dimugric Опубликовано 1 апреля, 2016 · Жалоба Коллеги, доброго дня. Кому-то вопрос покажется странным, но я его задам. Есть микротик, к которому подключено 2 интернета и на нем проброшено куча портов через настройку NAT. Почему-то с компьютеров, которые находятся за NAT нельзя попинговать свой внешний IP адрес. Для эксперимента взял другой микротик, поставил его. Настроил только белые адреса на портах и NAT. Компы за ним свой внешний IP адрес видят. Подскажите куда капнуть в случае с первым маршрутизатором? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BigMazi Опубликовано 1 апреля, 2016 (изменено) · Жалоба Есть правило разрешающее imput на внешний интерфейс из внутренней сети? Самый простой способ найти затык это создать правило логирования трафика, поместить его в самый верх, увидеть записи в логе, и потихоньку опускать в низ по списку, как только оно опуститься ниже правила по которому пакет обрабатывается записи в логе пропадут. Изменено 1 апреля, 2016 пользователем BigMazi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 1 апреля, 2016 · Жалоба dimugric, причин может быть несколько. Например, некорректная маркировка трафика/маршрута и некорректная таблица маршрутизации при обращении к внешнему IP. А может, просто в фаерволе фильтр. А может еще много чего быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimugric Опубликовано 2 апреля, 2016 · Жалоба Я вот думаю, может Harpin решит мой вопрос. Мне нужно по факту, чтоб из локалки по внешнему IP:port шло подключение для работы с одним ресурсом dimugric, причин может быть несколько. Например, некорректная маркировка трафика/маршрута и некорректная таблица маршрутизации при обращении к внешнему IP. А может, просто в фаерволе фильтр. А может еще много чего быть. Запрещающие правила в firewall я отключал и проверял, не помогло. А вот с маркировкой трафика может быть косяк. У меня 2 провайдера (основной и резерв). Для переключения каналов как раз настраивал маркировку трафика. Может конечно и там что-то, но настройку делал по статье с Хабра Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 3 апреля, 2016 (изменено) · Жалоба dimugric, если IP на интерфейсе не пингуется, основных причин три: 1) не приходит запрос 2) не уходит ответ 3) ответ уходит не туда. Ставьте отладочное правило LOG вверху цепочки mangle в perouting. Ловите в нем icmp. Делайте выводы. Затем то же с postrouting. Изменено 3 апреля, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimugric Опубликовано 4 апреля, 2016 · Жалоба Вроде нашел в чем косяк. Есть "чудо-скрипт" для переключения каналов. Сделано как здесь, только у меня не 3 канала, а 2 http://mikrotik.axiom-pro.ru/articles/failovertangarus.php Так вот, в самом конце статьи есть пункт маркировки трафика по каждому каналу Помечаем белый краской спинки пакетиков: /ip firewall mangle add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=beeline \ passthrough=yes src-address=62.X.7.242 add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=inet passthrough=\ yes src-address=212.152.X.55 add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=rialkom \ passthrough=yes src-address=80.X.255.130 Допустим, что основной интернет - это Билайн. Выключая 1е правило я сразу начинаю видить свой внешний IP из за NAT`а. Вопрос - чем оно так не нравится то микротику?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 5 апреля, 2016 (изменено) · Жалоба /ip firewall mangle add action=mark-routing chain=output comment="Local answer to correct if" disabled=no new-routing-mark=beeline \ passthrough=yes src-address=62.X.7.242 1) Вы пингуете 62.X.7.242 из LAN 2) Ответы идут от него с src-address=62.X.7.242 и получают "new-routing-mark=beeline". 3) Ответный пакет маршрутизируется по таблице beeline. Смотрите таблицу, куда она ведет. Есть ли в ней маршрут в LAN Либо можно модифицировать правило, добавив исключение для LAN: "dst-address=!192.168.x.0/24", тогда пакеты для LAN не получат маркировку и пойдут по основной таблице маршрутизации. Изменено 5 апреля, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimugric Опубликовано 6 апреля, 2016 · Жалоба Либо можно модифицировать правило, добавив исключение для LAN: "dst-address=!192.168.x.0/24", тогда пакеты для LAN не получат маркировку и пойдут по основной таблице маршрутизации. Вот! Спасибо огромное, так работает! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...