alibek Posted February 11, 2019 Есть Микротик RB3011, с интерфейсами bridge-lan (192.168.100.250/24) и bridge-vpn (192.168.200.250/24). В bridge-lan подключен сетевой принтер 192.168.100.212. В bridge-vpn подключен маршрутизатор Keenetic, на WAN настроен 192.168.200.101/24 со шлюзом 192.168.200.250, на LAN настроен 192.168.101.250/24. Выполняю с Кинетика пинг на 192.168.100.250 - проходит. Выполняю с Кинетика пинг на 192.168.100.212 - не проходит. На Микротике добавляю разрешающие правила с логгированием (протокол icmp, цепочка forward, 192.168.100.212 в одном правилом указан источником, в другом приемником). Выполняю пинг - правила срабатывают (счетчики растут), однако пинги по прежнему не ходят. Под NAT правила попасть не могут, на всех правилах NAT есть привязка к out-интерфейсу. Как может быть, что правило (с действием accept) срабатывает, а пинг не проходит? Share this post Link to post Share on other sites More sharing options...
alibek Posted February 11, 2019 Разобрался. mangle-правило навешивало на трафик routing mark, а в таблице маршрутов маршрута для такой метки не было. Поэтому трафик уходил на дефолтный шлюз, там натился, а затем дропался (т.к. на этом подключении белые IP и bogons дропались). Так что в итоге все заработало. Однако до чего же неудобный девайс, инструментов для траблшутинга почти нет. Был бы нормальный tcpdump, давно бы все увидел. Share this post Link to post Share on other sites More sharing options...
McSea Posted February 11, 2019 Запустили бы "/tool sniffer quick ip-address=192.168.100.212" и сразу увидели, куда пакеты уходят. А в логе разве не было видно исходящего интерфейса ? Share this post Link to post Share on other sites More sharing options...
