Страница 1 из 1
[РЕШЕНО] EoIP - Попасть из одной подсети в другую
Добавлено: 27 окт 2018, 23:06
Sir_Prikol
Добрый вечер, что-то я запутался
Имеем - удалённый микротик (RB5HacD2HnD-TC)- подсеть 192.168.2.0/24, поднят EoIP туннель ко мне, EoIP в бридже
У меня (RB3011) - подсеть 192.168.7.0/24 - EoIP не в бридже
С RB3011 и своей подсети я вижу 192.168.2.0/24
С удалённого RB5HacD2HnD-TC я НЕ вижу 192.168.7.0/24
Что есть:
Маршрут на удалённом на 192.168.7.1 прописан и показывает reacheble
src-NAT на удалённом прописан вида
Код: Выделить всё
chain=srcnat action=accept src-address=192.168.2.0/24 dst-address=192.168.7.0/24
На моём прописан обратный src-nat вида
Код: Выделить всё
chain=srcnat action=accept src-address=192.168.7.0/24 dst-address=192.168.2.0/24
На моём прописан маршрут на 192.168.2.0/24 через EoIP
На интерфейсах включён proxy-arp
Удалённый должен увидеть мой RB3011 - для некоторых сервисов, ткните носом неразумного
UPD - правила ната пришлось задизейблить, иначе изнутри своей сети (192.168.7.2-192.168.7.10) я не вижу 192.268.2.0/24
UPD2 через 8 часов - OSPF начало работать и пролезло на 192.168.2.1 - но пингов на 192.168.7.1 так и нет, что-то я не понимаю
UPD3 - локализовалась проблема именно на RB3011 - так как на 2 другие сети, которые существуют на RB3011 (172.16.0.0/24 и 198.51.100.0/24) пинги с 192.168.2.0/24 - ходят. Обе сети не в бридже на 3011, а значит что-то в настройках бриджа надо править
UPD4 - arp ping пошёл на 192.168.7.1 - обычный не хочет, что-то тут не то
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 28 окт 2018, 12:56
Chupaka
Если на обоих маршрутизаторах есть маршруты к подсетям другого маршрутизатора — то никакие NAT'ы и Proxy-ARP'ы не нужны. Смотрите трассировки с обеих сторон.
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 28 окт 2018, 13:11
Sir_Prikol
Код: Выделить всё
traceroute to 192.168.2.1 (192.168.2.1), 64 hops max, 52 byte packets
1 192.168.201.1 (192.168.201.1) 137.623 ms 72.821 ms 73.634 ms
2 192.168.7.1 (192.168.7.1) 89.455 ms 224.969 ms 246.969 ms
3 192.168.2.1 (192.168.2.1) 271.455 ms 269.712 ms *
Это из другой подсети на 192.168.2.1 - всё пашет - сеть вижу
Код: Выделить всё
tool traceroute 192.168.7.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 5 timeout
2 100% 5 timeout
3 100% 4 timeout
4 100% 4 timeout
5 100% 4 timeout
Удалённый
Код: Выделить всё
tool traceroute 192.168.0.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 192.168.0.1 0% 8 52.8ms 52.9 52.8 53.1 0.1
на другую подсеть
Маршруты на удалённом
Код: Выделить всё
ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 EoIP 1
1 ADS 0.0.0.0/0 xxx.xxx.xxx.xx 1
2 ADC xxx.xxx.xxx.0/20 xxx.xxx.xxx.xx ether1 0
3 ADo 172.16.0.1/32 192.168.2.2 110
4 ADo 172.16.0.101/32 192.168.2.2 110
5 ADo 172.16.0.102/32 192.168.2.2 110
6 ADo 172.16.0.206/32 192.168.2.2 110
7 ADo 172.16.0.207/32 192.168.2.2 110
8 ADo 172.16.0.254/32 192.168.2.2 110
9 ADo 172.16.251.0/24 192.168.2.2 110
10 ADo 192.168.0.0/24 192.168.2.2 110
11 ADC 192.168.2.0/24 192.168.2.1 bridge 0
12 S 192.168.7.0/24 192.168.2.2 EoIP 1
13 ADo 192.168.7.0/24 192.168.2.2 110
14 ADo 198.51.100.0/24 192.168.2.2 110
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 28 окт 2018, 13:27
Sir_Prikol
А увидеть 192.168.7.0/24 необходимо, тогда DLNA побежит нормально, capsmasn могу и с 192.168.0.1 - забрать, а вот остальное - не переделать
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 28 окт 2018, 13:31
Sir_Prikol
Может не парить голову и навесить на это дело vlan, тогда, по всем канонам, оно заработает
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 28 окт 2018, 14:19
Chupaka
А DLNA разве не широковещалкой/мультикастом общается? Я всегда думал, что через маршрутизацию оно не пролазит
Только всякие PIM.
Удалённая сторона 192.168.2.2 нормально пингует?
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 28 окт 2018, 14:28
Sir_Prikol
У меня DLNA бегает через EoIP везде
Удалённая сторона 192.168.2.2 нормально пингует?
Да, с 192.168.2.1 - идёт нормальный пинг на 192.168.2.2
Код: Выделить всё
ping 192.168.2.2
SEQ HOST SIZE TTL TIME STATUS
0 192.168.2.2 56 64 55ms
1 192.168.2.2 56 64 55ms
2 192.168.2.2 56 64 55ms
3 192.168.2.2 56 64 55ms
4 192.168.2.2 56 64 55ms
5 192.168.2.2 56 64 55ms
6 192.168.2.2 56 64 55ms
7 192.168.2.2 56 64 55ms
8 192.168.2.2 56 64 55ms
9 192.168.2.2 56 64 55ms
10 192.168.2.2 56 64 55ms
11 192.168.2.2 56 64 55ms
12 192.168.2.2 56 64 55ms
sent=13 received=13 packet-loss=0% min-rtt=55ms avg-rtt=55ms max-rtt=55ms
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 28 окт 2018, 18:04
Chupaka
Через EoIP с маршрутизацией или таки с коммутацией (с обеих сторон в бридже)?
