alibek Опубликовано 11 февраля, 2019 · Жалоба Есть Микротик RB3011, с интерфейсами bridge-lan (192.168.100.250/24) и bridge-vpn (192.168.200.250/24). В bridge-lan подключен сетевой принтер 192.168.100.212. В bridge-vpn подключен маршрутизатор Keenetic, на WAN настроен 192.168.200.101/24 со шлюзом 192.168.200.250, на LAN настроен 192.168.101.250/24. Выполняю с Кинетика пинг на 192.168.100.250 - проходит. Выполняю с Кинетика пинг на 192.168.100.212 - не проходит. На Микротике добавляю разрешающие правила с логгированием (протокол icmp, цепочка forward, 192.168.100.212 в одном правилом указан источником, в другом приемником). Выполняю пинг - правила срабатывают (счетчики растут), однако пинги по прежнему не ходят. Под NAT правила попасть не могут, на всех правилах NAT есть привязка к out-интерфейсу. Как может быть, что правило (с действием accept) срабатывает, а пинг не проходит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 февраля, 2019 · Жалоба Разобрался. mangle-правило навешивало на трафик routing mark, а в таблице маршрутов маршрута для такой метки не было. Поэтому трафик уходил на дефолтный шлюз, там натился, а затем дропался (т.к. на этом подключении белые IP и bogons дропались). Так что в итоге все заработало. Однако до чего же неудобный девайс, инструментов для траблшутинга почти нет. Был бы нормальный tcpdump, давно бы все увидел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 11 февраля, 2019 · Жалоба Запустили бы "/tool sniffer quick ip-address=192.168.100.212" и сразу увидели, куда пакеты уходят. А в логе разве не было видно исходящего интерфейса ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
