El de Rone Posted October 26, 2017 Posted October 26, 2017 Нестандартная ситуация: основной шлюз - mikrotik поднят статичный маршрут из локалки в удаленную сеть через циску cisco router внутри сети с локальным айпишником, с нее поднят туннель site-to-site в удаленную сеть трафик из локалки в удаленную сеть идет без вопросов из удаленной сети доступ есть только до циски и микротика, пингуемый хост в локалке ответ отдает, судя по tcpdump, но ответ застревает, вероятно, где-то на микротике Уважаемые коллеги, кто сталкивался с подобной сиутацией? подскажите, как ее можно разрешить? Вставить ник Quote
myth Posted October 26, 2017 Posted October 26, 2017 маршрут к сетям знают оба маршрутизатора? Вставить ник Quote
El de Rone Posted October 26, 2017 Author Posted October 26, 2017 все три. включая вторую точку туннеля. Вставить ник Quote
El de Rone Posted October 26, 2017 Author Posted October 26, 2017 микротик - 192.168.210.1 циска - 192.168.210.11 удаленный роутер -192.168.0.1 из локалки (192.168.210.29) в удаленную сеть (192.168.0.12): $ sudo traceroute 192.168.0.12 traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets 1 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms 2 192.168.210.11 (192.168.210.11) 9.087 ms 9.756 ms 10.442 ms 3 192.168.0.1 (192.168.0.1) 71.385 ms 47.492 ms 49.682 ms 4 192.168.0.12 (192.168.0.12) 53.219 ms 54.791 ms 56.330 ms обратно: # traceroute 192.168.210.29 traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets 1 192.168.0.1 (192.168.0.1) 0.317 ms * * 2 192.168.210.11 (192.168.210.11) 67.476 ms 67.469 ms 67.454 ms 3 * * * Вставить ник Quote
DRiVen Posted October 26, 2017 Posted October 26, 2017 Стык между МТ и кошкой в отличную от локальной сети адресацию уведите и маршруты поправьте, у вас L2 с L3 в одну кучу смешались, а разжевывать, простите, лень. Вставить ник Quote
El de Rone Posted October 27, 2017 Author Posted October 27, 2017 11 часов назад, DRiVen сказал: Стык между МТ и кошкой в отличную от локальной сети адресацию уведите предлагаете вообще все переделать? 11 часов назад, DRiVen сказал: маршруты поправьте, у вас L2 с L3 в одну кучу смешались там один дефолтный маршрут и один статический. вы о чем, простите? 11 часов назад, DRiVen сказал: а разжевывать, простите, лень. зато писать пространные рекомендации без всякой конкретики не лень.. вы такой загадочный :-) Вставить ник Quote
pingz Posted October 27, 2017 Posted October 27, 2017 El de Rone Человек имел введу что должно выглидить вот так: 1 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms2 192.168.211.11 (192.168.211.11) 9.087 ms 9.756 ms 10.442 ms А не вот так 1 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms 2 192.168.210.11 (192.168.210.11) 9.087 ms 9.756 ms 10.442 ms А это должно выглядит вот так. traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets 1 192.168.0.1 (192.168.0.1) 0.317 ms * * 2 192.168.211.11 (192.168.211.11) 67.476 ms 67.469 ms 67.454 ms 3 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms Вставить ник Quote
El de Rone Posted October 27, 2017 Author Posted October 27, 2017 pingz Совершенно с вами согласен. Должно выглядеть примерно так как вы и указали. за циской должен увидеться микротик. Вставить ник Quote
pingz Posted October 27, 2017 Posted October 27, 2017 49 минут назад, El de Rone сказал: pingz Совершенно с вами согласен. Должно выглядеть примерно так как вы и указали. за циской должен увидеться микротик. Ты цыферки перечитай. Вставить ник Quote
DRiVen Posted October 27, 2017 Posted October 27, 2017 2 часа назад, El de Rone сказал: предлагаете вообще все переделать? нет, только добавить стыковую подсеть и прописать маршрутизацию через нее. 2 часа назад, El de Rone сказал: вы о чем, простите? о минимальном знании работы протоколов. 2 часа назад, El de Rone сказал: писать пространные рекомендации без всякой конкретики не лень.. С какого момента "пространной" стала одна строка текста? А насчет загадочности - у меня, загадочного, почему-то подобных вашему вопросов не возникает, все тривиально. P.S>Для тру-пасанов: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2. Вставить ник Quote
El de Rone Posted October 27, 2017 Author Posted October 27, 2017 4 часа назад, DRiVen сказал: нет, только добавить стыковую подсеть и прописать маршрутизацию через нее. настроить физические интерфейсы? или достаточно secondary ip address? 4 часа назад, DRiVen сказал: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2. # traceroute 192.168.210.1 traceroute to 192.168.210.1 (192.168.210.1), 30 hops max, 60 byte packets 1 192.168.0.1 (192.168.0.1) 0.583 ms 0.570 ms 0.674 ms 2 192.168.210.11 (192.168.210.11) 56.752 ms 61.451 ms 61.445 ms 3 192.168.210.1 (192.168.210.1) 61.427 ms 39.566 ms 41.206 ms вопрос в том, что назад ответ через микротик не проходит. так что возможно тут дело в PBR 4 часа назад, DRiVen сказал: о минимальном знании работы протоколов. при настройке микротика был указан один маршрут дефолтный и позже для впна один статический. остальные маршруты микротик делает сам. что тут не так? 5 часов назад, pingz сказал: выглидить прошу прощения, сразу и не сообразил где опечатка, а где грамматическая ошибка :-) сейчас ясно, что вы имеете ввиду, что для туннеля на циске надо сделать адрес не относящийся к диапазону локальной сети. теперь я правильно вас понял? Вставить ник Quote
