Перейти к содержимому
Калькуляторы

Нестандартная ситуация:
основной шлюз - mikrotik
поднят статичный маршрут из локалки в удаленную сеть через циску
cisco router внутри сети с локальным айпишником, с нее поднят туннель site-to-site в удаленную сеть
трафик из локалки в удаленную сеть идет без вопросов
из удаленной сети доступ есть только до циски и микротика,
пингуемый хост в локалке ответ отдает, судя по tcpdump, но ответ застревает, вероятно, где-то на микротике

Уважаемые коллеги, кто сталкивался с подобной сиутацией? 
подскажите, как ее можно разрешить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все три. включая вторую точку туннеля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

микротик - 192.168.210.1

циска - 192.168.210.11

удаленный роутер -192.168.0.1

 

из локалки (192.168.210.29) в удаленную сеть (192.168.0.12):

$ sudo traceroute 192.168.0.12
traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets
 1  gateway (192.168.210.1)  0.325 ms  0.327 ms  0.360 ms
 2  192.168.210.11 (192.168.210.11)  9.087 ms  9.756 ms  10.442 ms
 3  192.168.0.1 (192.168.0.1)  71.385 ms  47.492 ms  49.682 ms
 4  192.168.0.12 (192.168.0.12)  53.219 ms  54.791 ms  56.330 ms

 

обратно:

# traceroute 192.168.210.29
traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.317 ms * *
 2  192.168.210.11 (192.168.210.11)  67.476 ms  67.469 ms  67.454 ms
 3  * * *
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стык между МТ и кошкой в отличную от локальной сети адресацию уведите и маршруты поправьте, у вас L2 с L3 в одну кучу смешались, а разжевывать, простите, лень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, DRiVen сказал:

Стык между МТ и кошкой в отличную от локальной сети адресацию уведите

предлагаете вообще все переделать?

11 часов назад, DRiVen сказал:

маршруты поправьте, у вас L2 с L3 в одну кучу смешались

там один дефолтный маршрут и один статический.

вы о чем, простите?

11 часов назад, DRiVen сказал:

а разжевывать, простите, лень.

зато писать пространные рекомендации без всякой конкретики не лень..

вы такой загадочный :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

El de Rone   Человек имел введу что должно выглидить вот так:

1 gateway (192.168.210.1)  0.325 ms  0.327 ms  0.360 ms
2  192.168.211.11 (192.168.211.11)  9.087 ms  9.756 ms  10.442 ms

 

А не вот так 

 1 gateway (192.168.210.1)  0.325 ms  0.327 ms  0.360 ms
 2  192.168.210.11 (192.168.210.11)  9.087 ms  9.756 ms  10.442 ms

 

А это должно выглядит вот так. 

traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.317 ms * *
 2  192.168.211.11 (192.168.211.11)  67.476 ms  67.469 ms  67.454 ms

 3 gateway (192.168.210.1)  0.325 ms  0.327 ms  0.360 ms

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pingz Совершенно с вами согласен. Должно выглядеть примерно так как вы и указали. за циской должен увидеться микротик.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

49 минут назад, El de Rone сказал:

pingz Совершенно с вами согласен. Должно выглядеть примерно так как вы и указали. за циской должен увидеться микротик.

 

Ты цыферки перечитай. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, El de Rone сказал:

предлагаете вообще все переделать?

нет, только добавить стыковую подсеть и прописать маршрутизацию через нее.

 

2 часа назад, El de Rone сказал:

вы о чем, простите?

о минимальном знании работы протоколов.

 

2 часа назад, El de Rone сказал:

писать пространные рекомендации без всякой конкретики не лень..

С какого момента "пространной" стала одна строка текста? А насчет загадочности - у меня, загадочного, почему-то подобных вашему вопросов не возникает, все тривиально.

 

P.S>Для тру-пасанов: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, DRiVen сказал:

нет, только добавить стыковую подсеть и прописать маршрутизацию через нее.

настроить физические интерфейсы? или достаточно secondary ip address?

 

4 часа назад, DRiVen сказал:

не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2.

# traceroute 192.168.210.1

traceroute to 192.168.210.1 (192.168.210.1), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.583 ms  0.570 ms  0.674 ms
 2  192.168.210.11 (192.168.210.11)  56.752 ms  61.451 ms  61.445 ms
 3  192.168.210.1 (192.168.210.1)  61.427 ms  39.566 ms  41.206 ms

вопрос в том, что назад ответ через микротик не проходит.

