traceroute [РЕШЕНО]

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

traceroute [РЕШЕНО]

Сообщение Sir_Prikol »

Добрый день, что-то я перемудрил с настройками правил, пока пытался запустить доступи внутри сети

Итак имеем следующую проблему
Сам микротик и компы за ним
микротик 192.168.4.1/22
Комп 192.168.7.7

При трейсе с компа - микротик отзывается звёздочками
Так-же часть маршрутов не работает (не читает таблицу маршрутизации чтобы уходить в туннель на BGP маршруты, вернее уходит частично)

Конфиг маршрутов

Код: Выделить всё

/ip route
add distance=1 routing-mark=ddoser-route-mark type=blackhole
add check-gateway=ping comment=BACKUP distance=1 gateway=06.ISP_06_BACKUP \
    routing-mark=route_backup
add check-gateway=ping distance=1 gateway=192.168.2.1 pref-src=192.168.2.2 \
    routing-mark=vpn_lv
add distance=1 dst-address=192.168.88.0/24 gateway=03.ISP_03 pref-src=\
    192.168.88.1 routing-mark=to_60ghz scope=10
add check-gateway=arp distance=1 gateway=00.pppoe-ISP01 routing-mark=IT39_1
add check-gateway=arp distance=2 gateway=00.pppoe-ISP02 routing-mark=IT39_1
add check-gateway=arp distance=3 gateway=00.pppoe-ISP03 routing-mark=IT39_1
add check-gateway=arp distance=4 gateway=00.pppoe-ISP04 routing-mark=IT39_1
add check-gateway=arp distance=5 gateway=00.pppoe-ISP05 routing-mark=IT39_1
add check-gateway=arp comment=BACKUP distance=6 gateway=06.ISP_06_BACKUP \
    routing-mark=IT39_1
add check-gateway=arp distance=1 gateway=00.pppoe-ISP02 routing-mark=IT39_2
add check-gateway=arp distance=2 gateway=00.pppoe-ISP03 routing-mark=IT39_2
add check-gateway=arp distance=3 gateway=00.pppoe-ISP04 routing-mark=IT39_2
add check-gateway=arp distance=4 gateway=00.pppoe-ISP05 routing-mark=IT39_2
add check-gateway=arp distance=5 gateway=00.pppoe-ISP01 routing-mark=IT39_2
add check-gateway=arp comment=BACKUP distance=6 gateway=06.ISP_06_BACKUP \
    routing-mark=IT39_2
add check-gateway=arp distance=1 gateway=00.pppoe-ISP03 routing-mark=IT39_3
add check-gateway=arp distance=2 gateway=00.pppoe-ISP04 routing-mark=IT39_3
add check-gateway=arp distance=3 gateway=00.pppoe-ISP05 routing-mark=IT39_3
add check-gateway=arp distance=4 gateway=00.pppoe-ISP01 routing-mark=IT39_3
add check-gateway=arp distance=5 gateway=00.pppoe-ISP02 routing-mark=IT39_3
add check-gateway=arp comment=BACKUP distance=6 gateway=06.ISP_06_BACKUP \
    routing-mark=IT39_3
add check-gateway=arp distance=1 gateway=00.pppoe-ISP04 routing-mark=IT39_4
add check-gateway=arp distance=2 gateway=00.pppoe-ISP05 routing-mark=IT39_4
add check-gateway=arp distance=3 gateway=00.pppoe-ISP01 routing-mark=IT39_4
add check-gateway=arp distance=4 gateway=00.pppoe-ISP02 routing-mark=IT39_4
add check-gateway=arp distance=5 gateway=00.pppoe-ISP03 routing-mark=IT39_4
add check-gateway=arp comment=BACKUP distance=6 gateway=06.ISP_06_BACKUP \
    routing-mark=IT39_4
