[Mystic_2018]

Доброго времени суток!

Есть 2 под сети одна 192.168.121.0/24  вторая на mikrotik 192.168.124.0/24

Как сделать так чтоб трафик между этими по сетями ПОЛНОСТЬЮ БЕЗ ОГРАНИЧЕНИЯ шол между собой в обе стороны

я сдел:

/ip firewall filter add chain=forward in-interface=ether2 out-interface=b124 action=accept    comment="Allow access 121 in 124"
/ip firewall filter add chain=forward in-interface=b124 out-interface=ether2 action=accept    comment="Allow access 124 in 121"

все вроде хорошо, но из 124 нельзя машину в домен зарегить потомучто что то блокируется. а из 121 подсети нельзя попасть по \\192.168.124.5\c$ так как блокируется порт 139 и 445.

а где они блокируются не пойму.

 

Подскажите пожалуйста куда копать?

[.None]

смотрите антивирусы/фаерволы на ПК, в т.ч. и встроенный брандмауэр windows, микротик тут похоже не при чем.

[DRiVen]

@Mystic_2018 , вообще принято подобные вопросы сопровождать конфигом, ибо с телепатами проблема. Возможно, что вы 124 -ю сеть натите во все стороны.

[Saab95]

1 час назад, Mystic_2018 сказал:

Подскажите пожалуйста куда копать?

Удаляете все правила файрвола и все будет работать. Изначально, если дефолтный конфиг не сбрасывали, там все закрыто, собственно он и создает все проблемы. Для вопросов безопасности достаточно отключить не нужные сервисы и установить ограничения по IP на нужные.

[Mystic_2018]

В 28.04.2018 в 11:18, DRiVen сказал:

@Mystic_2018 , вообще принято подобные вопросы сопровождать конфигом, ибо с телепатами проблема. Возможно что вы 124 -ю сеть натите во все стороны.

[angel@MikroTik] > /interface bridge export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/interface bridge
add comment="Local 192.168.124.1" name=b124
/interface bridge port
add bridge=b124 interface=ether3
add
[angel@MikroTik] > /interface bridge port export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/interface bridge port
add bridge=b124 interface=ether3
add
[angel@MikroTik] > /ip firewall filter export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow Established connections" connection-state=established
add action=accept chain=input comment="Allow Established connections" connection-state=established,related,new,untracked in-interface=ether2
add action=accept chain=input comment="Allow Established connections" connection-state=established,related,new,untracked in-interface=b124
add action=accept chain=forward comment="Allow related connections" connection-state=related
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=input comment="Allow access to router from known network" src-address=192.168.121.0/24
add action=accept chain=input comment="Allow access to router from known network" src-address=192.168.123.0/24
add action=accept chain=input comment="Allow access to router from known network" src-address=192.168.124.0/24
add action=accept chain=forward comment="Allow access 121 in 124" in-interface=ether2 out-interface=b124
add action=accept chain=forward comment="Allow access 124 in 121" in-interface=b124 out-interface=ether2
add action=drop chain=forward comment="Deny youtube" packet-mark=youtube_packet
add action=drop chain=input comment="Deny youtube" packet-mark=youtube_packet
add action=drop chain=forward comment="Deny SocSeti" packet-mark=SocSeti_packet
add action=drop chain=input comment="Deny SocSeti" packet-mark=SocSeti_packet
add action=drop chain=tcp comment="Deny 5242,4244,5243,7985,9785" dst-port=5242,4244,5243,7985,9785 protocol=tcp
add action=accept chain=forward comment="Allow access MMK" out-interface=pCUB
add action=accept chain=forward comment="Allow access Full Internet" out-interface=ether1 src-address-list=FullInet
add action=accept chain=forward comment="Allow Internet" dst-port=80,443,25,995,993,465,587,110,143,8080,3389 in-interface=b124 out-interface=ether1 \
    protocol=tcp
add action=accept chain=tcp comment="Allow Internet" dst-port=80,443,25,995,993,465,587,110,143,8080,3389 in-interface=b124 out-interface=ether1 protocol=tcp
add action=accept chain=udp comment="Allow Internet" dst-port=5060,53,123 in-interface=b124 out-interface=ether1 protocol=udp
add action=accept chain=input comment="Allow WinBox & Ftp" dst-port=21,8291 in-interface=ether1 protocol=tcp
add action=drop chain=input comment="Allow WinBox & Ftp" in-interface=ether1
add action=drop chain=input comment="Drop anything else"
[angel@MikroTik] > /ip firewall nat export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=pCUB
add action=netmap chain=dstnat comment="\CF\EE\F0\F2\EC\E0\EF\E8\ED\E3" disabled=yes dst-port=17600-17800 in-interface=ether3 protocol=tcp src-address=\
    192.168.121.99 to-addresses=192.168.121.11
add action=netmap chain=dstnat disabled=yes dst-port=4489 in-interface=ether1 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.7 to-ports=\
    3389
add action=netmap chain=dstnat disabled=yes dst-port=18501-18800 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.11
add action=netmap chain=dstnat disabled=yes dst-port=4433 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.55 to-ports=\
    1433
add action=netmap chain=dstnat disabled=yes dst-port=1433 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.55
add action=netmap chain=dstnat disabled=yes dst-port=5539 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.7 to-ports=\
    3389
add action=netmap chain=dstnat disabled=yes dst-port=7789 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.7 to-ports=\
    3389
[angel@MikroTik] > /ip route export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/ip route
add check-gateway=ping distance=1 gateway=192.168.120.10
add distance=1 dst-address=10.171.10.0/24 gateway=pCUB
add disabled=yes distance=1 dst-address=192.168.121.0/24 gateway=192.168.121.111
add disabled=yes distance=1 dst-address=192.168.124.0/24 gateway=192.168.124.1
/ip route rule
add dst-address=192.168.121.0/24 interface=ether2 routing-mark=main table=main
add disabled=yes dst-address=192.168.124.0/24 interface=b124 routing-mark=main table=main
Такие ?

