ams666 Posted October 22, 2015 · Report post Подскажите с проблемой. Есть микротик в него включены две сети. присутсвует правило дефолтное включающее маскарадинг нат, соотвественно из нижней сети траффик натится в верхнюю. Отключаю правило трафик не идет вообще Маршруты прописаны Нужно чтобы из нижней сети трафик уходил на маршрут по умолчанию без ната Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted October 22, 2015 · Report post А верхние роутеры знают про нижние подсети? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post Знают. На месте этого микротика стоял софтовый роутер. все работало. тут уже весь мозг вынес. Отключаю правило ната траффик ложится, тоже самое если добавить в исключение этого правила нужную мне подсеть. Хотя теоретически с таким исключением должно просто проходить дальше. Собственно так и планировалось что его достаточно было просто отключить.. оказалось не так. Вот кусок конфига с значащими настройками /interface ethernet set [ find default-name=ether1 ] speed=1Gbps add interface=ether2 l2mtu=1594 name=mgm vlan-id=1234 add interface=ether2 l2mtu=1594 name=red vlan-id=101 /queue type add kind=pcq name=pcq_4096_up pcq-burst-rate=25M pcq-burst-threshold=10M \ pcq-burst-time=6s pcq-classifier=src-address pcq-rate=4096k \ pcq-total-limit=64k add kind=pcq name=pcq_4096_down pcq-burst-rate=5M pcq-burst-threshold=4M \ pcq-burst-time=6s pcq-classifier=dst-address pcq-rate=4096k \ pcq-total-limit=64k /queue tree add name=Total_upload parent=global priority=1 queue=default add name=Total_download parent=global priority=1 queue=default add name=tree_4096_up packet-mark=mark_4096_up parent=Total_upload priority=1 \ queue=pcq_4096_up add name=tree_4096_down packet-mark=mark_4096_down parent=Total_download \ priority=1 queue=pcq_4096_down /ip address add address=172.16.0.5/24 interface=mgm network=172.16.0.0 add address=185.54.40.5/27 interface=ether1 network=185.54.40.0 add address=185.54.42.1/23 interface=red network=185.54.42.0 /ip firewall address-list add address=172.16.0.0/24 list=local_net add address=185.54.42.0/23 list=local_net add address=185.54.42.74 comment=185.54.42.74_service list=service_4096 add address=185.54.42.74 comment=185.54.42.74_accept list=accept_list /ip firewall filter add action=drop chain=forward comment=fw_negbal_drop src-address-list=\ negbal_list add chain=forward comment=fw_accept_src src-address-list=accept_list add chain=forward comment=fw_accept_dst dst-address-list=accept_list add action=drop chain=forward comment=fw_default_drop /ip firewall mangle add action=mark-packet chain=forward comment=mark_4096_up new-packet-mark=\ mark_4096_up passthrough=no src-address-list=service_4096 add action=mark-packet chain=forward comment=mark_4096_down dst-address-list=\ service_4096 new-packet-mark=mark_4096_down passthrough=no /ip firewall nat add action=masquerade chain=srcnat dst-address-list=!local_net \ src-address-list=local_net add action=dst-nat chain=dstnat comment=blocked_redirect dst-port=80 protocol=\ tcp src-address-list=!accept_list to-addresses=185.54.40.7 to-ports=80 add chain=dstnat comment=dnat_negbal_dns_accept port=53 protocol=udp \ src-address-list=negbal_list add action=dst-nat chain=dstnat comment=dnat_negbal_redirect dst-address-list=\ !trusted_list protocol=tcp src-address-list=negbal_list src-port=80 \ to-addresses=185.54.40.7 to-ports=80 /ip firewall service-port add distance=1 gateway=185.54.40.1 верхний роутер 185.54.40.1 него маршрут по умолчанию 0.0.0.0/0 вниз смотрит интерфейс с адресом 185.54.42.1 на подсеть 23 соотвевенно сейчас все с этой подсети попадает под правило add action=masquerade chain=srcnat dst-address-list=!local_net \ src-address-list=local_net если я убираю подсеть из списка local_net то трафик кончается Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 22, 2015 · Report post "add action=drop chain=forward comment=fw_negbal_drop src-address-list=\ negbal_list add chain=forward comment=fw_accept_src src-address-list=accept_list add chain=forward comment=fw_accept_dst dst-address-list=accept_list add action=drop chain=forward comment=fw_default_drop" Чёт я не вижу разрешающих правил Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post разрешающих что? по идее вот эти две add chain=forward comment=fw_accept_src src-address-list=accept_list add chain=forward comment=fw_accept_dst dst-address-list=accept_list разрешают ходить траффику для ip из accept_list Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 22, 2015 · Report post разрешающих что? по идее вот эти две add chain=forward comment=fw_accept_src src-address-list=accept_list add chain=forward comment=fw_accept_dst dst-address-list=accept_list разрешают ходить траффику для ip из accept_list Может я ошибаюсь но чёт action не видно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post может конфиг так выгрузился, типа значение по умолчанию, потому пусто. Если смотреть через winbox то action accept Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 22, 2015 · Report post может конфиг так выгрузился, типа значение по умолчанию, потому пусто. Если смотреть через winbox то action accept а в первом правиле что дропается? