El de Rone Опубликовано 26 октября, 2017 · Жалоба Нестандартная ситуация: основной шлюз - mikrotik поднят статичный маршрут из локалки в удаленную сеть через циску cisco router внутри сети с локальным айпишником, с нее поднят туннель site-to-site в удаленную сеть трафик из локалки в удаленную сеть идет без вопросов из удаленной сети доступ есть только до циски и микротика, пингуемый хост в локалке ответ отдает, судя по tcpdump, но ответ застревает, вероятно, где-то на микротике Уважаемые коллеги, кто сталкивался с подобной сиутацией? подскажите, как ее можно разрешить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 26 октября, 2017 · Жалоба маршрут к сетям знают оба маршрутизатора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
El de Rone Опубликовано 26 октября, 2017 · Жалоба все три. включая вторую точку туннеля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 26 октября, 2017 · Жалоба трассировка что говорит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
El de Rone Опубликовано 26 октября, 2017 · Жалоба микротик - 192.168.210.1 циска - 192.168.210.11 удаленный роутер -192.168.0.1 из локалки (192.168.210.29) в удаленную сеть (192.168.0.12): $ sudo traceroute 192.168.0.12 traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets 1 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms 2 192.168.210.11 (192.168.210.11) 9.087 ms 9.756 ms 10.442 ms 3 192.168.0.1 (192.168.0.1) 71.385 ms 47.492 ms 49.682 ms 4 192.168.0.12 (192.168.0.12) 53.219 ms 54.791 ms 56.330 ms обратно: # traceroute 192.168.210.29 traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets 1 192.168.0.1 (192.168.0.1) 0.317 ms * * 2 192.168.210.11 (192.168.210.11) 67.476 ms 67.469 ms 67.454 ms 3 * * * Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 26 октября, 2017 · Жалоба Стык между МТ и кошкой в отличную от локальной сети адресацию уведите и маршруты поправьте, у вас L2 с L3 в одну кучу смешались, а разжевывать, простите, лень. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
El de Rone Опубликовано 27 октября, 2017 · Жалоба 11 часов назад, DRiVen сказал: Стык между МТ и кошкой в отличную от локальной сети адресацию уведите предлагаете вообще все переделать? 11 часов назад, DRiVen сказал: маршруты поправьте, у вас L2 с L3 в одну кучу смешались там один дефолтный маршрут и один статический. вы о чем, простите? 11 часов назад, DRiVen сказал: а разжевывать, простите, лень. зато писать пространные рекомендации без всякой конкретики не лень.. вы такой загадочный :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 27 октября, 2017 · Жалоба El de Rone Человек имел введу что должно выглидить вот так: 1 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms2 192.168.211.11 (192.168.211.11) 9.087 ms 9.756 ms 10.442 ms А не вот так 1 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms 2 192.168.210.11 (192.168.210.11) 9.087 ms 9.756 ms 10.442 ms А это должно выглядит вот так. traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets 1 192.168.0.1 (192.168.0.1) 0.317 ms * * 2 192.168.211.11 (192.168.211.11) 67.476 ms 67.469 ms 67.454 ms 3 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
El de Rone Опубликовано 27 октября, 2017 · Жалоба pingz Совершенно с вами согласен. Должно выглядеть примерно так как вы и указали. за циской должен увидеться микротик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 27 октября, 2017 · Жалоба 49 минут назад, El de Rone сказал: pingz Совершенно с вами согласен. Должно выглядеть примерно так как вы и указали. за циской должен увидеться микротик. Ты цыферки перечитай. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 27 октября, 2017 · Жалоба 2 часа назад, El de Rone сказал: предлагаете вообще все переделать? нет, только добавить стыковую подсеть и прописать маршрутизацию через нее. 2 часа назад, El de Rone сказал: вы о чем, простите? о минимальном знании работы протоколов. 2 часа назад, El de Rone сказал: писать пространные рекомендации без всякой конкретики не лень.. С какого момента "пространной" стала одна строка текста? А насчет загадочности - у меня, загадочного, почему-то подобных вашему вопросов не возникает, все тривиально. P.S>Для тру-пасанов: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
El de Rone Опубликовано 27 октября, 2017 · Жалоба 4 часа назад, DRiVen сказал: нет, только добавить стыковую подсеть и прописать маршрутизацию через нее. настроить физические интерфейсы? или достаточно secondary ip address? 4 часа назад, DRiVen сказал: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2. # traceroute 192.168.210.1 traceroute to 192.168.210.1 (192.168.210.1), 30 hops max, 60 byte packets 1 192.168.0.1 (192.168.0.1) 0.583 ms 0.570 ms 0.674 ms 2 192.168.210.11 (192.168.210.11) 56.752 ms 61.451 ms 61.445 ms 3 192.168.210.1 (192.168.210.1) 61.427 ms 39.566 ms 41.206 ms вопрос в том, что назад ответ через микротик не проходит. так что возможно тут дело в PBR 4 часа назад, DRiVen сказал: о минимальном знании работы протоколов. при настройке микротика был указан один маршрут дефолтный и позже для впна один статический. остальные маршруты микротик делает сам. что тут не так? 5 часов назад, pingz сказал: выглидить прошу прощения, сразу и не сообразил где опечатка, а где грамматическая ошибка :-) сейчас ясно, что вы имеете ввиду, что для туннеля на циске надо сделать адрес не относящийся к диапазону локальной сети. теперь я правильно вас понял? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 27 октября, 2017 · Жалоба Все правильно, до МТ трассировка и должна работать, у нее прямой маршрут до 192.168.0.1 через кошку есть, в отличие от остальных хостов, которые только дефолт в 192.168.210.1 имеют. Никаких дополнительных физических соединений не нужно, повесьте на интерфейс МТ к существующему адресу еще, например, 192.168.254.1/30, на кошке замените 192.168.210.11 вторым адресом из новой подсети, 192.168.254.2/30, и поправьте маршруты, в МТ маршрут до 192.168.0.1(или .0/24 если там подсеть) через 192.168.254.2, кошке маршрут до 192.168.210.0/24 через 192.168.254.1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 октября, 2017 · Жалоба Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
El de Rone Опубликовано 27 октября, 2017 · Жалоба 47 минут назад, DRiVen сказал: до МТ трассировка и должна работать, у нее прямой маршрут до 192.168.0.1 через кошку есть, в отличие от остальных хостов, которые только дефолт в 192.168.210.1 имеют. да, но в обратную сторону, то все работает: $ sudo traceroute 192.168.0.12 traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets 1 gateway (192.168.210.1) 0.309 ms 0.343 ms 0.386 ms 2 192.168.210.11 (192.168.210.11) 7.443 ms 8.131 ms 8.756 ms 3 192.168.0.1 (192.168.0.1) 67.663 ms 34.252 ms 39.026 ms 4 192.168.0.12 (192.168.0.12) 41.215 ms 42.764 ms 44.337 ms Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 октября, 2017 · Жалоба Оставляю их сохо мыльницам клиентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
El de Rone Опубликовано 27 октября, 2017 · Жалоба 2 минуты назад, myth сказал: Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда будем считать это тестовой сетью :-) 56 минут назад, DRiVen сказал: кошке маршрут до 192.168.210.0/24 через 192.168.254.1. так это у нее один маршрут будет дефолтный? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 27 октября, 2017 · Жалоба 31 минуту назад, myth сказал: Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда Я отвечал, исходя из представленной ТС адресации. 31 минуту назад, El de Rone сказал: да, но в обратную сторону, то все работает Конечно, на пути туда проблем нет, запрос идет через МТ и так же возвращается, на MAC роутера, проблема в том, что адрес кошки висит в адресации LAN. 28 минут назад, El de Rone сказал: так это у нее один маршрут будет дефолтный? Почему один, направлений то два, ей про 1.0 тоже надо сказать :) А насчет использования дефолта - это как удобней, его направляют обычно в направлении нахождения наибольшего количества адресов. Если в вас она кроме как VPN держать ничем более не занимается, ей, имхо, достаточно просто два маршрута до 1.0 и 210.0 указать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 октября, 2017 · Жалоба 1 минуту назад, DRiVen сказал: Я отвечал, исходя из представленной ТС адресации. так я ТСу и писал, что дурной тон эти подсети использовать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 27 октября, 2017 · Жалоба Это, имхо, больше вопрос масштабируемости и предпочтений :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 октября, 2017 · Жалоба Слишком уж геморройно бегать по клиентам и перенастраивать им роутеры Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kt Опубликовано 27 октября, 2017 (изменено) · Жалоба В 10/26/2017 в 19:32, El de Rone сказал: подскажите, как ее можно разрешить? У вас банальный ассиметричный роутинг. Нормально не работает, потому что на микротике есть правило в firewall, блокирующее invalid пакеты на forward. Уберите правило и все заработает. 7 часов назад, DRiVen сказал: P.S>Для тру-пасанов: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2. откуда дровишки? Изменено 27 октября, 2017 пользователем kt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
El de Rone Опубликовано 29 октября, 2017 · Жалоба В 27.10.2017 в 21:06, kt сказал: откуда дровишки? интересная складывается дискуссия :-) В 27.10.2017 в 21:06, kt сказал: Уберите правило и все заработает. убрал все фильтрующие правила, эксперимента ради - без результата... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kt Опубликовано 30 октября, 2017 · Жалоба 4 часа назад, El de Rone сказал: убрал все фильтрующие правила, эксперимента ради - без результата... Эксперимента ради, собрал вашу схему. После выключения правила с блокировкой invalid, все прекрасно бегает в обе стороны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
El de Rone Опубликовано 30 октября, 2017 · Жалоба 3 часа назад, kt сказал: После выключения правила с блокировкой invalid, все прекрасно бегает в обе стороны. видимо в первый раз что-то не применилось. убрал - заработало. Спасибо! :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...