Leninxxx Posted May 11, 2017 (edited) · Report post Спасайте. Настраиваю CRS125-24G-1S-2HnD. Стоит он как роутер в офисе. Ситуация такая: При подключении к нему из инета по ppptp, часть внутренних офисных IP не пингуется вообще. Такое ощущение что маршрута нет. Но он есть, к тому же половина адресов все-таки пингуется. В частности 10.24.1.6 пингуется, а 10.24.1.7 - нет. Хотя подключены они к одном порту микротика. Помогите кто может, голову сломал. Аналогично настраивал неоднократно 2011 и 951 - все работает, с этим же никак. 123.txt Edited May 11, 2017 by Leninxxx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nuts Posted May 11, 2017 · Report post А с самого Микротика все IP адреса пингуются? Упомянутый маршрут во внутреннюю сеть где и как прописан? PS. Использовать дефолтную конфигурацию - плохая примета. PPS. Медные порты лучше включить в свитч чип, чтобы не расходовать ресурсы хилого процессора на коммутацию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mihele95 Posted May 11, 2017 · Report post add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=ether1 попробуй выключить правило Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Leninxxx Posted May 11, 2017 (edited) · Report post А с самого Микротика все IP адреса пингуются? Да, конечно пингуются. Упомянутый маршрут во внутреннюю сеть где и как прописан? Маршруты создается динамически, один при поднятии ppp сессии, где шлюз указан тоннель, а второй - на офисную сеть - шлюзом стоит бридж. попробуй выключить правило Попробовал - не помогло. Каунты на нем вообще пустые. Edited May 11, 2017 by Leninxxx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted May 11, 2017 · Report post фаервол (в т.ч. встроенный)/антивирус на ПК Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Leninxxx Posted May 11, 2017 · Report post фаервол (в т.ч. встроенный)/антивирус на ПК ))) Ну детские ошибки мы уже лет 10 как не делаем :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted May 11, 2017 · Report post Leninxxx, на хосте 10.24.1.7 что прописано в качестве шлюза? Точно 10.24.1.240 ? Дополнительно на хосте 10.24.1.7 проверьте настройки фаервола. Бывают запрещены пинги из других подсетей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Leninxxx Posted May 11, 2017 (edited) · Report post Leninxxx, на хосте 10.24.1.7 что прописано в качестве шлюза? Точно 10.24.1.240 ? Однозначно. Вся сеть получает IP по DHCP и настройки одинаковые у всех. К тому же инет на этой машине работает, а шлюз в сети один... Дополнительно на хосте 10.24.1.7 проверьте настройки фаервола. Бывают запрещены пинги из других подсетей. Как ни странно, но конкретно на этой машине нет файрвола. К тому же, после серии ребутов, ресетов конфы с последующим накатом этого же конфига, перестали пинговаться другие машины, а эта заработала. Вообще, мистика какая-то... Может кто-нибудь наведет на мысль хотя бы как отследить что происходит с пакетом внутри микротика? В плане маршрутизации конечно. Edited May 11, 2017 by Leninxxx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted May 11, 2017 · Report post torch и wireshark на ПК покажут в чем дело Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Leninxxx Posted May 11, 2017 · Report post torch и wireshark на ПК покажут в чем дело wireshark не покажет что творится внутри железки. А вот torch ведет себя несколько странно. Пингую с удаленного хоста комп в локалке. torch показывает ответ хоста, но входящий пакет не показывает... Такое ощущение что он меня пингует а не я его. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted May 12, 2017 · Report post torch на каком интерфейсе смотрите? Может кто-нибудь наведет на мысль хотя бы как отследить что происходит с пакетом внутри микротика? В плане маршрутизации конечно. ничего необычного с ним не происходит, пакет от удаленного ПК приходит на интерфейс pptp, смотрится таблица маршрутизации, т.к. нет нет NAT и запрещающих правил для цепочки forward, и политика фаервола accept, пакет в неизменном виде пересылается на bridge, дальше в ether порт и уходит на ПК в локальной сети тот факт, что часть ПК в локальной сети пингуется, говорит о том что маршрутизатор настроен правильно, убедится что пакет покинул маршрутизатор можно посмотрев torch на bridge интерфейсе давайте еще раз уточним, на ПК который не пигнуется установлено защитное или антивирусное ПО, если установлено то какое? встроенный брандмауэр выключен? дело в том, что пакет пришедший от удаленного ПК имеет src "чужой" сети и даже встроенный брандмауэр windows (в настройках по дефолту) дропает такие пакеты, не говоря уже о всяких антивирусах типа NOD и т.д. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted May 12, 2017 · Report post Там же встроенный сниффер есть, посмотрите что приходит на микротик и куда это уходит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Leninxxx Posted May 12, 2017 (edited) · Report post давайте еще раз уточним, на ПК который не пигнуется установлено защитное или антивирусное ПО, если установлено то какое? встроенный брандмауэр выключен? Изначально проблема проявилась на хосте с iLo. Т.е. был не доступен сам iLo, а в нем никого файрвола точно нет. Вечером, после манипуляций со сбросом микротика и заливки конфига, этот хост стал доступен, но отвалились другие. в том числе один сетевой принтер, на котором так же нет каких либо вариантов отсечь пакет. Так что вполне авторитетно заявляю - варианты с проблемами настройки файрволлов, шлюзов, масок сети и прочего на не пингующихся хостах исключены. Там же встроенный сниффер есть, посмотрите что приходит на микротик и куда это уходит. Тоже про него ночью вспомнил. Пакеты терялись на разных хостах по разному, то на бридже, то на ррр, но всегда на возвратном пакете. UPD. После очередного сброса и настройки руками с нуля вроде бы все заработало. Что было так и не понял. Всем спасибо. Edited May 12, 2017 by Leninxxx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted May 13, 2017 · Report post Leninxxx, версия RoS какая? В 6.37 - 6.38 - 6.39 ребята перетряхивали алгоритмы бриджа. В ченжлоге к 6.39 написано неспроста: "!) bridge - reverted bridge BPDU processing back to pre-v6.38 behaviour;" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...