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post первым правилом дропается траффик от абонентов которые в списке неоплативших . На вкладке НАТ он потом вторым правилом add action=dst-nat chain=dstnat comment=blocked_redirect dst-port=80 protocol=\ tcp src-address-list=!accept_list to-addresses=185.54.40.7 to-ports=80 если порт 80 редиректится на страничку заглушку. Это все работает корректно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post Пришла в голову мысль... А если хоть одно правило в нате есть случайно не отрубается ли маршрутизация? у меня ведь отключение маскарадинга ложит трафик потому что там есть еще правила ната для редиректа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 22, 2015 · Report post На вскидку: Адрес шлюза не попадает в accept_list, а по вашим правилам все пакеты у которых src или dst не попадает в accept_list не будут форвардиться. Далее, все пакеты у которых src попадает в local_net а dst не попадает в local_net должны натиться. Шлюз у вас 185.54.40.1 А add address=172.16.0.0/24 list=local_net add address=185.54.42.0/23 list=local_net Какой трафик то у вас не идёт как надо? И вообще что вам нужно то? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post это верхний шлюз он попадает под маршрут по умолчанию. Интерфейс микротика 185.54.42.1 попадает в подсеть которая есть в local_net. 0 A S 0.0.0.0/0 185.54.40.1 1 1 ADC 172.16.0.0/24 172.16.0.5 mgm 0 2 ADC 185.54.40.0/27 185.54.40.5 ether1 0 3 ADC 185.54.42.0/23 185.54.42.1 red 0 Нужно чтобы все что идет с подсети 185.54.42.0 с гейтвеем 185.54.42.1 маршрутизировалось по маршруту по умолчанию на 185.54.40.1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 22, 2015 · Report post Вам надо сбросить все настройки, на всех других роутерах, и центральном, включить OSPF. Все будет работать. Далее вам надо сделать так, что бы внутренний трафик сети не попадал под нат, иначе доступа не будет, или OSPF начнет глючить, хотя дело тут совсем не в микротике, а в не верных настройках. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 22, 2015 · Report post Ну дак разрешите форвандинг то того что нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post так он есть add chain=forward comment=fw_accept_src src-address-list=accept_list add chain=forward comment=fw_accept_dst dst-address-list=accept_list Вам надо сбросить все настройки, на всех других роутерах, и центральном, включить OSPF. Все будет работать. Далее вам надо сделать так, что бы внутренний трафик сети не попадал под нат, иначе доступа не будет, или OSPF начнет глючить, хотя дело тут совсем не в микротике, а в не верных настройках. можно поподробней? на бордере bgp его задача простая отдать трафик по маршрутам которые уже есть и работают. Нужен ли там еще ospf Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 22, 2015 · Report post У вас в этом листе только один адрес add address=185.54.42.74 comment=185.54.42.74_accept list=accept_list или конфиг не полный показали? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post там две сотни адресов такого типа Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostikbel Posted October 22, 2015 · Report post так он есть add chain=forward comment=fw_accept_src src-address-list=accept_list add chain=forward comment=fw_accept_dst dst-address-list=accept_list Это не форвардинг. Форвардинг включается с помощью /ip settings set ip-forward=yes Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post так он есть add chain=forward comment=fw_accept_src src-address-list=accept_list add chain=forward comment=fw_accept_dst dst-address-list=accept_list Это не форвардинг. Форвардинг включается с помощью /ip settings set ip-forward=yes не помогло Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 22, 2015 (edited) · Report post не помогло А было выключено? Edited October 22, 2015 by NikAlexAn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 (edited) · Report post скорее всего вклюено, потому что по умолчанию оно включено а я не трогал эти натсройки Edited October 22, 2015 by ams666 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted October 22, 2015 · Report post Мой вам совет: Выключите все правила ната и файрволла. Проверьте маршрутизацию. А потом включайте по одному и контролируйте что получается. Может быть, не взирая на стоны Сааба что так не правильно, использовать кроме листов ещё и src/dst интерфейсы в правилах чтоб получить действительно уникальные правила? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post так и хочу сделать. Только утречком пораньше чтобы не волновать абонентов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 22, 2015 · Report post можно поподробней? на бордере bgp его задача простая отдать трафик по маршрутам которые уже есть и работают. Нужен ли там еще ospf Убираете (отключаете) все правила ната, манглов и т.п. Смотрите заработало или нет. 99.9 всех проблем с маршрутизацией связано с попаданием транзитного трафика в НАТ или какие-то маркировки. У всех правил есть возможность работать с адресными листами в качестве источников адресов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ams666 Posted October 22, 2015 · Report post проблема решена. Мой косяк с маршрутами на бордере. удалил все парвила ната. Не пошло. Проверил что пакеты уходят с микротика но не увидел что приходят. полез проверять выше. Пока bgp не остановил не увидел что маршрут идет на меньшую подсеть ( 22 а не 23). Удивляюсь как это работало на linux роутере. Видимо он менее придирчив к маскам. а микротик не хотел роутить с такого маршрута и гнал через нат. В общем ситуация непонятная. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...