А трассировка выше была с .2.1 или с другого устройства в этой подсети?
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 28 окт 2018, 22:32
Sir_Prikol
DLNA с коммутацией - работает
Трассировка была с 2.1
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 28 окт 2018, 23:37
Chupaka
Так коммутация — это и есть широковещалка/мультикаст. А с маршрутизацией такой номер не пройдёт, как мне кажется.
Сейчас снифер в руки — и смотреть, куда именно пакеты улетают и почему они туда не долетают... Или, например, правила файрвола с log=yes
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 01:02
Sir_Prikol
В сниффере пусто, icmp вообще отсутствует, остальные просто :: и всё. Параллельно ещё одна проблема вылезла, видимо взаимосвязана, но отпишусь уже утром, сил нет
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 07:41
Chupaka
Это на какой стороне? Пакеты даже не вылетают? И что такое "::"?
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 12:00
Sir_Prikol
Конфиг RB3011
111.111.111.111 - первиый аплинк
222.222.222.222 - второй аплинк
444.444.444.444 - третий аплинк, через которого анонсирую белую сеть 333.333.333.0/22
198.51.100.0/24 - 4 аплинк (бекап, если рухнули все)
При такой конфигурации через EoIP вижу все сети, кроме 192.168.7.0/24
При этом я хожу на белую сеть и на 192.168.2.0/24
На любом белом адресе вход в логах светится через рутер (хотя вроде не натится)
Как только я меняю в
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat comment=Internet log-prefix=nat22 \
out-interface=!WiFi+LAN src-address=!333.333.333.0/22
src-address на dst-address то вход в белую сеть у меня изнутри локалки пропадает, в логах белой сети светится правильный ip входа, но на выходе вообще начинает светить IP провайдера, через кого я забираю сеть
Код: Выделить всё
/ip firewall address-list
add address=0.0.0.0/8 list=BOGONS
add address=10.0.0.0/8 list=BOGONS
add address=100.64.0.0/10 list=BOGONS
add address=127.0.0.0/8 list=BOGONS
add address=169.254.0.0/16 list=BOGONS
add address=172.16.0.0/12 list=BOGONS
add address=192.0.0.0/24 list=BOGONS
add address=192.0.2.0/24 list=BOGONS
add address=198.18.0.0/15 list=BOGONS
add address=198.51.100.0/24 list=BOGONS
add address=203.0.113.0/24 list=BOGONS
add address=224.0.0.0/3 list=BOGONS
add address=192.168.0.0/16 list=BOGONS
add address=isp-servis.ru list=blocked-addr
add address=oxygenno.fun list=blocked-addr
add address=fast-torrent.ru list=blocked-addr
add address=7-zip.org list=blocked-addr
add address=st.unibytes.com list=blocked-addr
add address=api.telegram.org list=blocked-addr
add address=ucrm.ubnt.com list=blocked-addr
add address=addons.mozilla.org list=blocked-addr
add address=dev-ucrm-billing-demo.ubnt.com list=blocked-addr
add address=192.168.7.0/24 list=my-network
add address=198.51.100.0/24 list=my-network
add address=nolapro.com list=blocked-addr
add address=2ip.ru list=blocked-addr
add address=updates.tdesktop.com list=blocked-addr
add address=updates.theme-fusion.com list=blocked-addr
add address=secure-a.vimeocdn.com list=blocked-addr
add address=nextcloud.com list=blocked-addr
add address=lastpass.com list=blocked-addr
add address=172.16.0.0/12 list=my-network
add address=192.168.0.0/16 list=my-network
add address=hideip.me list=blocked-addr
add address=lostfilm.tv list=blocked-addr
add address=111.111.111.111 list=wan-list
add address=222.222.222.222 list=wan-list
add address=444.444.444.444 list=wan-list
add address=198.51.100.254 list=wan-list
add address=193.164.16.1 list=wan-list
add address=nulledfiles.ru list=blocked-addr
add address=nzix.org list=blocked-addr
add address=333.333.333.0/22 list=Dostup_iz_lokalki
add address=192.168.2.0/24 list=Dostup_iz_lokalki
/ip firewall filter
add chain=input comment="PPTP Access" protocol=gre
add chain=input comment="PPTP Access" dst-port=1723 protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related routing-mark=!to_tor
add action=accept chain=input dst-port=12443 in-interface-list=WAN \
log-prefix=sstp protocol=tcp
add action=accept chain=input log-prefix=ping protocol=icmp
add action=accept chain=forward connection-state=established,related \
routing-mark=!to_tor
add action=jump chain=forward connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=\
32,256,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
10m chain=detect-ddos connection-limit=500,32
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
10m chain=detect-ddos connection-limit=500,32
add action=drop chain=forward comment="Drop Invalid connections" \
connection-state=invalid
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
in-interface-list=WAN protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=1h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
in-interface-list=WAN protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1h chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp
add action=drop chain=input comment="DROP Telnet brutforce" dst-port=23 \