add check-gateway=arp distance=1 gateway=00.pppoe-ISP05 routing-mark=IT39_5
add check-gateway=arp distance=2 gateway=00.pppoe-ISP01 routing-mark=IT39_5
add check-gateway=arp distance=3 gateway=00.pppoe-ISP02 routing-mark=IT39_5
add check-gateway=arp distance=4 gateway=00.pppoe-ISP03 routing-mark=IT39_5
add check-gateway=arp distance=5 gateway=00.pppoe-ISP04 routing-mark=IT39_5
add check-gateway=arp comment=BACKUP distance=6 gateway=06.ISP_06_BACKUP \
    routing-mark=IT39_5
add distance=1 dst-address=172.30.0.0/22 gateway=WiFi+LAN routing-mark=\
    to_client scope=10
add check-gateway=arp distance=1 gateway=00.pppoe-ISP01
add check-gateway=ping distance=1 gateway=00.pppoe-ISP03
add check-gateway=ping distance=1 gateway=00.pppoe-ISP05
add check-gateway=ping distance=1 gateway=00.pppoe-ISP01
add check-gateway=ping distance=1 gateway=00.pppoe-ISP02
add check-gateway=ping distance=1 gateway=06.ISP_06_BACKUP
add check-gateway=arp distance=2 gateway=00.pppoe-ISP02
add check-gateway=arp distance=3 gateway=00.pppoe-ISP05
add check-gateway=arp distance=3 gateway=06.ISP_06_BACKUP
add check-gateway=arp distance=4 gateway=00.pppoe-ISP03
add distance=1 dst-address=149.154.167.220/32 gateway=00.BYPASS_LV
/ip route rule
add action=lookup-only-in-table comment=\
    "\D2\E5\EB\E5\E3\E0 \F7\E5\F0\E5\E7 \CB\E0\F2\E2\E8\FE" dst-address=\
    149.154.167.220/32 interface=00.BYPASS_LV table=main
add action=lookup-only-in-table routing-mark=route_isp_01 table=IT39_1
add action=lookup-only-in-table routing-mark=route_isp_02 table=IT39_2
add action=lookup-only-in-table routing-mark=route_isp_03 table=IT39_3
add action=lookup-only-in-table routing-mark=route_isp_04 table=IT39_4
add action=lookup-only-in-table routing-mark=route_isp_05 table=IT39_5
add action=drop comment=\
    "\C7\E0\EF\F0\E5\F2 \E2 \EE\F1\ED\EE\E2\ED\F3\FE \F1\E5\F2\FC" \
    dst-address=172.16.252.0/22 src-address=10.90.90.0/24
add action=drop comment=\
    "\C7\E0\EF\F0\E5\F2 \E2 \EE\F1\ED\EE\E2\ED\F3\FE \F1\E5\F2\FC" \
    dst-address=172.16.252.0/22 src-address=192.168.0.0/24
add action=drop comment=\
    "\C7\E0\EF\F0\E5\F2 \E2 \EE\F1\ED\EE\E2\ED\F3\FE \F1\E5\F2\FC" \
    dst-address=172.16.252.0/22 src-address=192.168.4.0/22
add action=drop comment=\
    "\C7\E0\EF\F0\E5\F2 \E2 \EE\F1\ED\EE\E2\ED\F3\FE \F1\E5\F2\FC" \
    dst-address=172.16.252.0/22 src-address=172.16.1.0/24
add action=drop comment=\
    "\C7\E0\EF\F0\E5\F2 \E2 \EE\F1\ED\EE\E2\ED\F3\FE \F1\E5\F2\FC" \
    dst-address=172.16.252.0/22 src-address=192.168.88.0/24
add action=drop comment=\
    "\C7\E0\EF\F0\E5\F2 \E2 \EE\F1\ED\EE\E2\ED\F3\FE \F1\E5\F2\FC" \
    dst-address=172.16.252.0/22 src-address=172.16.30.0/24
add action=drop comment=\
    "\C7\E0\EF\F0\E5\F2 \E2 \EE\F1\ED\EE\E2\ED\F3\FE \F1\E5\F2\FC" \
    dst-address=172.16.252.0/22 src-address=172.16.251.0/24
BGP

