Jump to content
Калькуляторы

Исходящий трафик с роутера по тунелю

Всем привет, прошу знающих натолкнуть на мысль в какую сторону смотреть! Исходящий трафик (OUT) на другую подсеть с пограничного роутера по gre-тунелю не идет, но при этом forward-трафик на туже подсеть без проблем бегает. Tools-tracerouts - показывает, что трафик заворачивается в тунель, но дальше второго роутера (который является пограничным роутером для удаленной подсети не идет)... пока только одна мысль - настраивать firewall-mangle...   

Edited by sattva

Share this post


Link to post
Share on other sites

Друг извени, годальное кофе закончилось, может стоило конфиг показать? Или схему нарисовать.

Share this post


Link to post
Share on other sites
Quote

 /ip address> print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                           
 0   ;;; defconf
     192.168.13.1/24    192.168.13.0    bridge-local                                                                                                                        
 1   172.16.13.2/30     172.16.13.0     gre-tunnel_CORE                                                                                                                     
 2 D 134.249.182.213/27 134.249.182.213 ether1-WAN

 /ip route> print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          134.249.180.254           1
 1 A S  10.8.0.0/24                        gre-tunnel_CORE           1
 2 A S  10.194.128.0/24                    gre-tunnel_CORE           1
 3 ADC  134.249.182.213/27 134.249.182.213 ether1-WAN                0
 4 ADC  172.16.13.0/30     172.16.13.2     gre-tunnel_CORE           0
 5 A S  192.0.0.0/24                       gre-tunnel_CORE           1
 6 A S  192.168.1.0/24                     gre-tunnel_CORE           1
 7 A S  192.168.10.0/24                    gre-tunnel_CORE           1
 8 A S  192.168.11.0/24                    gre-tunnel_CORE           1
 9 A S  192.168.12.0/24                    gre-tunnel_CORE           1
10 ADC  192.168.13.0/24    192.168.13.1    bridge-local              0
11 A S  192.168.15.0/24                    gre-tunnel_CORE           1
12 A S  192.168.50.0/24                    gre-tunnel_CORE           1
13 A S  192.168.74.0/24                    gre-tunnel_CORE           1
14 A S  192.168.75.0/24                    gre-tunnel_CORE           1
15 A S  192.168.77.0/24                    gre-tunnel_CORE           1
16 A S  192.168.90.0/24                    gre-tunnel_CORE           1
17 A S  192.192.192.0/24                   gre-tunnel_CORE           1
 

 

] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp in-interface-list=all log=no log-prefix="" 

 1    chain=forward action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix="" 

 2    chain=input action=accept protocol=tcp in-interface-list=all dst-port=8291,8728,8729 log=no log-prefix="" 

 3 X  ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 

 4 X  ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 5 X  ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

 6 X  ;;; defconf: accept in ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec 

 7 X  ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 

 8 X  ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

 9 X  ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 

10 X  ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

11 X  ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" 
 

 

 /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface=ether1-WAN log=no log-prefix="" ipsec-policy=out,none 
 

 

 /ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic 

 

 

при попытке запинговать удаленный сервер, доступный через gre-tunel - тайм аут

 > ping 192.168.15.9
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                                        
    0 192.168.15.9                                            timeout                                                                                                       
    1 192.168.15.9                                            timeout                                                                                                       
    2 192.168.15.9                                            timeout                                                                                                       
    3 192.168.15.9                                            timeout                                                                                                       
    4 192.168.15.9                                            timeout                                                                                                       
    5 192.168.15.9                                            timeout     

 

вот что показывае утелита tracerout

http://prntscr.com/kv7ysc

(т.е. - запрос перенаправляется в тунель, где 172.16.13.1 - это IP-удаленного интерфейса gre-tunel. Где также прописан статический обратный маршрут на подсеть 192.168.13.0/24)

 

При этом проходящий трафик (forward) - например с пк находящегося в локальной сети - проходит без проблем.

 

 

 

Share this post


Link to post
Share on other sites

@sattva Для начала в локалке 192.168.15.9 пингуется? 

 

Как я понял у вас gre тунель по верх интернета верно? 

 

Либо поставить в исключение в правиле ната  сеть 192.168.15.0/24 , нужно проверить обратный маршрут.

 

Либо поставить в исключение в правиле ната  сеть 192.168.15.0/24  и собрать src-nat для 192.168.15.0/24 через GRE тунель. 

Share this post


Link to post
Share on other sites
Quote

Для начала в локалке 192.168.15.9 пингуется?

да, и пингуется даже с локалки 192.168.13.0/24 но при этом не пингуется с самого роутера

 

Quote

Как я понял у вас gre тунель по верх интернета верно?

да

 

Quote

Либо поставить в исключение в правиле ната  сеть 192.168.15.0/24 , нужно проверить обратный маршрут.

обратный маршрут настроен, тем более что с пк локальной сети 192.168.13.0\24 пинг идет

 

Quote

Либо поставить в исключение в правиле ната  сеть 192.168.15.0/24  и собрать src-nat для 192.168.15.0/24 через GRE тунель. 

а вот это кажет оно и есть, вспомнил что в gre-тунелях надо еще прописывать src-nat... сейчас проверю

 

Quote

а вот это кажет оно и есть, вспомнил что в gre-тунелях надо еще прописывать src-nat... сейчас проверю

не помогло

Share this post


Link to post
Share on other sites

получается, что не работает только исходящий OUT-трафик с роутера

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now