[Leninxxx]

Спасайте.

Настраиваю CRS125-24G-1S-2HnD. Стоит он как роутер в офисе.

Ситуация такая: При подключении к нему из инета по ppptp, часть внутренних офисных IP не пингуется вообще. Такое ощущение что маршрута нет. Но он есть, к тому же половина адресов все-таки пингуется.

В частности 10.24.1.6 пингуется, а 10.24.1.7 - нет. Хотя подключены они к одном порту микротика.

 

Помогите кто может, голову сломал. Аналогично настраивал неоднократно 2011 и 951 - все работает, с этим же никак.

123.txt

Изменено 11 мая, 2017 пользователем Leninxxx

[Nuts]

А с самого Микротика все IP адреса пингуются?

Упомянутый маршрут во внутреннюю сеть где и как прописан?

 

PS. Использовать дефолтную конфигурацию - плохая примета.

PPS. Медные порты лучше включить в свитч чип, чтобы не расходовать ресурсы хилого процессора на коммутацию.

[mihele95]

add action=drop chain=forward comment=\

"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

connection-state=new in-interface=ether1

 

попробуй выключить правило

[Leninxxx]

А с самого Микротика все IP адреса пингуются?

Да, конечно пингуются.

Упомянутый маршрут во внутреннюю сеть где и как прописан?

Маршруты создается динамически, один при поднятии ppp сессии, где шлюз указан тоннель, а второй - на офисную сеть - шлюзом стоит бридж.

попробуй выключить правило

Попробовал - не помогло. Каунты на нем вообще пустые.

Изменено 11 мая, 2017 пользователем Leninxxx

[.None]

фаервол (в т.ч. встроенный)/антивирус на ПК

[Leninxxx]

фаервол (в т.ч. встроенный)/антивирус на ПК

))) Ну детские ошибки мы уже лет 10 как не делаем :)

[nkusnetsov]

Leninxxx, на хосте 10.24.1.7 что прописано в качестве шлюза? Точно 10.24.1.240 ?

Дополнительно на хосте 10.24.1.7 проверьте настройки фаервола. Бывают запрещены пинги из других подсетей.

[Leninxxx]

Leninxxx, на хосте 10.24.1.7 что прописано в качестве шлюза? Точно 10.24.1.240 ?

Однозначно. Вся сеть получает IP по DHCP и настройки одинаковые у всех. К тому же инет на этой машине работает, а шлюз в сети один...

 

Дополнительно на хосте 10.24.1.7 проверьте настройки фаервола. Бывают запрещены пинги из других подсетей.

Как ни странно, но конкретно на этой машине нет файрвола. К тому же, после серии ребутов, ресетов конфы с последующим накатом этого же конфига, перестали пинговаться другие машины, а эта заработала.

Вообще, мистика какая-то...

 

Может кто-нибудь наведет на мысль хотя бы как отследить что происходит с пакетом внутри микротика? В плане маршрутизации конечно.

Изменено 11 мая, 2017 пользователем Leninxxx

[.None]

torch и wireshark на ПК покажут в чем дело

[Leninxxx]

torch и wireshark на ПК покажут в чем дело

wireshark не покажет что творится внутри железки.

 

А вот torch ведет себя несколько странно. Пингую с удаленного хоста комп в локалке. torch показывает ответ хоста, но входящий пакет не показывает... Такое ощущение что он меня пингует а не я его.

[.None]

torch на каком интерфейсе смотрите?

Может кто-нибудь наведет на мысль хотя бы как отследить что происходит с пакетом внутри микротика? В плане маршрутизации конечно.

ничего необычного с ним не происходит, пакет от удаленного ПК приходит на интерфейс pptp, смотрится таблица маршрутизации, т.к. нет нет NAT и запрещающих правил для цепочки forward, и политика фаервола accept, пакет в неизменном виде пересылается на bridge, дальше в ether порт и уходит на ПК в локальной сети

 

тот факт, что часть ПК в локальной сети пингуется, говорит о том что маршрутизатор настроен правильно, убедится что пакет покинул маршрутизатор можно посмотрев torch на bridge интерфейсе

 

давайте еще раз уточним, на ПК который не пигнуется установлено защитное или антивирусное ПО, если установлено то какое? встроенный брандмауэр выключен?

дело в том, что пакет пришедший от удаленного ПК имеет src "чужой" сети и даже встроенный брандмауэр windows (в настройках по дефолту) дропает такие пакеты, не говоря уже о всяких антивирусах типа NOD и т.д.

[VolanD666]

Там же встроенный сниффер есть, посмотрите что приходит на микротик и куда это уходит.

[Leninxxx]

давайте еще раз уточним, на ПК который не пигнуется установлено защитное или антивирусное ПО, если установлено то какое? встроенный брандмауэр выключен?

Изначально проблема проявилась на хосте с iLo. Т.е. был не доступен сам iLo, а в нем никого файрвола точно нет. Вечером, после манипуляций со сбросом микротика и заливки конфига, этот хост стал доступен, но отвалились другие. в том числе один сетевой принтер, на котором так же нет каких либо вариантов отсечь пакет.

Так что вполне авторитетно заявляю - варианты с проблемами настройки файрволлов, шлюзов, масок сети и прочего на не пингующихся хостах исключены.

 

Там же встроенный сниффер есть, посмотрите что приходит на микротик и куда это уходит.

Тоже про него ночью вспомнил. Пакеты терялись на разных хостах по разному, то на бридже, то на ррр, но всегда на возвратном пакете.

 

 

UPD. После очередного сброса и настройки руками с нуля вроде бы все заработало. Что было так и не понял. Всем спасибо.

Изменено 12 мая, 2017 пользователем Leninxxx

[nkusnetsov]

Leninxxx, версия RoS какая? В 6.37 - 6.38 - 6.39 ребята перетряхивали алгоритмы бриджа. В ченжлоге к 6.39 написано неспроста: "!) bridge - reverted bridge BPDU processing back to pre-v6.38 behaviour;"