Код: Выделить всё

/routing bgp instance
set default as=64577 ignore-as-path-len=yes out-filter=64577-out router-id=\
    78.36.201.240
/routing bgp peer
add address-families=ip,ipv6,l2vpn,l2vpn-cisco,vpnv4 hold-time=4m in-filter=\
    bgp_in multihop=yes name=Blacklist out-filter=64577-out remote-address=\
    192.3.134.152 remote-as=65432 ttl=default
/routing filter
add action=discard chain=64577-out
add action=accept chain=bgp_in comment="\D4\E8\EB\FC\F2\F0 \E4\EB\FF \EE\E1\F5\
    \EE\E4\E0 \E1\EB\EE\EA\E8\F0\EE\E2\EE\EA \F7\E5\F0\E5\E7 BGP" \
    set-in-nexthop-direct=00.BYPASS_LV
        
Ну и сам трейс с компа

Код: Выделить всё

traceroute 2ip.ru
traceroute to 2ip.ru (195.201.201.32), 64 hops max, 52 byte packets
 1  * * *
 2  * * *
 3  89.201.0.1 (89.201.0.1)  56.687 ms  54.323 ms  54.655 ms
 4  * * *
 5  78.154.154.165 (78.154.154.165)  54.522 ms  54.344 ms  54.305 ms
 6  riga-b1-link.telia.net (213.248.84.32)  54.131 ms  54.232 ms  53.867 ms
 7  s-bb4-link.telia.net (62.115.136.78)  63.280 ms  63.141 ms  63.379 ms
 8  ffm-bb4-link.telia.net (62.115.138.105)  81.668 ms
    ffm-bb3-link.telia.net (62.115.138.237)  90.513 ms  92.133 ms
 9  ffm-b4-link.telia.net (62.115.120.6)  104.854 ms
    ffm-b4-link.telia.net (62.115.120.0)  86.876 ms
    ffm-b4-link.telia.net (62.115.120.6)  81.841 ms
10  hetzner-ic-326013-ffm-b4.c.telia.net (213.248.70.3)  87.360 ms  91.065 ms  81.908 ms
11  core22.fsn1.hetzner.com (213.239.224.245)  97.276 ms
    core21.fsn1.hetzner.com (213.239.224.241)  97.506 ms  97.604 ms
12  ex9k1.dc13.fsn1.hetzner.com (213.239.245.242)  94.626 ms  94.843 ms
    ex9k1.dc13.fsn1.hetzner.com (213.239.245.238)  98.526 ms
13  node-2ip.barznet.de (188.40.9.67)  94.205 ms  94.085 ms  89.069 ms
14  2ip.ru (195.201.201.32)  99.596 ms  94.458 ms  99.588 ms
Первые два хопа - микротики, специально отправил в туннель 2ip чтобы видеть IP выхода
Причём, при отправке туда-же speedtest.net - он не реагирует

Где-то намудрил, ибо первый хоп отвечал 192.168.4.1
Последний раз редактировалось Sir_Prikol 19 мар 2019, 18:29, всего редактировалось 1 раз.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: traceroute

Сообщение Chupaka »

Добрый. А правила файрвола разрешают traceroute? Пинг с клиента на 192.168.4.1 есть?
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: traceroute

Сообщение Sir_Prikol »

Да, трейс разрешён

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward comment="###############    \C8\F1\EA\EB\FE\F7\
    \E0\E5\EC \E3\EE\F1\F2\E5\E2\F3\FE \F1\E5\F2\FC \E8\E7 fasttrack \E4\EB\FF\
    \_simple queues    ###############" connection-state=established,related \
    src-address=172.16.252.0/22
add action=accept chain=forward connection-state=established,related \
    dst-address=172.16.252.0/22
add action=accept chain=forward comment="#####################################\
    ###############################################" disabled=yes
add action=fasttrack-connection chain=forward comment=\
    "###############    FastTrack    ###############" connection-state=\
    established,related routing-mark=!to_tor
add action=accept chain=forward connection-state=established,related \
    routing-mark=!to_tor
add action=accept chain=forward comment="#####################################\
    ###############################################" disabled=yes
add action=accept chain=input log-prefix=ping protocol=icmp
add action=jump chain=forward comment="############### \CF\F0\E5\E4\E2\E0\F0\
    \E8\F2\E5\EB\FC\ED\E0\FF \EF\F0\EE\E2\E5\F0\EA\E0 \ED\E0 DDoS ############\
    ###" connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=\
    32,256,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
    10m chain=detect-ddos connection-limit=500,32
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
    10m chain=detect-ddos connection-limit=500,32
add action=drop chain=forward comment=\
    "############### Drop Invalid connections ###############" \
    connection-state=invalid
add action=drop chain=input comment=\
    "############### drop ftp brute forcers ###############" dst-port=21 \
    in-interface-list=WAN protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=\
    1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=1h chain=output content="530 Login incorrect" \
    protocol=tcp
add action=drop chain=input comment=\
    "############### drop ssh and telnet brute forcers ###############" \
    dst-port=22,23 in-interface-list=WAN protocol=tcp src-address-list=\
    bruteforces_blacklist
add action=add-src-to-address-list address-list=bruteforces_blacklist \
    address-list-timeout=1h chain=input connection-state=new dst-port=22,23 \
    protocol=tcp src-address-list=bruteforces_blacklist_stage3
add action=add-src-to-address-list address-list=bruteforces_blacklist_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22,23 \
    protocol=tcp src-address-list=bruteforces_blacklist_stage2
add action=add-src-to-address-list address-list=bruteforces_blacklist_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22,23 \
    protocol=tcp src-address-list=bruteforces_blacklist_stage1
add action=add-src-to-address-list address-list=bruteforces_blacklist_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22,23 \
    protocol=tcp src-address-list=!my-network
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=30m chain=input comment="############### DDoS - Limit\
    \_incoming connections, add IP to Blacklist (WAN List) ###############" \
    connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=tarpit chain=input comment="############### DDoS - capture and hold\
    \_connections, try to slow the attacker ###############" \
    connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment=\
    "############### DDoS - SYN Flood protect (WAN List) ###############" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=accept chain=forward comment="#####################################\
    ###############################################" disabled=yes