так что возможно тут дело в PBR

 

4 часа назад, DRiVen сказал:

о минимальном знании работы протоколов.

 

при настройке микротика был указан один маршрут дефолтный и позже для впна один статический. остальные маршруты микротик делает сам.

что тут не так?

 

5 часов назад, pingz сказал:

выглидить

прошу прощения, сразу и не сообразил где опечатка, а где грамматическая ошибка :-)

сейчас ясно, что вы имеете ввиду, что для туннеля на циске надо сделать адрес не относящийся к диапазону локальной сети.

теперь я правильно вас понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все правильно, до МТ трассировка и должна работать, у нее прямой маршрут до 192.168.0.1 через кошку есть, в отличие от остальных хостов, которые только дефолт в 192.168.210.1 имеют. Никаких дополнительных физических соединений не нужно, повесьте на интерфейс МТ к существующему адресу еще, например, 192.168.254.1/30, на кошке замените 192.168.210.11 вторым адресом из новой подсети, 192.168.254.2/30, и поправьте маршруты, в МТ маршрут до 192.168.0.1(или .0/24 если там подсеть) через 192.168.254.2, кошке маршрут до 192.168.210.0/24 через 192.168.254.1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

47 минут назад, DRiVen сказал:

до МТ трассировка и должна работать, у нее прямой маршрут до 192.168.0.1 через кошку есть, в отличие от остальных хостов, которые только дефолт в 192.168.210.1 имеют.

да, но в обратную сторону, то все работает:

 

$ sudo traceroute 192.168.0.12

traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets
 1  gateway (192.168.210.1)  0.309 ms  0.343 ms  0.386 ms
 2  192.168.210.11 (192.168.210.11)  7.443 ms  8.131 ms  8.756 ms
 3  192.168.0.1 (192.168.0.1)  67.663 ms  34.252 ms  39.026 ms
 4  192.168.0.12 (192.168.0.12)  41.215 ms  42.764 ms  44.337 ms

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, myth сказал:

Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда

будем считать это тестовой сетью :-)

 

56 минут назад, DRiVen сказал:

кошке маршрут до 192.168.210.0/24 через 192.168.254.1.

так это у нее один маршрут будет дефолтный?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

31 минуту назад, myth сказал:

Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда

Я отвечал, исходя из представленной ТС адресации.

31 минуту назад, El de Rone сказал:

да, но в обратную сторону, то все работает

Конечно, на пути туда проблем нет, запрос идет через МТ и так же возвращается, на MAC роутера, проблема в том, что адрес кошки висит в адресации LAN.

28 минут назад, El de Rone сказал:

так это у нее один маршрут будет дефолтный?

Почему один, направлений то два, ей про 1.0 тоже надо сказать :) А насчет использования дефолта - это как удобней, его направляют обычно в направлении нахождения наибольшего количества адресов. Если в вас она кроме как VPN держать ничем более не занимается, ей, имхо, достаточно просто два маршрута до 1.0 и 210.0 указать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, DRiVen сказал:

Я отвечал, исходя из представленной ТС адресации.

так я ТСу и писал, что дурной тон эти подсети использовать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это, имхо, больше вопрос масштабируемости и предпочтений :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Слишком уж геморройно бегать по клиентам и перенастраивать им роутеры

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 10/26/2017 в 19:32, El de Rone сказал:

подскажите, как ее можно разрешить?

У вас банальный ассиметричный роутинг. Нормально не работает, потому что на микротике есть правило в firewall, блокирующее invalid пакеты на forward. Уберите правило и все заработает. 

 

7 часов назад, DRiVen сказал:

P.S>Для тру-пасанов: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2.

откуда дровишки?

Изменено пользователем kt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 27.10.2017 в 21:06, kt сказал:

откуда дровишки?

интересная складывается дискуссия :-)

 

В 27.10.2017 в 21:06, kt сказал:

Уберите правило и все заработает. 

 

убрал все фильтрующие правила, эксперимента ради - без результата...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, El de Rone сказал:

убрал все фильтрующие правила, эксперимента ради - без результата...

Эксперимента ради, собрал вашу схему. После выключения правила с блокировкой invalid, все прекрасно бегает в обе стороны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, kt сказал:

После выключения правила с блокировкой invalid, все прекрасно бегает в обе стороны.

видимо в первый раз что-то не применилось.

убрал - заработало. Спасибо! :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.