sattva Posted September 16, 2018 Posted September 16, 2018 (edited) Всем привет, прошу знающих натолкнуть на мысль в какую сторону смотреть! Исходящий трафик (OUT) на другую подсеть с пограничного роутера по gre-тунелю не идет, но при этом forward-трафик на туже подсеть без проблем бегает. Tools-tracerouts - показывает, что трафик заворачивается в тунель, но дальше второго роутера (который является пограничным роутером для удаленной подсети не идет)... пока только одна мысль - настраивать firewall-mangle... Edited September 16, 2018 by sattva Вставить ник Quote
pingz Posted September 17, 2018 Posted September 17, 2018 Друг извени, годальное кофе закончилось, может стоило конфиг показать? Или схему нарисовать. Вставить ник Quote
sattva Posted September 17, 2018 Author Posted September 17, 2018 Quote /ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 ;;; defconf 192.168.13.1/24 192.168.13.0 bridge-local 1 172.16.13.2/30 172.16.13.0 gre-tunnel_CORE 2 D 134.249.182.213/27 134.249.182.213 ether1-WAN /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 134.249.180.254 1 1 A S 10.8.0.0/24 gre-tunnel_CORE 1 2 A S 10.194.128.0/24 gre-tunnel_CORE 1 3 ADC 134.249.182.213/27 134.249.182.213 ether1-WAN 0 4 ADC 172.16.13.0/30 172.16.13.2 gre-tunnel_CORE 0 5 A S 192.0.0.0/24 gre-tunnel_CORE 1 6 A S 192.168.1.0/24 gre-tunnel_CORE 1 7 A S 192.168.10.0/24 gre-tunnel_CORE 1 8 A S 192.168.11.0/24 gre-tunnel_CORE 1 9 A S 192.168.12.0/24 gre-tunnel_CORE 1 10 ADC 192.168.13.0/24 192.168.13.1 bridge-local 0 11 A S 192.168.15.0/24 gre-tunnel_CORE 1 12 A S 192.168.50.0/24 gre-tunnel_CORE 1 13 A S 192.168.74.0/24 gre-tunnel_CORE 1 14 A S 192.168.75.0/24 gre-tunnel_CORE 1 15 A S 192.168.77.0/24 gre-tunnel_CORE 1 16 A S 192.168.90.0/24 gre-tunnel_CORE 1 17 A S 192.192.192.0/24 gre-tunnel_CORE 1 ] /ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; defconf: accept ICMP chain=input action=accept protocol=icmp in-interface-list=all log=no log-prefix="" 1 chain=forward action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix="" 2 chain=input action=accept protocol=tcp in-interface-list=all dst-port=8291,8728,8729 log=no log-prefix="" 3 X ;;; defconf: accept established,related,untracked chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 4 X ;;; defconf: drop invalid chain=input action=drop connection-state=invalid log=no log-prefix="" 5 X ;;; defconf: drop all not coming from LAN chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 6 X ;;; defconf: accept in ipsec policy chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec 7 X ;;; defconf: accept out ipsec policy chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 8 X ;;; defconf: fasttrack chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 9 X ;;; defconf: accept established,related, untracked chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 10 X ;;; defconf: drop invalid chain=forward action=drop connection-state=invalid log=no log-prefix="" 11 X ;;; defconf: drop all from WAN not DSTNATed chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; defconf: masquerade chain=srcnat action=masquerade out-interface=ether1-WAN log=no log-prefix="" ipsec-policy=out,none /ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic при попытке запинговать удаленный сервер, доступный через gre-tunel - тайм аут > ping 192.168.15.9 SEQ HOST SIZE TTL TIME STATUS 0 192.168.15.9 timeout 1 192.168.15.9 timeout 2 192.168.15.9 timeout 3 192.168.15.9 timeout 4 192.168.15.9 timeout 5 192.168.15.9 timeout вот что показывае утелита tracerout http://prntscr.com/kv7ysc (т.е. - запрос перенаправляется в тунель, где 172.16.13.1 - это IP-удаленного интерфейса gre-tunel. Где также прописан статический обратный маршрут на подсеть 192.168.13.0/24) При этом проходящий трафик (forward) - например с пк находящегося в локальной сети - проходит без проблем. Вставить ник Quote
pingz Posted September 17, 2018 Posted September 17, 2018 @sattva Для начала в локалке 192.168.15.9 пингуется? Как я понял у вас gre тунель по верх интернета верно? Либо поставить в исключение в правиле ната сеть 192.168.15.0/24 , нужно проверить обратный маршрут. Либо поставить в исключение в правиле ната сеть 192.168.15.0/24 и собрать src-nat для 192.168.15.0/24 через GRE тунель. Вставить ник Quote
sattva Posted September 17, 2018 Author Posted September 17, 2018 Quote Для начала в локалке 192.168.15.9 пингуется? да, и пингуется даже с локалки 192.168.13.0/24 но при этом не пингуется с самого роутера Quote Как я понял у вас gre тунель по верх интернета верно? да Quote Либо поставить в исключение в правиле ната сеть 192.168.15.0/24 , нужно проверить обратный маршрут. обратный маршрут настроен, тем более что с пк локальной сети 192.168.13.0\24 пинг идет Quote Либо поставить в исключение в правиле ната сеть 192.168.15.0/24 и собрать src-nat для 192.168.15.0/24 через GRE тунель. а вот это кажет оно и есть, вспомнил что в gre-тунелях надо еще прописывать src-nat... сейчас проверю Quote а вот это кажет оно и есть, вспомнил что в gre-тунелях надо еще прописывать src-nat... сейчас проверю не помогло Вставить ник Quote
sattva Posted September 17, 2018 Author Posted September 17, 2018 получается, что не работает только исходящий OUT-трафик с роутера Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.