[dengus]

Добрый день!

Имеется сеть 192.168.1.0/24 и шлюз 192.168.1.1 и сеть  192.168.2.0/24 за этим шлюзом

В сети 1.0/24 есть еще шлюз 192.168.1.11 и сеть  192.168.3.0/24 за этим шлюзом

Шлюз 192.168.1.1 является основным для сети 192.168.1.0/24. Маршрут до сети 3.0/24 прописан на шлюзе 1.1 через 1.11.

Ну и маршрут до сети 2.0/24 прописан на шлюзе 1.11 через 1.1.

Никаких NAT и файрволлов. Шлюзы друг-друга пингуют.

Несмотря на то, что маршруты прописаны, маршрутизация не работает нормально. Имеем машину в сети 3 и пытаемся пинговать сервер в сети 1 - не выходит. При том, что с этого же сервера в сети 1, могу пинговать другую машину в сети 3, но при этом наоборот с этой машины сервер не пингуется. Если на сервере прописать статический маршрут до сети 3 через шлюз 1.11, то все сразу начинает работать.

Почему через промежуточный шлюз, стоящий в маршрутизации, не работает маршрутизация. Подскажите куда копать?

[VolanD666]

tool snifer чо говорит? трафик идет?

[crank]

 

Собрал указанную выше схему. Всё прекрасно работает. Проверяйте свои настройки, снимайте дампы. Также поищите проблемы на конечных хостах.

 

 

 

R1

[admin@R1] > export compact 
# aug/28/2018 12:23:25 by RouterOS 6.42.1
# software id = 
#
#
#
/interface ethernet
set [ find default-name=ether4 ] name=ether1
set [ find default-name=ether1 ] name=ether2
set [ find default-name=ether2 ] name=ether3
set [ find default-name=ether3 ] name=ether4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip address
add address=192.168.1.1/24 interface=ether1 network=192.168.1.0
add address=192.168.2.1/24 interface=ether2 network=192.168.2.0
/ip route
add distance=1 dst-address=192.168.3.0/24 gateway=192.168.1.11
/system identity
set name=R1

R2

[admin@R2] > export compact 
# aug/28/2018 12:23:22 by RouterOS 6.42.1
# software id = 
#
#
#
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip address
add address=192.168.1.11/24 interface=ether1 network=192.168.1.0
add address=192.168.3.1/24 interface=ether2 network=192.168.3.0
/ip route
add distance=1 dst-address=192.168.2.0/24 gateway=192.168.1.1
/system identity
set name=R2

 

[dengus]

38 minutes ago, crank said:

 

Собрал указанную выше схему. Всё прекрасно работает. Проверяйте свои настройки, снимайте дампы. Также поищите проблемы на конечных хостах.

 

 

Компьютер VPC4 только с основным шлюзом и не имеет статических маршрутов?

[crank]

На компьютерах только default (для VPC4 - 192.168.1.1).

[dengus]

Хмм.. наверное укажу более приближенную схему к реальности. В спешке указал упрощенную (очень) схему.

Сеть  192.168.3.0/24 находится за еще одним шлюзом. Между 1.11 и сетью 3.0 есть еще шлюз. Вернее в сети 3.0 есть свой шлюз и он каналом связан (eoip over l2tp) с шлюзом 1.11. У шлюза 1.11 оконечный интерфейс eoip имеет ip-адрес 3.11.

Маршруты на шлюзах прописаны. На машинах из сети 1.0 пока статику не пропишешь в сеть 3.0 через 1.11 - не пингуется никто в сети 3.0.

О как.

[McSea]

8 hours ago, dengus said:

Имеем машину в сети 3 и пытаемся пинговать сервер в сети 1 - не выходит. При том, что с этого же сервера в сети 1, могу пинговать другую машину в сети 3, но при этом наоборот с этой машины сервер не пингуется. Если на сервере прописать статический маршрут до сети 3 через шлюз 1.11, то все сразу начинает работать.

Скорее всего стандартное правило drop invalid на forward дропает ответные пакеты.

 

Прямой пакет от машины из сети 3 попадает на сервер в сети 1 напрямую через шлюз 1.11 минуя основной шлюз 1.1, а обратный пакет от сервера идет через 1.1 и тот, не видя прямого пакета, считает его invalid.

 

 

[dengus]

On 28.08.2018 at 6:49 PM, McSea said:

Скорее всего стандартное правило drop invalid на forward дропает ответные пакеты.

 

Прямой пакет от машины из сети 3 попадает на сервер в сети 1 напрямую через шлюз 1.11 минуя основной шлюз 1.1, а обратный пакет от сервера идет через 1.1 и тот, не видя прямого пакета, считает его invalid.

 

 

Возможно, но не могу точно утверждать, хотя, я конечно добавил в правило исключение для 192.168.0.0/16, но тьфу 3 раза маршрутизация работает. Спасибо.

[dengus]

Хотя поторопился... нет не работает.

Вот пример. Сеть удаленная, стоят МФУ и IP-телефоны.

Со своего компьютера я прекрасно вижу телефоны и МФУ, к серверу Asterisk в моей же сети эти телефоны подключены, зарегистрированы и работают.

Но один телефон, например, и на сервере зарегистрирован и доступен с других компьютеров, а со своего я его даже пропинговать не могу. Причем если я добавлю у себя на компьютере статический маршрут до удаленной сети, то он (телефон) становится доступен, как и остальные, которые и до этого были доступны. Удалив маршрут, телефон пропадает, но остальные все равно доступны.

Трассировка до узлов показывает, что до телефонов нормально пакеты маршрутизируются, а до того, который недоступен трассировка вообще показывает, что пакеты уходят на другой маршрутизатор и естественно не доходят до телефона. Статических маршрутов нет, все с основными шлюзами. Как так-то?

PS. Предполагаю, что проблема не в шлюзах, а в своей машине, но все-же.