[sattva]

Всем привет, прошу знающих натолкнуть на мысль в какую сторону смотреть! Исходящий трафик (OUT) на другую подсеть с пограничного роутера по gre-тунелю не идет, но при этом forward-трафик на туже подсеть без проблем бегает. Tools-tracerouts - показывает, что трафик заворачивается в тунель, но дальше второго роутера (который является пограничным роутером для удаленной подсети не идет)... пока только одна мысль - настраивать firewall-mangle...   

Изменено 16 сентября, 2018 пользователем sattva

[pingz]

Друг извени, годальное кофе закончилось, может стоило конфиг показать? Или схему нарисовать.

[sattva]

Quote

 /ip address> print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                           
 0   ;;; defconf
     192.168.13.1/24    192.168.13.0    bridge-local                                                                                                                        
 1   172.16.13.2/30     172.16.13.0     gre-tunnel_CORE                                                                                                                     
 2 D 134.249.182.213/27 134.249.182.213 ether1-WAN

 /ip route> print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          134.249.180.254           1
 1 A S  10.8.0.0/24                        gre-tunnel_CORE           1
 2 A S  10.194.128.0/24                    gre-tunnel_CORE           1
 3 ADC  134.249.182.213/27 134.249.182.213 ether1-WAN                0
 4 ADC  172.16.13.0/30     172.16.13.2     gre-tunnel_CORE           0
 5 A S  192.0.0.0/24                       gre-tunnel_CORE           1
 6 A S  192.168.1.0/24                     gre-tunnel_CORE           1
 7 A S  192.168.10.0/24                    gre-tunnel_CORE           1
 8 A S  192.168.11.0/24                    gre-tunnel_CORE           1
 9 A S  192.168.12.0/24                    gre-tunnel_CORE           1
10 ADC  192.168.13.0/24    192.168.13.1    bridge-local              0
11 A S  192.168.15.0/24                    gre-tunnel_CORE           1
12 A S  192.168.50.0/24                    gre-tunnel_CORE           1
13 A S  192.168.74.0/24                    gre-tunnel_CORE           1
14 A S  192.168.75.0/24                    gre-tunnel_CORE           1
15 A S  192.168.77.0/24                    gre-tunnel_CORE           1
16 A S  192.168.90.0/24                    gre-tunnel_CORE           1
17 A S  192.192.192.0/24                   gre-tunnel_CORE           1
 

 

] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp in-interface-list=all log=no log-prefix="" 

 1    chain=forward action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix="" 

 2    chain=input action=accept protocol=tcp in-interface-list=all dst-port=8291,8728,8729 log=no log-prefix="" 

 3 X  ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 

 4 X  ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 5 X  ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

 6 X  ;;; defconf: accept in ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec 

 7 X  ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 

 8 X  ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

 9 X  ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 

10 X  ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

11 X  ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" 
 

 

 /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface=ether1-WAN log=no log-prefix="" ipsec-policy=out,none 
 

 

 /ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic 

 

 

при попытке запинговать удаленный сервер, доступный через gre-tunel - тайм аут

 > ping 192.168.15.9
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                                        
    0 192.168.15.9                                            timeout                                                                                                       
    1 192.168.15.9                                            timeout                                                                                                       
    2 192.168.15.9                                            timeout                                                                                                       
    3 192.168.15.9                                            timeout                                                                                                       
    4 192.168.15.9                                            timeout                                                                                                       
    5 192.168.15.9                                            timeout     

 

вот что показывае утелита tracerout

http://prntscr.com/kv7ysc

(т.е. - запрос перенаправляется в тунель, где 172.16.13.1 - это IP-удаленного интерфейса gre-tunel. Где также прописан статический обратный маршрут на подсеть 192.168.13.0/24)

 

При этом проходящий трафик (forward) - например с пк находящегося в локальной сети - проходит без проблем.

 

 

 

[pingz]

@sattva Для начала в локалке 192.168.15.9 пингуется? 

 

Как я понял у вас gre тунель по верх интернета верно? 

 

Либо поставить в исключение в правиле ната  сеть 192.168.15.0/24 , нужно проверить обратный маршрут.

 

Либо поставить в исключение в правиле ната  сеть 192.168.15.0/24  и собрать src-nat для 192.168.15.0/24 через GRE тунель. 

[sattva]

Quote

Для начала в локалке 192.168.15.9 пингуется?

да, и пингуется даже с локалки 192.168.13.0/24 но при этом не пингуется с самого роутера

 

Quote

Как я понял у вас gre тунель по верх интернета верно?

да

 

Quote

Либо поставить в исключение в правиле ната  сеть 192.168.15.0/24 , нужно проверить обратный маршрут.

обратный маршрут настроен, тем более что с пк локальной сети 192.168.13.0\24 пинг идет

 

Quote

Либо поставить в исключение в правиле ната  сеть 192.168.15.0/24  и собрать src-nat для 192.168.15.0/24 через GRE тунель. 

а вот это кажет оно и есть, вспомнил что в gre-тунелях надо еще прописывать src-nat... сейчас проверю

 

Quote

а вот это кажет оно и есть, вспомнил что в gre-тунелях надо еще прописывать src-nat... сейчас проверю

не помогло

[sattva]

получается, что не работает только исходящий OUT-трафик с роутера