Что может блокировать роутинг?

[alibek]

Есть Микротик RB3011, с интерфейсами bridge-lan (192.168.100.250/24) и bridge-vpn (192.168.200.250/24).

В bridge-lan подключен сетевой принтер 192.168.100.212.

В bridge-vpn подключен маршрутизатор Keenetic, на WAN настроен 192.168.200.101/24 со шлюзом 192.168.200.250, на LAN настроен 192.168.101.250/24.

Выполняю с Кинетика пинг на 192.168.100.250 - проходит. Выполняю с Кинетика пинг на 192.168.100.212 - не проходит.

На Микротике добавляю разрешающие правила с логгированием (протокол icmp, цепочка forward, 192.168.100.212 в одном правилом указан источником, в другом приемником).

Выполняю пинг - правила срабатывают (счетчики растут), однако пинги по прежнему не ходят.

Под NAT правила попасть не могут, на всех правилах NAT есть привязка к out-интерфейсу.

 

Как может быть, что правило (с действием accept) срабатывает, а пинг не проходит?

[alibek]

Разобрался.

mangle-правило навешивало на трафик routing mark, а в таблице маршрутов маршрута для такой метки не было.

Поэтому трафик уходил на дефолтный шлюз, там натился, а затем дропался (т.к. на этом подключении белые IP и bogons дропались).

Так что в итоге все заработало.

Однако до чего же неудобный девайс, инструментов для траблшутинга почти нет.

Был бы нормальный tcpdump, давно бы все увидел.

[McSea]

Запустили бы "/tool sniffer quick ip-address=192.168.100.212" и сразу увидели, куда пакеты уходят.

А в логе разве не было видно исходящего интерфейса ?