Leninxxx Опубликовано 11 мая, 2017 (изменено) · Жалоба Спасайте. Настраиваю CRS125-24G-1S-2HnD. Стоит он как роутер в офисе. Ситуация такая: При подключении к нему из инета по ppptp, часть внутренних офисных IP не пингуется вообще. Такое ощущение что маршрута нет. Но он есть, к тому же половина адресов все-таки пингуется. В частности 10.24.1.6 пингуется, а 10.24.1.7 - нет. Хотя подключены они к одном порту микротика. Помогите кто может, голову сломал. Аналогично настраивал неоднократно 2011 и 951 - все работает, с этим же никак. 123.txt Изменено 11 мая, 2017 пользователем Leninxxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nuts Опубликовано 11 мая, 2017 · Жалоба А с самого Микротика все IP адреса пингуются? Упомянутый маршрут во внутреннюю сеть где и как прописан? PS. Использовать дефолтную конфигурацию - плохая примета. PPS. Медные порты лучше включить в свитч чип, чтобы не расходовать ресурсы хилого процессора на коммутацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mihele95 Опубликовано 11 мая, 2017 · Жалоба add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=ether1 попробуй выключить правило Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 11 мая, 2017 (изменено) · Жалоба А с самого Микротика все IP адреса пингуются? Да, конечно пингуются. Упомянутый маршрут во внутреннюю сеть где и как прописан? Маршруты создается динамически, один при поднятии ppp сессии, где шлюз указан тоннель, а второй - на офисную сеть - шлюзом стоит бридж. попробуй выключить правило Попробовал - не помогло. Каунты на нем вообще пустые. Изменено 11 мая, 2017 пользователем Leninxxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 11 мая, 2017 · Жалоба фаервол (в т.ч. встроенный)/антивирус на ПК Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 11 мая, 2017 · Жалоба фаервол (в т.ч. встроенный)/антивирус на ПК ))) Ну детские ошибки мы уже лет 10 как не делаем :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 11 мая, 2017 · Жалоба Leninxxx, на хосте 10.24.1.7 что прописано в качестве шлюза? Точно 10.24.1.240 ? Дополнительно на хосте 10.24.1.7 проверьте настройки фаервола. Бывают запрещены пинги из других подсетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 11 мая, 2017 (изменено) · Жалоба Leninxxx, на хосте 10.24.1.7 что прописано в качестве шлюза? Точно 10.24.1.240 ? Однозначно. Вся сеть получает IP по DHCP и настройки одинаковые у всех. К тому же инет на этой машине работает, а шлюз в сети один... Дополнительно на хосте 10.24.1.7 проверьте настройки фаервола. Бывают запрещены пинги из других подсетей. Как ни странно, но конкретно на этой машине нет файрвола. К тому же, после серии ребутов, ресетов конфы с последующим накатом этого же конфига, перестали пинговаться другие машины, а эта заработала. Вообще, мистика какая-то... Может кто-нибудь наведет на мысль хотя бы как отследить что происходит с пакетом внутри микротика? В плане маршрутизации конечно. Изменено 11 мая, 2017 пользователем Leninxxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 11 мая, 2017 · Жалоба torch и wireshark на ПК покажут в чем дело Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 11 мая, 2017 · Жалоба torch и wireshark на ПК покажут в чем дело wireshark не покажет что творится внутри железки. А вот torch ведет себя несколько странно. Пингую с удаленного хоста комп в локалке. torch показывает ответ хоста, но входящий пакет не показывает... Такое ощущение что он меня пингует а не я его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 12 мая, 2017 · Жалоба torch на каком интерфейсе смотрите? Может кто-нибудь наведет на мысль хотя бы как отследить что происходит с пакетом внутри микротика? В плане маршрутизации конечно. ничего необычного с ним не происходит, пакет от удаленного ПК приходит на интерфейс pptp, смотрится таблица маршрутизации, т.к. нет нет NAT и запрещающих правил для цепочки forward, и политика фаервола accept, пакет в неизменном виде пересылается на bridge, дальше в ether порт и уходит на ПК в локальной сети тот факт, что часть ПК в локальной сети пингуется, говорит о том что маршрутизатор настроен правильно, убедится что пакет покинул маршрутизатор можно посмотрев torch на bridge интерфейсе давайте еще раз уточним, на ПК который не пигнуется установлено защитное или антивирусное ПО, если установлено то какое? встроенный брандмауэр выключен? дело в том, что пакет пришедший от удаленного ПК имеет src "чужой" сети и даже встроенный брандмауэр windows (в настройках по дефолту) дропает такие пакеты, не говоря уже о всяких антивирусах типа NOD и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 12 мая, 2017 · Жалоба Там же встроенный сниффер есть, посмотрите что приходит на микротик и куда это уходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 12 мая, 2017 (изменено) · Жалоба давайте еще раз уточним, на ПК который не пигнуется установлено защитное или антивирусное ПО, если установлено то какое? встроенный брандмауэр выключен? Изначально проблема проявилась на хосте с iLo. Т.е. был не доступен сам iLo, а в нем никого файрвола точно нет. Вечером, после манипуляций со сбросом микротика и заливки конфига, этот хост стал доступен, но отвалились другие. в том числе один сетевой принтер, на котором так же нет каких либо вариантов отсечь пакет. Так что вполне авторитетно заявляю - варианты с проблемами настройки файрволлов, шлюзов, масок сети и прочего на не пингующихся хостах исключены. Там же встроенный сниффер есть, посмотрите что приходит на микротик и куда это уходит. Тоже про него ночью вспомнил. Пакеты терялись на разных хостах по разному, то на бридже, то на ррр, но всегда на возвратном пакете. UPD. После очередного сброса и настройки руками с нуля вроде бы все заработало. Что было так и не понял. Всем спасибо. Изменено 12 мая, 2017 пользователем Leninxxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 13 мая, 2017 · Жалоба Leninxxx, версия RoS какая? В 6.37 - 6.38 - 6.39 ребята перетряхивали алгоритмы бриджа. В ченжлоге к 6.39 написано неспроста: "!) bridge - reverted bridge BPDU processing back to pre-v6.38 behaviour;" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...