2018, 00:30, всего редактировалось 1 раз.
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1339
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Перестаёт работать dst-nat

Сообщение Chupaka » 23 сен 2018, 21:19

Доброго.
Sir_Prikol писал(а):
23 сен 2018, 18:29
через некоторое время (иногда час иногда 3-е суток) dst-nat прекращает работать и, хоть счётчик пакетов увеличивается, пакеты до RB2011 не долетают.
В логах RB3011 - видно что правило отработало, в логах RB2011 девственная чистота.

Куда копать?
В первую очередь - понять, куда девается пакет. Например, добавив правило типа

Код: Выделить всё

/ip firewall filter add chain=forward dst-address=192.168.0.2 action=passthrough log=yes
Смотреть в лог, на какой интерфейс улетает пакет - мало ли, другая конфигурация на это может влиять.

Или Tools -> Torch подтвердить, что пакет действительно улетает с 3011 на 2011. Посмотреть, что он на 2011 не появляется тем же Torch'ем. Роутеры соединены патчкордом порт в порт?

Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 23 сен 2018, 21:48

RB3011
Изображение
RB2011
Изображение

Но все сервера молчат
192.168.7.2=192.168.0.2
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 23 сен 2018, 21:57

UPD: на 2011 появились после ребута 2011. но sstp сервер молчит, и это будет продолжаться до ребута 3011
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1339
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Перестаёт работать dst-nat

Сообщение Chupaka » 23 сен 2018, 22:03

Кто появился?

Log для NAT не показывает out-interface, поэтому я и писал про filter forward. Но тут проблема может быть с обратным пакетом, раз до 2011 SYN'ы долетают. В общем, Torch и log=yes в помощь - смотреть полный путь пакета от клиента к 3011, 2011 и обратно. А вот где пакет пропадёт - там и смотреть, почему.

Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 23 сен 2018, 22:17

Вот и я думаю что проблема именно с обраткой, но в моей маршрутизации такого наверчено, что без бутылки новую добавить - не совсем можно. Проще нетмапом сделать :) А ещё проще выдать белый ip на тот самый 2011 и забыть как страшный сон, но сам принцип... :)
В общем фигнёй страдает именно RB3011, так как с 3011 на 2011 спокойно проходит авторизация, а снаружи, через 3011, нифига. И с любого другого устройства внутри сети - работает

Изображение
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1339
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Перестаёт работать dst-nat

Сообщение Chupaka » 24 сен 2018, 10:58

Sir_Prikol писал(а):
23 сен 2018, 22:17
В общем фигнёй страдает именно RB3011, так как с 3011 на 2011 спокойно проходит авторизация, а снаружи, через 3011, нифига. И с любого другого устройства внутри сети - работает
Не факт, не факт. Тем более в свете упоминания навороченной маршрутизации :) Может и в 2011 причина быть. В общем, как я и сказал, надо отследить пакет - вдруг станет понятнее. На 3011 в forward'е, на 2011 - в output'е.

Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 24 сен 2018, 11:06

Пакет отслежен, он теряется в OSPF. А вот тут засада. Сам по себе OSPF начинает мозг компосировать, если я ему прописываю /24 маршрутизацию, а по sstp выдаю /30, меняю в OSPFна /30, маршрутизация ложится вообще. Сегодня донапишу отказ от OSPF. Перелопачу полную маршрутизацию руками. Проще рутинг марками сделать, нежели на автомат полагаться.

UPD: Вся эта хрень начинает корректно работать на дефолтных маршрутах, вот осталось заставить понимать пакет, чтоб он уходил туда-же откуда пришёл. Или, как вариант, всё-таки выделить отдельный IP и отдельный канал для этих соединений, что реально, так как три канала аплинка, один отдать под sstp,l2tp,pptp и будет счастье :)
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1339
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Перестаёт работать dst-nat

Сообщение Chupaka » 24 сен 2018, 14:19

Вообще ничего не понял :)

Что значит "теряется в OSPF"? OSPF строит таблицу маршрутизации, он ничего с пакетами сам не делает.

Что значит "на дефолтных маршрутах"? "чтоб он уходил туда-же откуда пришёл" - это Policy Routing в помощь.

Аватара пользователя
Sir_Prikol
Сообщения: 160
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Перестаёт работать dst-nat

Сообщение Sir_Prikol » 24 сен 2018, 14:48

Вот как раз PBR и глючит на 3011, на нём единственном, идентичная конфа на 1100 - работает на ура, на 1009 то-же. Очередной косяк именно с RB3011, это уже не первый раз когда на этом маршрутизаторе выявляются косяки не свойственные для другой модели. Есть желание увидеть как там и что - могу дать доступ :) Но на этом маршрутизаторе уже побывало 5 человек, с серификатами ибез, и ответ один - всё должно работать :) А оно отрубается :)
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Ответить