dengus Posted August 28, 2018 · Report post Добрый день! Имеется сеть 192.168.1.0/24 и шлюз 192.168.1.1 и сеть 192.168.2.0/24 за этим шлюзом В сети 1.0/24 есть еще шлюз 192.168.1.11 и сеть 192.168.3.0/24 за этим шлюзом Шлюз 192.168.1.1 является основным для сети 192.168.1.0/24. Маршрут до сети 3.0/24 прописан на шлюзе 1.1 через 1.11. Ну и маршрут до сети 2.0/24 прописан на шлюзе 1.11 через 1.1. Никаких NAT и файрволлов. Шлюзы друг-друга пингуют. Несмотря на то, что маршруты прописаны, маршрутизация не работает нормально. Имеем машину в сети 3 и пытаемся пинговать сервер в сети 1 - не выходит. При том, что с этого же сервера в сети 1, могу пинговать другую машину в сети 3, но при этом наоборот с этой машины сервер не пингуется. Если на сервере прописать статический маршрут до сети 3 через шлюз 1.11, то все сразу начинает работать. Почему через промежуточный шлюз, стоящий в маршрутизации, не работает маршрутизация. Подскажите куда копать? Share this post Link to post Share on other sites
VolanD666 Posted August 28, 2018 · Report post tool snifer чо говорит? трафик идет? Share this post Link to post Share on other sites
crank Posted August 28, 2018 · Report post Собрал указанную выше схему. Всё прекрасно работает. Проверяйте свои настройки, снимайте дампы. Также поищите проблемы на конечных хостах. R1 [admin@R1] > export compact # aug/28/2018 12:23:25 by RouterOS 6.42.1 # software id = # # # /interface ethernet set [ find default-name=ether4 ] name=ether1 set [ find default-name=ether1 ] name=ether2 set [ find default-name=ether2 ] name=ether3 set [ find default-name=ether3 ] name=ether4 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip address add address=192.168.1.1/24 interface=ether1 network=192.168.1.0 add address=192.168.2.1/24 interface=ether2 network=192.168.2.0 /ip route add distance=1 dst-address=192.168.3.0/24 gateway=192.168.1.11 /system identity set name=R1 R2 [admin@R2] > export compact # aug/28/2018 12:23:22 by RouterOS 6.42.1 # software id = # # # /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip address add address=192.168.1.11/24 interface=ether1 network=192.168.1.0 add address=192.168.3.1/24 interface=ether2 network=192.168.3.0 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=192.168.1.1 /system identity set name=R2 Share this post Link to post Share on other sites
dengus Posted August 28, 2018 · Report post 38 minutes ago, crank said: Собрал указанную выше схему. Всё прекрасно работает. Проверяйте свои настройки, снимайте дампы. Также поищите проблемы на конечных хостах. Компьютер VPC4 только с основным шлюзом и не имеет статических маршрутов? Share this post Link to post Share on other sites
crank Posted August 28, 2018 · Report post На компьютерах только default (для VPC4 - 192.168.1.1). Share this post Link to post Share on other sites
dengus Posted August 28, 2018 · Report post Хмм.. наверное укажу более приближенную схему к реальности. В спешке указал упрощенную (очень) схему. Сеть 192.168.3.0/24 находится за еще одним шлюзом. Между 1.11 и сетью 3.0 есть еще шлюз. Вернее в сети 3.0 есть свой шлюз и он каналом связан (eoip over l2tp) с шлюзом 1.11. У шлюза 1.11 оконечный интерфейс eoip имеет ip-адрес 3.11. Маршруты на шлюзах прописаны. На машинах из сети 1.0 пока статику не пропишешь в сеть 3.0 через 1.11 - не пингуется никто в сети 3.0. О как. Share this post Link to post Share on other sites
McSea Posted August 28, 2018 · Report post 8 hours ago, dengus said: Имеем машину в сети 3 и пытаемся пинговать сервер в сети 1 - не выходит. При том, что с этого же сервера в сети 1, могу пинговать другую машину в сети 3, но при этом наоборот с этой машины сервер не пингуется. Если на сервере прописать статический маршрут до сети 3 через шлюз 1.11, то все сразу начинает работать. Скорее всего стандартное правило drop invalid на forward дропает ответные пакеты. Прямой пакет от машины из сети 3 попадает на сервер в сети 1 напрямую через шлюз 1.11 минуя основной шлюз 1.1, а обратный пакет от сервера идет через 1.1 и тот, не видя прямого пакета, считает его invalid. Share this post Link to post Share on other sites
dengus Posted August 31, 2018 · Report post On 28.08.2018 at 6:49 PM, McSea said: Скорее всего стандартное правило drop invalid на forward дропает ответные пакеты. Прямой пакет от машины из сети 3 попадает на сервер в сети 1 напрямую через шлюз 1.11 минуя основной шлюз 1.1, а обратный пакет от сервера идет через 1.1 и тот, не видя прямого пакета, считает его invalid. Возможно, но не могу точно утверждать, хотя, я конечно добавил в правило исключение для 192.168.0.0/16, но тьфу 3 раза маршрутизация работает. Спасибо. Share this post Link to post Share on other sites
dengus Posted September 5, 2018 · Report post Хотя поторопился... нет не работает. Вот пример. Сеть удаленная, стоят МФУ и IP-телефоны. Со своего компьютера я прекрасно вижу телефоны и МФУ, к серверу Asterisk в моей же сети эти телефоны подключены, зарегистрированы и работают. Но один телефон, например, и на сервере зарегистрирован и доступен с других компьютеров, а со своего я его даже пропинговать не могу. Причем если я добавлю у себя на компьютере статический маршрут до удаленной сети, то он (телефон) становится доступен, как и остальные, которые и до этого были доступны. Удалив маршрут, телефон пропадает, но остальные все равно доступны. Трассировка до узлов показывает, что до телефонов нормально пакеты маршрутизируются, а до того, который недоступен трассировка вообще показывает, что пакеты уходят на другой маршрутизатор и естественно не доходят до телефона. Статических маршрутов нет, все с основными шлюзами. Как так-то? PS. Предполагаю, что проблема не в шлюзах, а в своей машине, но все-же. Share this post Link to post Share on other sites
.png.ab91e50800b6e33188f8e588605101a4.png)