in-interface-list=WAN protocol=tcp src-address-list=telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist \
address-list-timeout=30m chain=input connection-state=new dst-port=23 \
protocol=tcp src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=30m chain=input comment=\
"DDoS - Limit incoming connections, add IP to Blacklist (WAN List)" \
connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=tarpit chain=input comment=\
"DDoS - capture and hold connections, try to slow the attacker " \
connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="DDoS - SYN Flood protect (WAN List)" \
connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
tcp-flags=syn
/ip firewall mangle
add action=accept chain=prerouting comment="\D7\E0\F1\F2\FC \F1\E5\F2\E8 \E8\
\E7 \EB\EE\EA\E0\EB\EA\E8 (333.333.333.0/22 \E8 192.168.2.0/24)" \
dst-address-list=Dostup_iz_lokalki log-prefix=net22
add action=mark-routing chain=prerouting dst-address-list=ddosed \
new-routing-mark=ddoser-route-mark passthrough=no src-address-list=ddoser
add action=mark-routing chain=output comment=\
"Telegram (router) \F7\E5\F0\E5\E7 \CB\E0\F2\E2\E8\FE" dst-address-list=\
tor-traff log-prefix=telega new-routing-mark=vpn_lv passthrough=no \
src-address=!333.333.333.0/22
add action=mark-routing chain=prerouting comment=\
"Email \EE\F2\F1\FB\EB\EA\E0 \F7\E5\F0\E5\E7 ISP1" dst-port=25 \
in-interface=WiFi+LAN log-prefix=email new-routing-mark=route_isp_01 \
passthrough=no protocol=tcp
add action=mark-routing chain=prerouting comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\
\E0 \F2\E5\EB\E5\E3\E8 \F7\E5\F0\E5\E7 \CB\E0\F2\E2\E8\FE" \
dst-address-list=tor-traff log-prefix=tor new-routing-mark=vpn_lv \
passthrough=no src-address=!333.333.333.0/22
add action=mark-routing chain=prerouting comment=\
"\CB\E8\F7\ED\FB\E5 \F7\E5\F0\E5\E7 \CB\E0\F2\E2\E8\FE" dst-address-list=\
blocked-addr log-prefix=tor new-routing-mark=vpn_lv passthrough=no \
src-address=!333.333.333.0/22
add action=accept chain=prerouting dst-address=192.168.2.0/24
add action=accept chain=prerouting dst-address=192.168.7.0/24
add action=accept chain=prerouting dst-address=192.168.88.0/24
add action=accept chain=prerouting dst-address=172.16.0.0/24
add action=accept chain=prerouting dst-address=172.16.253.0/24
add action=accept chain=prerouting dst-address=172.16.1.0/24
add action=accept chain=prerouting dst-address=198.51.100.1
add action=accept chain=prerouting dst-address=192.168.0.0/24
add action=mark-routing chain=prerouting comment="OVPN \C1\E8\EB\EB\E8\ED\E3" \
dst-address=172.16.0.0/24 new-routing-mark=to_billing_vpn passthrough=no
add action=mark-routing chain=prerouting comment="\CA\EB\E8\E5\ED\F2\FB" \
dst-address=172.30.0.0/22 new-routing-mark=to_client passthrough=no
add action=mark-routing chain=prerouting comment="Public network" \
dst-address=172.16.253.0/24 new-routing-mark=to_misha passthrough=no
add action=mark-routing chain=prerouting comment="OVPN \CB\E0\F2\E2\E8\FF" \
dst-address=172.16.1.0/24 new-routing-mark=to_ovpn_lv passthrough=no
add action=mark-routing chain=prerouting comment=\
"OVPN \CC\EE\F1\EA\E2\E0 RB1100hx4" dst-address=172.16.251.0/24 \
log-prefix=moscow new-routing-mark=to_ovpn_moscow passthrough=no
add action=mark-routing chain=prerouting comment=60GHz dst-address=\
192.168.88.0/24 new-routing-mark=to_60ghz passthrough=no
add action=mark-routing chain=prerouting comment=D-Link disabled=yes \
dst-address=10.90.90.0/24 new-routing-mark=to_dlink passthrough=no
add action=change-ttl chain=prerouting comment="\CF\F0\FF\F7\E5\EC \F1\E5\F2\
\FC \EE\F2 \E2\FB\F8\E5\F1\F2\EE\FF\F9\E5\E3\EE \EF\F0\EE\E2\E0\E9\E4\E5\
\F0\E0" disabled=yes new-ttl=increment:1 passthrough=yes
add action=change-mss chain=forward disabled=yes new-mss=1360 passthrough=yes \
protocol=tcp tcp-flags=syn tcp-mss=1453-65535
add action=mark-connection chain=input comment=PCC connection-state=new \
in-interface=00.pppoe-ISP01 new-connection-mark=conn_isp_01 passthrough=\
yes
add action=mark-connection chain=input connection-state=new in-interface=\
00.pppoe-ISP02 new-connection-mark=conn_isp_02 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface=\
03.ISP_03 new-connection-mark=conn_isp_03 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface=\
"04.ISP_04(SXT)" new-connection-mark=conn_backup passthrough=yes
add action=mark-connection chain=prerouting connection-state=related \
in-interface=00.pppoe-ISP01 new-connection-mark=conn_isp_01 passthrough=\
yes
add action=mark-connection chain=prerouting connection-state=related \
in-interface=00.pppoe-ISP02 new-connection-mark=conn_isp_02 passthrough=\
yes
add action=mark-connection chain=prerouting connection-state=related \
in-interface=03.ISP_03 new-connection-mark=conn_isp_03 passthrough=yes
add action=mark-connection chain=prerouting connection-state=related \
in-interface="04.ISP_04(SXT)" new-connection-mark=conn_backup \
passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_01 \
new-routing-mark=route_isp_01 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_02 \