DRiVen Posted October 27, 2017 Posted October 27, 2017 Все правильно, до МТ трассировка и должна работать, у нее прямой маршрут до 192.168.0.1 через кошку есть, в отличие от остальных хостов, которые только дефолт в 192.168.210.1 имеют. Никаких дополнительных физических соединений не нужно, повесьте на интерфейс МТ к существующему адресу еще, например, 192.168.254.1/30, на кошке замените 192.168.210.11 вторым адресом из новой подсети, 192.168.254.2/30, и поправьте маршруты, в МТ маршрут до 192.168.0.1(или .0/24 если там подсеть) через 192.168.254.2, кошке маршрут до 192.168.210.0/24 через 192.168.254.1. Вставить ник Quote
myth Posted October 27, 2017 Posted October 27, 2017 Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда Вставить ник Quote
El de Rone Posted October 27, 2017 Author Posted October 27, 2017 47 минут назад, DRiVen сказал: до МТ трассировка и должна работать, у нее прямой маршрут до 192.168.0.1 через кошку есть, в отличие от остальных хостов, которые только дефолт в 192.168.210.1 имеют. да, но в обратную сторону, то все работает: $ sudo traceroute 192.168.0.12 traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets 1 gateway (192.168.210.1) 0.309 ms 0.343 ms 0.386 ms 2 192.168.210.11 (192.168.210.11) 7.443 ms 8.131 ms 8.756 ms 3 192.168.0.1 (192.168.0.1) 67.663 ms 34.252 ms 39.026 ms 4 192.168.0.12 (192.168.0.12) 41.215 ms 42.764 ms 44.337 ms Вставить ник Quote
myth Posted October 27, 2017 Posted October 27, 2017 Оставляю их сохо мыльницам клиентов Вставить ник Quote
El de Rone Posted October 27, 2017 Author Posted October 27, 2017 2 минуты назад, myth сказал: Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда будем считать это тестовой сетью :-) 56 минут назад, DRiVen сказал: кошке маршрут до 192.168.210.0/24 через 192.168.254.1. так это у нее один маршрут будет дефолтный? Вставить ник Quote
DRiVen Posted October 27, 2017 Posted October 27, 2017 31 минуту назад, myth сказал: Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда Я отвечал, исходя из представленной ТС адресации. 31 минуту назад, El de Rone сказал: да, но в обратную сторону, то все работает Конечно, на пути туда проблем нет, запрос идет через МТ и так же возвращается, на MAC роутера, проблема в том, что адрес кошки висит в адресации LAN. 28 минут назад, El de Rone сказал: так это у нее один маршрут будет дефолтный? Почему один, направлений то два, ей про 1.0 тоже надо сказать :) А насчет использования дефолта - это как удобней, его направляют обычно в направлении нахождения наибольшего количества адресов. Если в вас она кроме как VPN держать ничем более не занимается, ей, имхо, достаточно просто два маршрута до 1.0 и 210.0 указать. Вставить ник Quote
myth Posted October 27, 2017 Posted October 27, 2017 1 минуту назад, DRiVen сказал: Я отвечал, исходя из представленной ТС адресации. так я ТСу и писал, что дурной тон эти подсети использовать Вставить ник Quote
DRiVen Posted October 27, 2017 Posted October 27, 2017 Это, имхо, больше вопрос масштабируемости и предпочтений :) Вставить ник Quote
myth Posted October 27, 2017 Posted October 27, 2017 Слишком уж геморройно бегать по клиентам и перенастраивать им роутеры Вставить ник Quote
kt Posted October 27, 2017 Posted October 27, 2017 (edited) В 10/26/2017 в 19:32, El de Rone сказал: подскажите, как ее можно разрешить? У вас банальный ассиметричный роутинг. Нормально не работает, потому что на микротике есть правило в firewall, блокирующее invalid пакеты на forward. Уберите правило и все заработает. 7 часов назад, DRiVen сказал: P.S>Для тру-пасанов: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2. откуда дровишки? Edited October 27, 2017 by kt Вставить ник Quote
El de Rone Posted October 29, 2017 Author Posted October 29, 2017 В 27.10.2017 в 21:06, kt сказал: откуда дровишки? интересная складывается дискуссия :-) В 27.10.2017 в 21:06, kt сказал: Уберите правило и все заработает. убрал все фильтрующие правила, эксперимента ради - без результата... Вставить ник Quote
kt Posted October 30, 2017 Posted October 30, 2017 4 часа назад, El de Rone сказал: убрал все фильтрующие правила, эксперимента ради - без результата... Эксперимента ради, собрал вашу схему. После выключения правила с блокировкой invalid, все прекрасно бегает в обе стороны. Вставить ник Quote
El de Rone Posted October 30, 2017 Author Posted October 30, 2017 3 часа назад, kt сказал: После выключения правила с блокировкой invalid, все прекрасно бегает в обе стороны. видимо в первый раз что-то не применилось. убрал - заработало. Спасибо! :-) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.