Jump to content
Калькуляторы

Странности в работе PPPTP

Спасайте.

Настраиваю CRS125-24G-1S-2HnD. Стоит он как роутер в офисе.

Ситуация такая: При подключении к нему из инета по ppptp, часть внутренних офисных IP не пингуется вообще. Такое ощущение что маршрута нет. Но он есть, к тому же половина адресов все-таки пингуется.

В частности 10.24.1.6 пингуется, а 10.24.1.7 - нет. Хотя подключены они к одном порту микротика.

 

Помогите кто может, голову сломал. Аналогично настраивал неоднократно 2011 и 951 - все работает, с этим же никак.

123.txt

Edited by Leninxxx

Share this post


Link to post
Share on other sites

А с самого Микротика все IP адреса пингуются?

Упомянутый маршрут во внутреннюю сеть где и как прописан?

 

PS. Использовать дефолтную конфигурацию - плохая примета.

PPS. Медные порты лучше включить в свитч чип, чтобы не расходовать ресурсы хилого процессора на коммутацию.

Share this post


Link to post
Share on other sites

add action=drop chain=forward comment=\

"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

connection-state=new in-interface=ether1

 

попробуй выключить правило

Share this post


Link to post
Share on other sites

А с самого Микротика все IP адреса пингуются?

Да, конечно пингуются.

Упомянутый маршрут во внутреннюю сеть где и как прописан?

Маршруты создается динамически, один при поднятии ppp сессии, где шлюз указан тоннель, а второй - на офисную сеть - шлюзом стоит бридж.

попробуй выключить правило

Попробовал - не помогло. Каунты на нем вообще пустые.

Edited by Leninxxx

Share this post


Link to post
Share on other sites

фаервол (в т.ч. встроенный)/антивирус на ПК

Share this post


Link to post
Share on other sites

фаервол (в т.ч. встроенный)/антивирус на ПК

))) Ну детские ошибки мы уже лет 10 как не делаем :)

Share this post


Link to post
Share on other sites

Leninxxx, на хосте 10.24.1.7 что прописано в качестве шлюза? Точно 10.24.1.240 ?

Дополнительно на хосте 10.24.1.7 проверьте настройки фаервола. Бывают запрещены пинги из других подсетей.

Share this post


Link to post
Share on other sites

Leninxxx, на хосте 10.24.1.7 что прописано в качестве шлюза? Точно 10.24.1.240 ?

Однозначно. Вся сеть получает IP по DHCP и настройки одинаковые у всех. К тому же инет на этой машине работает, а шлюз в сети один...

 

Дополнительно на хосте 10.24.1.7 проверьте настройки фаервола. Бывают запрещены пинги из других подсетей.

Как ни странно, но конкретно на этой машине нет файрвола. К тому же, после серии ребутов, ресетов конфы с последующим накатом этого же конфига, перестали пинговаться другие машины, а эта заработала.

Вообще, мистика какая-то...

 

Может кто-нибудь наведет на мысль хотя бы как отследить что происходит с пакетом внутри микротика? В плане маршрутизации конечно.

Edited by Leninxxx

Share this post


Link to post
Share on other sites

torch и wireshark на ПК покажут в чем дело

Share this post


Link to post
Share on other sites

torch и wireshark на ПК покажут в чем дело

wireshark не покажет что творится внутри железки.

 

А вот torch ведет себя несколько странно. Пингую с удаленного хоста комп в локалке. torch показывает ответ хоста, но входящий пакет не показывает... Такое ощущение что он меня пингует а не я его.

Share this post


Link to post
Share on other sites

torch на каком интерфейсе смотрите?

Может кто-нибудь наведет на мысль хотя бы как отследить что происходит с пакетом внутри микротика? В плане маршрутизации конечно.

ничего необычного с ним не происходит, пакет от удаленного ПК приходит на интерфейс pptp, смотрится таблица маршрутизации, т.к. нет нет NAT и запрещающих правил для цепочки forward, и политика фаервола accept, пакет в неизменном виде пересылается на bridge, дальше в ether порт и уходит на ПК в локальной сети

 

тот факт, что часть ПК в локальной сети пингуется, говорит о том что маршрутизатор настроен правильно, убедится что пакет покинул маршрутизатор можно посмотрев torch на bridge интерфейсе

 

давайте еще раз уточним, на ПК который не пигнуется установлено защитное или антивирусное ПО, если установлено то какое? встроенный брандмауэр выключен?

дело в том, что пакет пришедший от удаленного ПК имеет src "чужой" сети и даже встроенный брандмауэр windows (в настройках по дефолту) дропает такие пакеты, не говоря уже о всяких антивирусах типа NOD и т.д.

Share this post


Link to post
Share on other sites

Там же встроенный сниффер есть, посмотрите что приходит на микротик и куда это уходит.

Share this post


Link to post
Share on other sites

давайте еще раз уточним, на ПК который не пигнуется установлено защитное или антивирусное ПО, если установлено то какое? встроенный брандмауэр выключен?

Изначально проблема проявилась на хосте с iLo. Т.е. был не доступен сам iLo, а в нем никого файрвола точно нет. Вечером, после манипуляций со сбросом микротика и заливки конфига, этот хост стал доступен, но отвалились другие. в том числе один сетевой принтер, на котором так же нет каких либо вариантов отсечь пакет.

Так что вполне авторитетно заявляю - варианты с проблемами настройки файрволлов, шлюзов, масок сети и прочего на не пингующихся хостах исключены.

 

Там же встроенный сниффер есть, посмотрите что приходит на микротик и куда это уходит.

Тоже про него ночью вспомнил. Пакеты терялись на разных хостах по разному, то на бридже, то на ррр, но всегда на возвратном пакете.

 

 

UPD. После очередного сброса и настройки руками с нуля вроде бы все заработало. Что было так и не понял. Всем спасибо.

Edited by Leninxxx

Share this post


Link to post
Share on other sites

Leninxxx, версия RoS какая? В 6.37 - 6.38 - 6.39 ребята перетряхивали алгоритмы бриджа. В ченжлоге к 6.39 написано неспроста: "!) bridge - reverted bridge BPDU processing back to pre-v6.38 behaviour;"

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this