new-routing-mark=route_isp_02 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_03 \
new-routing-mark=route_isp_03 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_backup \
new-routing-mark=route_backup passthrough=yes
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=IT39_PCC_1 passthrough=yes per-connection-classifier=\
both-addresses:3/0 src-address-list=BOGONS
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=IT39_PCC_2 passthrough=yes per-connection-classifier=\
both-addresses:3/1 src-address-list=BOGONS
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=IT39_PCC_3 passthrough=yes per-connection-classifier=\
both-addresses:3/2 src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=IT39_PCC_1 \
new-routing-mark=IT39_1 passthrough=yes src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=IT39_PCC_2 \
new-routing-mark=IT39_2 passthrough=yes src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=IT39_PCC_3 \
new-routing-mark=IT39_3 passthrough=yes src-address-list=BOGONS
add action=mark-connection chain=prerouting connection-mark=no-mark \
new-connection-mark=oTher passthrough=yes
add action=mark-routing chain=prerouting comment=\
"SIP \F7\E5\F0\E5\E7 \C4\E8\E0\EB\EE\E3" log-prefix=phone \
new-routing-mark=route_isp_01 passthrough=yes src-address=192.168.7.29
add action=mark-routing chain=prerouting comment=\
"\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 TTK (\CC\EE\E9)" \
disabled=yes new-routing-mark=route_isp_03 passthrough=yes src-address=\
192.168.7.7
add action=mark-routing chain=prerouting comment="\C2\ED\F3\F2\F0\E5\ED\ED\E8\
\E9 IP \F7\E5\F0\E5\E7 \D2\D2\CA (\CC\EE\E9 thunderbolt)" disabled=yes \
new-routing-mark=route_isp_03 passthrough=yes src-address=192.168.7.32
add action=mark-routing chain=prerouting comment=\
"\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 TTK (ASUS)" \
new-routing-mark=route_isp_03 passthrough=yes src-address=192.168.7.31
add action=mark-routing chain=prerouting comment=\
"\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
route_isp_03 passthrough=yes src-address=192.168.7.241
add action=mark-routing chain=prerouting comment=\
"\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
route_isp_03 passthrough=yes src-address=192.168.7.242
add action=mark-routing chain=prerouting comment=\
"\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
route_isp_03 passthrough=yes src-address=192.168.7.243
add action=mark-routing chain=prerouting comment=\
"\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
route_isp_03 passthrough=yes src-address=192.168.7.244
add action=mark-routing chain=prerouting comment=\
"\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (\DF\F1\E5\ED\FC\F1\EA\EE\E5)" \
new-routing-mark=route_isp_03 passthrough=yes src-address=192.168.7.246
add action=mark-routing chain=prerouting comment=\
"\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (\CE\EB\E5\ED\E8\F7\E5\E2)" \
new-routing-mark=route_isp_03 passthrough=yes src-address=192.168.7.247
add action=mark-routing chain=prerouting comment=\
"\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
route_isp_03 passthrough=yes src-address=192.168.7.45
add action=mark-routing chain=prerouting comment=\
"\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
route_isp_03 passthrough=yes src-address=192.168.7.46
add action=mark-routing chain=prerouting comment=\
"\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
route_isp_03 passthrough=yes src-address=192.168.7.47
add action=mark-routing chain=prerouting comment="\C2\ED\F3\F2\F0\E5\ED\ED\E8\
\E9 IP \F7\E5\F0\E5\E7 Yota (\C4\FE\E4\E8\EA)" disabled=yes \
new-routing-mark=to_yota passthrough=yes src-address=192.168.7.15
add action=mark-routing chain=prerouting comment=\
"\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 Yota (Amour)" \
disabled=yes new-routing-mark=to_yota passthrough=yes src-address=\
192.168.7.18
add action=mark-routing chain=prerouting comment=\
"\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 Yota (\CC\EE\E9)" \
disabled=yes new-routing-mark=to_yota passthrough=yes src-address=\
192.168.7.7
add action=mark-routing chain=prerouting comment=\
"\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 LV (\CC\EE\E9)" \
disabled=yes new-routing-mark=vpn_192_168_2_0 passthrough=yes \
src-address=192.168.7.7
add action=mark-routing chain=prerouting comment="\C2\ED\F3\F2\F0\E5\ED\ED\E8\
\E9 IP \F7\E5\F0\E5\E7 Yota (\D2\E5\F1\F2\EE\E2\FB\E9 \E1\E8\EB\EB\E8\ED\
\E3)" disabled=yes new-routing-mark=to_yota passthrough=yes src-address=\
192.168.7.39
/ip firewall nat
add action=masquerade chain=srcnat comment=Internet log-prefix=nat22 \
out-interface=!WiFi+LAN src-address=!333.333.333.0/22
add action=masquerade chain=srcnat comment=\
"\CC\E0\F1\EA\E0\F0\E0\E4 \E4\EB\FF SSTP" dst-address=192.168.7.2 \
dst-port=12443 protocol=tcp
add action=dst-nat chain=dstnat comment=SSTP dst-port=12443 log=yes \
log-prefix=sstp protocol=tcp to-addresses=192.168.7.2 to-ports=12443
