mic343 Posted February 26, 2021 Posted February 26, 2021 Доброго времени суток ! Задача тривиальная, организовать доступ из сети 192.168.0.0/23 - шлюз Kerio (192.168.0.160), в сеть 192.168.10.0/24 - шлюз Mikrotik RB750GR3 (192.168.0.3). Что сделано: 1. Mikrotik RB750GR3 4 портом смотрит в сеть 192.168.0.0/23 и имеет адрес 192.168.0.3/23. 2. Mikrotik RB750GR3 2 портом смотрит в сеть 192.168.10.0/24 и имеет адрес 192.168.10.1/24. 3. Mikrotik RB750GR3 на 2 порту поднят DHCP Server и раздает адреса из пула 192.168.10.100-192.168.10.254, с шлюзом 192.168.10.1 4. В таблицу маршрутизации Mikrotik RB750GR3 добавлен статический маршрут 0.0.0.0/0 шлюз 192.168.0.160 (Kerio), т.к. интернет раздает Kerio и NAT будет реализован за него. 5. В таблицу маршрутизации Kerio добавлен статический маршрут 192.168.10.0/24 шлюз 192.168.0.3 (Mikrotik RB750GR3). конфигурация Mikrotik RB750GR3: /ip pool add name=LAN10 ranges=192.168.10.100-192.168.10.254 /ip dhcp-server add address-pool=LAN10 disabled=no interface=ether2 name=DHCPLAN10 /ip neighbor discovery-settings set discover-interface-list=!dynamic /ip address add address=192.168.0.3/23 interface=ether4 network=192.168.0.0 add address=192.168.10.1/24 interface=ether2 network=192.168.10.0 /ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 netmask=24 ntp-server=192.168.10.1 /ip dns set servers=192.168.0.210 /ip route add check-gateway=ping distance=1 gateway=192.168.0.160 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /snmp set enabled=yes trap-version=2 /system clock set time-zone-name=Europe/Moscow Проблема в том что компьютеры из сети 192.168.10.0/24 не видят сеть 192.168.0.0/23 Трейсер с компьютера из сети 192.168.0.0/23 в 192.168.10.0/24: Трассировка маршрута к 192.168.10.254 с максимальным числом прыжков 30 1 1 ms * <1 мс kerio.***.*** [192.168.0.160] 2 1 ms <1 мс <1 мс 192.168.0.3 3 1 ms <1 мс <1 мс 192.168.10.254 Трассировка завершена. Трейсер из сети 192.168.10.0/24 в сеть 192.168.0.0/23: Трассировка маршрута к 192.168.0.20 с максимальным числом прыжков 30 1 1 ms * <1 мс 192.168.10.1 2 * * * превышен интервал ожидания для запроса. 3 * * * превышен интервал ожидания для запроса. Шлюзы из обоих сетей пингуются, Mikrotik настраивал через Winbox, обновив предварительно прошивку до последней и удалив конфигурацию. В Kerio не каких запрещающих правил нет, в Mikrotik в Firewall правил ни каких нет. Не могу понять в чем может быть дело (((( Вставить ник Quote
sdy_moscow Posted February 26, 2021 Posted February 26, 2021 посмотреть таблицу маршрутизации на 192.168.0.20 а затем правила файрвола на Керио. Ответ прост: у вас проблемы в трасерте с 192.168.0.20 на 192.168.10.0/24 Вставить ник Quote
mic343 Posted February 26, 2021 Author Posted February 26, 2021 (edited) в Kerio статический маршрут добавлен 192.168.10.0 255.255.255.0 шлюз 192.168.0.3, правила разрешающие есть в самом верху из сети 192.168.10.0 в сеть 192.168.0.0/23 разрешить все и наоборот. Edited February 26, 2021 by mic343 Вставить ник Quote
sdy_moscow Posted February 26, 2021 Posted February 26, 2021 6 минут назад, mic343 сказал: в Kerio статический маршрут добавлен 192.168.10.0 255.255.255.0 шлюз 192.168.0.3, правила разрешающие есть в самом верху из сети 192.168.10.0 в сеть 192.168.0.0/23 разрешить все и наоборот. stateful inspection может подкинуть вам проблем. Вставить ник Quote
mic343 Posted February 26, 2021 Author Posted February 26, 2021 (edited) я правильно понимаю, что речь идет об отключении в Kerio RequireIcmpFlowControl и 3WayHanshake Edited February 26, 2021 by mic343 Вставить ник Quote
sdy_moscow Posted February 26, 2021 Posted February 26, 2021 2 часа назад, mic343 сказал: я правильно понимаю, что речь идет об отключении в Kerio RequireIcmpFlowControl и 3WayHanshake Возможно, с Керио я попрощался лет 10 назад, если не больше. Суть в том, что. Если Вы с винды пингуете - у Вас пакеты Request приходят напрямую не попадая в Керио, а Replay возвращаются через Керио, т.е. рушиться целостность прохождения цепочек через файрвол, SPI такие пакеты блочит. Если же Вы пингуете с линуха или рутера, то видимо запрещено прохождение пакетов ICMP TTL exceeded. Ну еще, как вариант, - не верно настроен NAT для внутренних сетей (включен). Вставить ник Quote
mic343 Posted March 3, 2021 Author Posted March 3, 2021 (edited) В 26.02.2021 в 19:23, sdy_moscow сказал: Возможно, с Керио я попрощался лет 10 назад, если не больше. Суть в том, что. Если Вы с винды пингуете - у Вас пакеты Request приходят напрямую не попадая в Керио, а Replay возвращаются через Керио, т.е. рушиться целостность прохождения цепочек через файрвол, SPI такие пакеты блочит. Если же Вы пингуете с линуха или рутера, то видимо запрещено прохождение пакетов ICMP TTL exceeded. Ну еще, как вариант, - не верно настроен NAT для внутренних сетей (включен). Ага все заработало, дело было в в Kerio RequireIcmpFlowControl и 3WayHanshake нужно было отключить, я так понял из-за разницы маршрутов туда и обратно Kerio думал, что это скомпрометированные пакеты и отбрасывал их. Edited March 3, 2021 by mic343 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.