Код: Выделить всё

ping 192.168.4.1
PING 192.168.4.1 (192.168.4.1): 56 data bytes
64 bytes from 192.168.4.1: icmp_seq=0 ttl=64 time=1.380 ms
64 bytes from 192.168.4.1: icmp_seq=1 ttl=64 time=0.999 ms
64 bytes from 192.168.4.1: icmp_seq=2 ttl=64 time=0.939 ms
64 bytes from 192.168.4.1: icmp_seq=3 ttl=64 time=1.040 ms
64 bytes from 192.168.4.1: icmp_seq=4 ttl=64 time=1.035 ms
64 bytes from 192.168.4.1: icmp_seq=5 ttl=64 time=1.162 ms
64 bytes from 192.168.4.1: icmp_seq=6 ttl=64 time=1.135 ms
^C
--- 192.168.4.1 ping statistics ---
7 packets transmitted, 7 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.939/1.099/1.380/0.135 ms
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: traceroute

Сообщение Chupaka »

Ну, я бы смотрел на роутере, куда именно пакет с tracert-ответом улетает :) Через Torch или output-правило с логированием...
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: traceroute

Сообщение Sir_Prikol »

Поставил обычный output accept и получил полный трейс :) , но

по трейсу уходит правильно, но только по адресам указанным а address-list

И совршенно не смотрит /ip route где лежат маршруты, полученные по BGP

Код: Выделить всё

traceroute speedtest.net
traceroute: Warning: speedtest.net has multiple addresses; using 151.101.130.219
traceroute to speedtest.net (151.101.130.219), 64 hops max, 52 byte packets
 1  192.168.4.1 (192.168.4.1)  1.574 ms  1.146 ms  1.590 ms
 2  192.168.2.1 (192.168.2.1)  52.478 ms  52.424 ms  52.134 ms
 3  89.201.0.1 (89.201.0.1)  54.411 ms  56.143 ms  54.355 ms
 4  10.220.1.205 (10.220.1.205)  55.039 ms  54.007 ms  53.956 ms
 5  78.154.154.165 (78.154.154.165)  54.202 ms  54.652 ms  54.246 ms
 6  riga-b1-link.telia.net (213.248.84.32)  54.410 ms  54.138 ms  54.000 ms
 7  s-bb4-link.telia.net (62.115.136.78)  63.319 ms  63.386 ms  63.454 ms
 8  s-b5-link.telia.net (80.91.253.227)  66.035 ms
    s-b5-link.telia.net (80.91.249.217)  65.592 ms
    s-b5-link.telia.net (62.115.141.203)  69.161 ms
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: traceroute

Сообщение Chupaka »

Сейчас вообще ничего не понял... Какая-то проблема ещё осталась? В чём она проявляется? :)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: traceroute

Сообщение Sir_Prikol »

Добавил правило в манглах -

Код: Выделить всё

 chain=prerouting action=mark-routing new-routing-mark=BGP_Unblock passthrough=no src-address-list=my-network log=no log-prefix=""
Трейсы все побежали правильно
Единственное меня смущает passthrough=no , может ему надо yes?
К вечеру уже голова не пашет
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: traceroute

Сообщение Sir_Prikol »

У меня идеи кончились, доступы открыты, я за компом :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: traceroute

Сообщение Sir_Prikol »

Добавили 2 правила и заработало

Код: Выделить всё

/ip firewall mangle
add chain=prerouting action=accept dst-address-list=my-network in-interface=00.BYPASS_LV log=no
add chain=output action=accept dst-address-list=my-network log=no
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: traceroute [РЕШЕНО]

Сообщение Chupaka »

Если чуть более развёрнуто - трафик с приватных адресов (находящихся в списке BOGONS; в том числе роутеры, которые участвуют в трассировке), в том числе и возвращающийся из тоннеля 00.BYPASS_LV, балансировался на аплинки локального роутера, чего делать не надо было :)