add action=dst-nat chain=dstnat comment=L2TP disabled=yes dst-port=1701 \
in-interface-list=WAN protocol=udp to-addresses=192.168.7.2 to-ports=1701
add action=dst-nat chain=dstnat comment=PPtP disabled=yes dst-port=1723 \
in-interface-list=WAN log-prefix=pptp protocol=tcp to-addresses=\
192.168.7.2 to-ports=1723
add action=masquerade chain=srcnat comment="Local (\F0\E0\E7\EE\E1\F0\E0\F2\FC\
\F1\FF \F1 nat \E4\EB\FF \F1\E0\E9\F2\EE\E2)" dst-address=192.168.7.178
add action=masquerade chain=srcnat comment=OVPN dst-address=!172.16.0.254 \
out-interface=OVPN_billing
add action=masquerade chain=srcnat comment=OVPN out-interface=all-ppp
add action=masquerade chain=srcnat comment=\
"\D1\EF\E8\F1\EE\EA \D0\CA\CD (pptp)" disabled=yes out-interface=\
00.pptp-To-LV
add action=masquerade chain=srcnat comment="All Ethernet" disabled=yes \
out-interface=all-ethernet
add action=dst-nat chain=dstnat comment="WEB 80 port (WAN List)" \
dst-address-list=wan-list dst-address-type="" dst-port=80 log-prefix=www \
protocol=tcp to-addresses=192.168.7.178 to-ports=80
add action=dst-nat chain=dstnat comment=\
"WEB 8080 port (WAN List) SpeedTest server by oOkla" dst-address-list=\
wan-list dst-address-type="" dst-port=8080 log-prefix=www protocol=tcp \
to-addresses=192.168.7.178 to-ports=8080
add action=dst-nat chain=dstnat comment="WEB - 443 port (WAN List)" \
dst-address-list=wan-list dst-address-type="" dst-port=443 protocol=tcp \
to-addresses=192.168.7.178 to-ports=443
add action=dst-nat chain=dstnat comment=\
"PLEX DLNA (\C4\EE\F1\F2\F3\EF \EA \F1\E5\F0\E2\E5\F0\F3) WAN List" \
dst-address-list=wan-list dst-port=32400 protocol=tcp to-addresses=\
192.168.7.178 to-ports=32400
add action=dst-nat chain=dstnat comment="PLEX DLNA - (WAN List)" \
dst-address-list=wan-list dst-port=13099 protocol=tcp to-addresses=\
192.168.7.178 to-ports=32400
add action=dst-nat chain=dstnat comment="RDP - 3389 port (WAN List)" \
dst-address-list=wan-list dst-port=3389 protocol=tcp to-addresses=\
192.168.7.23 to-ports=3389
add action=dst-nat chain=dstnat comment="SSH - 22 port (WAN List)" \
dst-address-list=wan-list dst-port=22 protocol=tcp to-addresses=\
192.168.7.178 to-ports=22
add action=dst-nat chain=dstnat comment="FTP - 21 port (WAN List)" \
dst-address-list=wan-list dst-port=21 log-prefix=sxt protocol=tcp \
to-addresses=192.168.7.178 to-ports=21
add action=dst-nat chain=dstnat comment="Hosting management (WAN List)" \
dst-address-list=wan-list dst-port=8443 protocol=tcp to-addresses=\
192.168.7.178 to-ports=8443
add action=dst-nat chain=dstnat comment="Hosting update (WAN List)" \
dst-address-list=wan-list dst-port=8447 protocol=tcp to-addresses=\
192.168.7.178 to-ports=8447
add action=dst-nat chain=dstnat comment="IRC Server - 6667 port (WAN List)" \
dst-address-list=wan-list dst-port=6667 protocol=tcp to-addresses=\
192.168.7.178 to-ports=6667
add action=dst-nat chain=dstnat comment="SMTP - 25 port (WAN List)" \
dst-address-list=wan-list dst-port=25 protocol=tcp to-addresses=\
192.168.7.178 to-ports=25
add action=dst-nat chain=dstnat comment="POP3 - 110 port (WAN List)" \
dst-address-list=wan-list dst-port=110 protocol=tcp to-addresses=\
192.168.7.178 to-ports=110
add action=dst-nat chain=dstnat comment="WEB \C7\E0\E3\EB\F3\F8\EA\E0" \
dst-address-list=wan-list dst-port=81 protocol=tcp to-addresses=\
185.225.198.2 to-ports=81
add action=dst-nat chain=dstnat comment=robokassa_1 dst-address=\
111.111.111.111 dst-port=1444 protocol=tcp to-addresses=192.168.7.24 \
to-ports=1444
add action=dst-nat chain=dstnat comment=robokassa_2 dst-address=\
222.222.222.222 dst-port=1444 protocol=tcp to-addresses=192.168.7.24 \
to-ports=1444
add action=dst-nat chain=dstnat comment=robokassa_3 dst-address=\
444.444.444.444 dst-port=1444 protocol=tcp to-addresses=192.168.7.24 \
to-ports=1444
add action=dst-nat chain=dstnat comment=robokassassl_1 dst-address=\
111.111.111.111 dst-port=1443 protocol=tcp to-addresses=192.168.7.24 \
to-ports=1443
add action=dst-nat chain=dstnat comment=robokassassl_2 dst-address=\
111.111.111.111 dst-port=1443 protocol=tcp to-addresses=192.168.7.24 \
to-ports=1443
add action=dst-nat chain=dstnat comment=robokassassl_3 dst-address=\
444.444.444.444 dst-port=1443 protocol=tcp to-addresses=192.168.7.24 \
to-ports=1443
add action=dst-nat chain=dstnat comment=webssl_billing_1 dst-address=\
111.111.111.111 dst-port=444 protocol=tcp to-addresses=192.168.7.24 \
to-ports=443
add action=dst-nat chain=dstnat comment=webssl_billing_2 dst-address=\
222.222.222.222 dst-port=444 protocol=tcp to-addresses=192.168.7.24 \
to-ports=443
add action=dst-nat chain=dstnat comment=webssl_billing_3 dst-address=\
444.444.444.444 dst-port=444 protocol=tcp to-addresses=192.168.7.24 \
to-ports=443
add action=dst-nat chain=dstnat comment=nginxproxy1_1 dst-address=\
111.111.111.111 dst-port=7080 protocol=tcp to-addresses=192.168.7.178 \
to-ports=7080
add action=dst-nat chain=dstnat comment=nginxproxy1_2 dst-address=\
