Jump to content
Калькуляторы

Что может блокировать роутинг?

Есть Микротик RB3011, с интерфейсами bridge-lan (192.168.100.250/24) и bridge-vpn (192.168.200.250/24).

В bridge-lan подключен сетевой принтер 192.168.100.212.

В bridge-vpn подключен маршрутизатор Keenetic, на WAN настроен 192.168.200.101/24 со шлюзом 192.168.200.250, на LAN настроен 192.168.101.250/24.

Выполняю с Кинетика пинг на 192.168.100.250 - проходит. Выполняю с Кинетика пинг на 192.168.100.212 - не проходит.

На Микротике добавляю разрешающие правила с логгированием (протокол icmp, цепочка forward, 192.168.100.212 в одном правилом указан источником, в другом приемником).

Выполняю пинг - правила срабатывают (счетчики растут), однако пинги по прежнему не ходят.

Под NAT правила попасть не могут, на всех правилах NAT есть привязка к out-интерфейсу.

 

Как может быть, что правило (с действием accept) срабатывает, а пинг не проходит?

Share this post


Link to post
Share on other sites

Разобрался.

mangle-правило навешивало на трафик routing mark, а в таблице маршрутов маршрута для такой метки не было.

Поэтому трафик уходил на дефолтный шлюз, там натился, а затем дропался (т.к. на этом подключении белые IP и bogons дропались).

Так что в итоге все заработало.

Однако до чего же неудобный девайс, инструментов для траблшутинга почти нет.

Был бы нормальный tcpdump, давно бы все увидел.

Share this post


Link to post
Share on other sites

Запустили бы "/tool sniffer quick ip-address=192.168.100.212" и сразу увидели, куда пакеты уходят.

А в логе разве не было видно исходящего интерфейса ?

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this