 

Изменено 3 мая, 2018 пользователем Mystic_2018

[nkusnetsov]

2 минуты назад, Mystic_2018 сказал:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=pCUB
add action=masquerade chain=srcnat out-interface=b124
add action=masquerade chain=srcnat out-interface=ether2

Вот к чему приводят  тяжелые наркотики.

 

@Mystic_2018 , купите уже циску и прекратите мучить микротик. Или наймите нормального сисадмина.

[Mystic_2018]

@nkusnetsov А по человечески сказать сложно без оскорблений ?

 

[Pinkbyte]

По-человечески: абсолютно непонятно зачем вам NAT на b124, невнятные правила на файрволле, дропаете invalid connections по conntrack-у вряд ли понимая последствия этого(не всё идет через conntrack), дальше перечислять?

 

Подымите правила на ACCEPT повыше и проверьте ping-ом доступность хостов с обеих сторон, запустим tcpdump на обоих клиентских хостах для съема трафика. Иначе это всё - гадание на кофейной гуще.

[Mystic_2018]

3 минуты назад, Pinkbyte сказал:

По-человечески: абсолютно непонятно зачем вам NAT на b124, невнятные правила на файрволле, дропаете invalid connections по conntrack-у вряд ли понимая последствия этого(не всё идет через conntrack),

Цитата

 

дальше перечислять?

да, я готов слушать.

 

Подымите правила на ACCEPT повыше и проверьте ping-ом доступность хостов с обеих сторон, запустим tcpdump на обоих клиентских хостах для съема трафика. Иначе это всё - гадание на кофейной гуще.

Ну по нату мне самому непонятно зачем они, просто мне так сказал сделать сертифицированный спец по микротику.(убрал нат)

пинг проходит с обоих сторон

[Pinkbyte]

Quote

да, я готов слушать.

 

Я думаю для вас не секрет, что ноги у файрволла Mikrotik растут из Линуксового Netfilter/iptables?

 

Поэтому ознакомьтесь для начала с мануалом - многие вопросы сразу отпадут.

 

Quote

просто мне так сказал сделать сертифицированный спец по микротику

 

Настройка сети без понимая производимых действий - такое себе дело... Мнение сертифицированного специалиста безусловно важно, но только в том случае, если вы можете понять суть его советов.

 

Quote

пинг проходит с обоих сторон

 

Окей, а теперь шлите реквесты по SMB и смотрите проходят ли они в tcpdump. И так далее по каждому интересующему вас протоколу. Если на интерфейсах по мнению tcpdump/wireshark пакеты будут, а доступа не будет - крутите файрволы на клиентах.

[Mystic_2018]

изучив мануал Настроил Mikrotic
/ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  ;;; No Porno
        0.0.0.0/0                          192.168.121.99            1
 1 A S  ;;; default route
        0.0.0.0/0                          192.168.120.10            1
 2  DS  0.0.0.0/0                          192.168.200.1             1
 3 A S  10.171.10.0/24                     pCUB                      1
 4 ADS  80.244.37.55/32                    192.168.120.10            0
 5 ADC  192.168.120.0/24   192.168.120.2   Wan1                      0
 6 ADC  192.168.121.0/24   192.168.121.16  Lan1                      0
 7 ADC  192.168.124.0/24   192.168.124.1   Lan1                      0
 8 ADC  192.168.200.1/32   192.168.200.10  pCUB                      0

/ip address print
 192.168.120.2/24   192.168.120.0    Wan1
 192.168.124.1/24   192.168.124.0    Lan1
 192.168.121.16/24  192.168.121.0    Lan1

/ip firewall filter print 
     chain=input action=accept protocol=tcp in-interface=Wan1 dst-port=21,8291
     chain=input protocol=icmp 
     chain=input action=accept protocol=udp 
     chain=input action=accept in-interface=Lan1
     chain=forward action=accept out-interface=Lan1
     chain=input action=accept connection-state=established 
     chain=forward action=accept connection-state=related 
     chain=output action=accept connection-state=!invalid
     chain=forward action=accept src-address-list=FullInet out-interface=Wan1 

/ip route print  
 0      0.0.0.0/0                   192.168.121.99            1
 1      0.0.0.0/0                   192.168.120.10            1
 2 DS   0.0.0.0/0                 192.168.200.1             1
 3 A S  10.171.10.0/24        pCUB                      1
 4 ADS  80.244.37.55/32     192.168.120.10            0
 5 ADC  192.168.120.0/24   192.168.120.2   Wan1                      0
 6 ADC  192.168.121.0/24   192.168.121.16  Lan1                      0
 7 ADC  192.168.124.0/24   192.168.124.1   Lan1                      0
 

Тесть На машите
# ip r g 192.168.124.211
192.168.124.211 via 192.168.121.10 dev enp3s0  src 192.168.121.99

# tcpdump -pnni enp3s0 host 192.168.124.211 and icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:47:30.178383 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47495, length 64
10:47:30.187391 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47495, length 64
10:47:31.178781 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47496, length 64
10:47:31.179579 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47496, length 64
10:47:32.178406 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47497, length 64
10:47:32.191523 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47497, length 64
10:47:33.180721 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47498, length 64
10:47:33.181170 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47498, length 64

 

но кроме пинга из 124 подсети в 121 ничего не уходит и не приходит, где сабака зарыта подскажите пожалуйста

для теста установил 2 машины на линуксе, чтобы исключить фаервол обе машины абсолютные дырки пропускают все отовсюду.

Изменено 17 мая, 2018 пользователем Mystic_2018