222.222.222.222 dst-port=7080 protocol=tcp to-addresses=192.168.7.178 \
to-ports=7080
add action=dst-nat chain=dstnat comment=nginxproxy1_3 dst-address=\
444.444.444.444 dst-port=7080 protocol=tcp to-addresses=192.168.7.178 \
to-ports=7080
add action=dst-nat chain=dstnat comment=nginxproxy2_1 dst-address=\
111.111.111.111 dst-port=7081 protocol=tcp to-addresses=192.168.7.178 \
to-ports=7081
add action=dst-nat chain=dstnat comment=nginxproxy2_2 dst-address=\
222.222.222.222 dst-port=7081 protocol=tcp to-addresses=192.168.7.178 \
to-ports=7081
add action=dst-nat chain=dstnat comment=nginxproxy2_3 dst-address=\
444.444.444.444 dst-port=7081 protocol=tcp to-addresses=192.168.7.178 \
to-ports=7081
add action=dst-nat chain=dstnat comment=nginxproxy3_1 dst-address=\
111.111.111.111 dst-port=8893 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8893
add action=dst-nat chain=dstnat comment=nginxproxy3_2 dst-address=\
222.222.222.222 dst-port=8893 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8893
add action=dst-nat chain=dstnat comment=nginxproxy3_3 dst-address=\
444.444.444.444 dst-port=8893 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8893
add action=dst-nat chain=dstnat comment=nginxproxy4_1 dst-address=\
111.111.111.111 dst-port=8894 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8894
add action=dst-nat chain=dstnat comment=nginxproxy4_2 dst-address=\
222.222.222.222 dst-port=8894 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8894
add action=dst-nat chain=dstnat comment=nginxproxy4_3 dst-address=\
444.444.444.444 dst-port=8894 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8894
add action=dst-nat chain=dstnat comment=nginxproxy5_1 dst-address=\
111.111.111.111 dst-port=8895 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8895
add action=dst-nat chain=dstnat comment=nginxproxy5_2 dst-address=\
222.222.222.222 dst-port=8895 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8895
add action=dst-nat chain=dstnat comment=nginxproxy5_3 dst-address=\
444.444.444.444 dst-port=8895 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8895
add action=dst-nat chain=dstnat comment=web_1 disabled=yes dst-address=\
111.111.111.111 dst-port=80 protocol=tcp to-addresses=192.168.7.178 \
to-ports=80
add action=dst-nat chain=dstnat comment=web_2 disabled=yes dst-address=\
222.222.222.222 dst-port=80 protocol=tcp to-addresses=192.168.7.178 \
to-ports=80
add action=dst-nat chain=dstnat comment=web_3 disabled=yes dst-address=\
444.444.444.444 dst-port=80 protocol=tcp to-addresses=192.168.7.178 \
to-ports=80
add action=dst-nat chain=dstnat comment=web_4 disabled=yes dst-address=\
198.51.100.254 dst-port=80 protocol=tcp to-addresses=192.168.7.178 \
to-ports=80
add action=dst-nat chain=dstnat comment=webssl_1 disabled=yes dst-address=\
111.111.111.111 dst-port=443 protocol=tcp to-addresses=192.168.7.178 \
to-ports=443
add action=dst-nat chain=dstnat comment=webssl_2 disabled=yes dst-address=\
222.222.222.222 dst-port=443 protocol=tcp to-addresses=192.168.7.178 \
to-ports=443
add action=dst-nat chain=dstnat comment=webssl_3 disabled=yes dst-address=\
444.444.444.444 dst-port=443 protocol=tcp to-addresses=192.168.7.178 \
to-ports=443
add action=dst-nat chain=dstnat comment=webssl_4 disabled=yes dst-address=\
198.51.100.254 dst-port=443 protocol=tcp to-addresses=192.168.7.178 \
to-ports=443
add action=dst-nat chain=dstnat comment=pop3_1 disabled=yes dst-address=\
111.111.111.111 dst-port=110 protocol=tcp to-addresses=192.168.7.178 \
to-ports=110
add action=dst-nat chain=dstnat comment=pop3_2 disabled=yes dst-address=\
222.222.222.222 dst-port=110 protocol=tcp to-addresses=192.168.7.178 \
to-ports=110
add action=dst-nat chain=dstnat comment=pop3_3 disabled=yes dst-address=\
444.444.444.444 dst-port=110 protocol=tcp to-addresses=192.168.7.178 \
to-ports=110
add action=dst-nat chain=dstnat comment=smtp_1 disabled=yes dst-address=\
111.111.111.111 dst-port=25 protocol=tcp to-addresses=192.168.7.178 \
to-ports=25
add action=dst-nat chain=dstnat comment=smtp_2 disabled=yes dst-address=\
222.222.222.222 dst-port=25 protocol=tcp to-addresses=192.168.7.178 \
to-ports=25
add action=dst-nat chain=dstnat comment=smtp_3 disabled=yes dst-address=\
444.444.444.444 dst-port=25 protocol=tcp to-addresses=192.168.7.178 \
to-ports=25
add action=dst-nat chain=dstnat comment=irc_1 disabled=yes dst-address=\
111.111.111.111 dst-port=6667 protocol=tcp to-addresses=192.168.7.178 \
to-ports=6667
add action=dst-nat chain=dstnat comment=irc_2 disabled=yes dst-address=\
222.222.222.222 dst-port=6667 protocol=tcp to-addresses=192.168.7.178 \
to-ports=6667
add action=dst-nat chain=dstnat comment=irc_3 disabled=yes dst-address=\
444.444.444.444 dst-port=6667 protocol=tcp to-addresses=192.168.7.178 \
to-ports=6667
add action=dst-nat chain=dstnat comment=hosting_1 disabled=yes dst-address=\
111.111.111.111 dst-port=8443 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8443
add action=dst-nat chain=dstnat comment=hosting_2 disabled=yes dst-address=\
222.222.222.222 dst-port=8443 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8443
add action=dst-nat chain=dstnat comment=hosting_3 disabled=yes dst-address=\
444.444.444.444 dst-port=8443 protocol=tcp to-addresses=192.168.7.178 \
to-ports=8443
add action=dst-nat chain=dstnat comment=hosting_update_1 disabled=yes \
dst-address=111.111.111.111 dst-port=8447 protocol=tcp to-addresses=\
192.168.7.178 to-ports=8447
add action=dst-nat chain=dstnat comment=hosting_update_2 disabled=yes \
dst-address=222.222.222.222 dst-port=8447 protocol=tcp to-addresses=\
192.168.7.178 to-ports=8447
add action=dst-nat chain=dstnat comment=hosting_update_3 disabled=yes \
dst-address=444.444.444.444 dst-port=8447 protocol=tcp to-addresses=\
192.168.7.178 to-ports=8447
add action=dst-nat chain=dstnat comment=ssh_1 disabled=yes dst-address=\
111.111.111.111 dst-port=22 protocol=tcp to-addresses=192.168.7.178 \
to-ports=22
add action=dst-nat chain=dstnat comment=ssh_2 disabled=yes dst-address=\
222.222.222.222 dst-port=22 protocol=tcp to-addresses=192.168.7.178 \
to-ports=22
add action=dst-nat chain=dstnat comment=ssh_3 disabled=yes dst-address=\
444.444.444.444 dst-port=22 protocol=tcp to-addresses=192.168.7.178 \
to-ports=22
add action=dst-nat chain=dstnat comment=ftp_1 disabled=yes dst-address=\
111.111.111.111 dst-port=21 log-prefix=sxt protocol=tcp to-addresses=\
192.168.7.178 to-ports=21
add action=dst-nat chain=dstnat comment=ftp_2 disabled=yes dst-address=\
222.222.222.222 dst-port=21 protocol=tcp to-addresses=192.168.7.178 \
to-ports=21
add action=dst-nat chain=dstnat comment=ftp_3 disabled=yes dst-address=\
444.444.444.444 dst-port=21 protocol=tcp to-addresses=192.168.7.178 \
to-ports=21
add action=dst-nat chain=dstnat comment=plex_1 disabled=yes dst-address=\
111.111.111.111 dst-port=13099 protocol=tcp to-addresses=192.168.7.178 \
to-ports=32400
add action=dst-nat chain=dstnat comment=plex_2 disabled=yes dst-address=\
222.222.222.222 dst-port=13099 protocol=tcp to-addresses=192.168.7.178 \
to-ports=32400
add action=dst-nat chain=dstnat comment=plex_3 disabled=yes dst-address=\
444.444.444.444 dst-port=13099 protocol=tcp to-addresses=192.168.7.178 \
to-ports=32400
add action=dst-nat chain=dstnat comment=plexint_1 disabled=yes dst-address=\
111.111.111.111 dst-port=32400 protocol=tcp to-addresses=192.168.7.178 \
to-ports=32400
add action=dst-nat chain=dstnat comment=plexint_2 disabled=yes dst-address=\
222.222.222.222 dst-port=32400 protocol=tcp to-addresses=192.168.7.178 \
to-ports=32400
add action=dst-nat chain=dstnat comment=plexint_3 disabled=yes dst-address=\
444.444.444.444 dst-port=32400 protocol=tcp to-addresses=192.168.7.178 \
to-ports=32400
add action=dst-nat chain=dstnat comment=web_billing_1 disabled=yes \
dst-address=111.111.111.111 dst-port=81 protocol=tcp to-addresses=\
192.168.7.24 to-ports=80
add action=dst-nat chain=dstnat comment=web_billing_2 disabled=yes \
dst-address=222.222.222.222 dst-port=81 protocol=tcp to-addresses=\
192.168.7.24 to-ports=80
add action=dst-nat chain=dstnat comment=web_billing_3 disabled=yes \
dst-address=444.444.444.444 dst-port=81 protocol=tcp to-addresses=\
192.168.7.24 to-ports=80
/ip firewall raw
add action=accept chain=prerouting protocol=gre
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
10m chain=detect-ddos comment="Detect DDoS"
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
10m chain=detect-ddos
add action=drop chain=prerouting src-address-list=ddoser
add action=drop chain=prerouting src-address-list=port_scanners
add action=add-src-to-address-list address-list=dnsflood \
address-list-timeout=1h chain=prerouting comment=\
"DNS flood protect (WAN List)" dst-port=53 in-interface-list=WAN \
protocol=udp
add action=drop chain=prerouting src-address=!198.51.100.0/24 \
src-address-list=dnsflood
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=1h chain=input comment="Port scanners to list" \
protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=1h chain=input comment="NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=1h chain=input comment="SYN/FIN scan" protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=1h chain=input comment="SYN/RST scan" protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=1h chain=input comment="FIN/PSH/URG scan" protocol=\
tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=1h chain=input comment="NMAP NULL scan" protocol=tcp \
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 13:45
Chupaka
Это всё хорошо, но я не вижу ответа на свой вопрос
А конфиг ну очень длинный, поверхностно пробежался - ничего не увидел, а дальше проще всё-таки отследить конкретный пакет, чем теоретизировать.
С натом всё просто: если адрес меняется - значит, это делает правило NAT. Для исключений белых адресов из НАТа я предпочитаю просто сделать "ip fi nat add chain=srcnat src-address=333.333.333.0/22 action=accept" в самом верху - и забыть вообще о возможности их случайного натирования.
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 14:56
Sir_Prikol
ip fi nat add chain=srcnat src-address=333.333.333.0/22 action=accept
при замене на dst-address заработало, я же говорю, что-то не понятное идёт, часть src-address приходится менять на dst-address
По основной проблеме, выяснилось следующее, с сети 192.168.2.0/24 пингуются ТОЛЬКО IP на интерфейсах, ни один IP на бридже не пингуется.
Специально создал отдельный бридж, навесил на него IP и проверил, как только тот-же IP сменил с бриджа на интерфейс (любой на RB3011) то пинг пошёл.
Пойду немного покурю мануалы по бриджам в микротике. Сниффер, при трейсе и пинге на бриджевые IP адреса - молчит как швед под Полтавой.
Ой чую, где-то в настройках бриджа косяк, вот только локализовать дальше пока не вышло. Ну хоть главное выяснилось, что это только с бриджами такая веселуха.
Видимо всё-таки придётся смотреть в сторону vlan
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 16:31
Chupaka
Sir_Prikol писал(а): ↑29 окт 2018, 14:56
ip fi nat add chain=srcnat src-address=333.333.333.0/22 action=accept
при замене на dst-address заработало, я же говорю, что-то не понятное идёт, часть src-address приходится менять на dst-address
Жесть какая-то. Что значит "приходится"? Сам же отвечу: значит, что-то где-то непредсказуемо настроено
Когда что-то делаешь со своей конфигурацией, неплохо бы понимать, что именно делаешь. Плохо, когда конфигурация заставляет тебя без понимания делать какую-то ересь
Sir_Prikol писал(а): ↑29 окт 2018, 14:56
По основной проблеме, выяснилось следующее, с сети 192.168.2.0/24 пингуются ТОЛЬКО IP на интерфейсах, ни один IP на бридже не пингуется.
Специально создал отдельный бридж, навесил на него IP и проверил, как только тот-же IP сменил с бриджа на интерфейс (любой на RB3011) то пинг пошёл.
Там ProxyARP везде выключен? %) Если да - тогда похоже на то, что Firewall Filter мешает. Из кусков конфига не понятно, что там за такие "to_tor" и когда они могут помешать.
Sir_Prikol писал(а): ↑29 окт 2018, 14:56
По основной проблеме, выяснилось следующее, с сети 192.168.2.0/24 пингуются ТОЛЬКО IP на интерфейсах, ни один IP на бридже не пингуется.
Смотреть, куда и в каком виде летит пакет пинга. Третий раз уже в пустоту советую, больше не буду.
Sir_Prikol писал(а): ↑29 окт 2018, 14:56
Пойду немного покурю мануалы по бриджам в микротике. Сниффер, при трейсе и пинге на бриджевые IP адреса - молчит как швед под Полтавой.
Настройки снифера остались за кадром, поэтому по существу комментировать, увы, нечего.
Sir_Prikol писал(а): ↑29 окт 2018, 14:56
Видимо всё-таки придётся смотреть в сторону vlan
А это как поможет?..
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 16:40
Sir_Prikol
После глобальных переделок и настроек удалось добиться следующего:
Удалённая сеть пингует всю 192.168.7.0/24 ТОЛЬКО если явно укажу пинг через бридж на удалёнке
Код: Выделить всё
ping 192.168.7.178 interface=bridge
SEQ HOST SIZE TTL TIME STATUS
0 192.168.7.178 56 63 56ms
1 192.168.7.178 56 63 56ms
2 192.168.7.178 56 63 56ms
3 192.168.7.178 56 63 56ms
4 192.168.7.178 56 63 56ms
5 192.168.7.178 56 63 56ms
6 192.168.7.178 56 63 56ms
7 192.168.7.178 56 63 56ms
8 192.168.7.178 56 63 56ms
sent=9 received=9 packet-loss=0% min-rtt=56ms avg-rtt=56ms max-rtt=56ms
Соответственно, осталось только понять почему явно указанный маршрут на удалённом RB не даёт тоже самое, пока не укажу интерфейс
Жесть какая-то. Что значит "приходится"? Сам же отвечу: значит, что-то где-то непредсказуемо настроено
К счастью я свою конфигурацию понимаю, а вот эти моменты dst-address и src-address пошли с одного обновления и именно косякнули на RB3011, саппорт развёл руками и предложил откатиться. Я тогда ещё весь принцип работы переделывал, ибо работало и перестало (Уже в какой-то теме писал об этои)
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 16:43
Chupaka
Удалённая сеть пингует всю 7,0/24, или удалённый маршрутизатор пингует? Спешу напомнить, что это разные вещи всё-таки, тем более с точки зрения настроек.
В Route Rules точно правил никаких нет?
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 16:44
Chupaka
Мне уже так надоело тыкать в просьбу отследить пакеты, что готов просить удалённый доступ WinBox'ом xD
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 16:53
Sir_Prikol
Всё, мне тоже это надоело, ошибка найдена
Сам дурак, был прописан НЕ правильный рутинг марк, символ слился, заметил только когда перенёс настройки в блокнот, поправил символ и все пакеты побежали
Прошу прощение за свою собственную глупость
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 16:56
Sir_Prikol
Chupaka писал(а): ↑29 окт 2018, 16:44
Мне уже так надоело тыкать в просьбу отследить пакеты, что готов просить удалённый доступ WinBox'ом xD
Всегда готов дать
Просто я облизываю по тихоньку всё что наверчено, но иногда нужен совет более шарящего человека.
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 16:58
Chupaka
Ура! =)
Сам не люблю такие моменты, где нельзя проверить, существует ли лейба, которую ты добавляешь... Например, в том же Google Cloud, Network-теги
Re: EoIP - Попасть из одной подсети в другую
Добавлено: 29 окт 2018, 17:02
Sir_Prikol
Вот и я о том-же, пока перелопатишь побайтно - употеешь, а конфиг - сами видели, не совсем маленький