Перейти к содержимому
Калькуляторы

Проблема с маршрутизацией между сетями.

Доброго времени суток !

Задача тривиальная, организовать доступ из сети 192.168.0.0/23 - шлюз Kerio (192.168.0.160), в сеть 192.168.10.0/24 - шлюз Mikrotik RB750GR3 (192.168.0.3).
Что сделано:
1. Mikrotik RB750GR3 4 портом смотрит в сеть 192.168.0.0/23 и имеет адрес 192.168.0.3/23.
2. Mikrotik RB750GR3 2 портом смотрит в сеть 192.168.10.0/24 и имеет адрес 192.168.10.1/24.
3. Mikrotik RB750GR3 на 2 порту поднят DHCP Server и раздает адреса из пула 192.168.10.100-192.168.10.254, с шлюзом 192.168.10.1
4. В таблицу маршрутизации Mikrotik RB750GR3 добавлен статический маршрут 0.0.0.0/0 шлюз 192.168.0.160 (Kerio), т.к. интернет раздает Kerio и NAT будет реализован за него.
5. В таблицу маршрутизации Kerio добавлен статический маршрут 192.168.10.0/24 шлюз 192.168.0.3 (Mikrotik RB750GR3).

конфигурация Mikrotik RB750GR3:

/ip pool
add name=LAN10 ranges=192.168.10.100-192.168.10.254
/ip dhcp-server
add address-pool=LAN10 disabled=no interface=ether2 name=DHCPLAN10
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.0.3/23 interface=ether4 network=192.168.0.0
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 netmask=24 ntp-server=192.168.10.1
/ip dns
set servers=192.168.0.210
/ip route
add check-gateway=ping distance=1 gateway=192.168.0.160
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/snmp
set enabled=yes trap-version=2
/system clock
set time-zone-name=Europe/Moscow


Проблема в том что компьютеры из сети 192.168.10.0/24 не видят сеть 192.168.0.0/23

Трейсер с компьютера из сети 192.168.0.0/23 в 192.168.10.0/24:

Трассировка маршрута к 192.168.10.254 с максимальным числом прыжков 30

1 1 ms * <1 мс kerio.***.*** [192.168.0.160]
2 1 ms <1 мс <1 мс 192.168.0.3
3 1 ms <1 мс <1 мс 192.168.10.254

Трассировка завершена.

Трейсер из сети 192.168.10.0/24 в сеть 192.168.0.0/23:

Трассировка маршрута к 192.168.0.20 с максимальным числом прыжков 30

1 1 ms * <1 мс 192.168.10.1
2 * * * превышен интервал ожидания для запроса.
3 * * * превышен интервал ожидания для запроса.


Шлюзы из обоих сетей пингуются, Mikrotik настраивал через Winbox, обновив предварительно прошивку до последней и удалив конфигурацию.
В Kerio не каких запрещающих правил нет, в Mikrotik в Firewall правил ни каких нет.

Не могу понять в чем может быть дело ((((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотреть таблицу маршрутизации на 192.168.0.20 а затем правила файрвола на Керио.

Ответ прост: у вас проблемы в трасерте с  192.168.0.20 на 192.168.10.0/24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в Kerio статический маршрут добавлен 192.168.10.0 255.255.255.0 шлюз 192.168.0.3, правила разрешающие есть в самом верху из сети 192.168.10.0 в сеть 192.168.0.0/23 разрешить все и наоборот.

 

Изменено пользователем mic343

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, mic343 сказал:

в Kerio статический маршрут добавлен 192.168.10.0 255.255.255.0 шлюз 192.168.0.3, правила разрешающие есть в самом верху из сети 192.168.10.0 в сеть 192.168.0.0/23 разрешить все и наоборот.

 

 

stateful inspection может подкинуть вам проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я правильно понимаю, что речь идет об отключении в Kerio RequireIcmpFlowControl и 3WayHanshake

 

Изменено пользователем mic343

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, mic343 сказал:

я правильно понимаю, что речь идет об отключении в Kerio RequireIcmpFlowControl и 3WayHanshake

 

 

Возможно, с Керио я попрощался лет 10 назад, если не больше. Суть в том, что. Если Вы с винды пингуете - у Вас пакеты Request приходят напрямую не попадая в Керио, а Replay возвращаются через Керио, т.е. рушиться целостность прохождения цепочек через файрвол, SPI такие пакеты блочит.

Если же Вы пингуете с линуха или рутера, то видимо запрещено прохождение пакетов  ICMP TTL exceeded. 

Ну еще, как вариант, - не верно настроен NAT для внутренних сетей (включен).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 26.02.2021 в 19:23, sdy_moscow сказал:

Возможно, с Керио я попрощался лет 10 назад, если не больше. Суть в том, что. Если Вы с винды пингуете - у Вас пакеты Request приходят напрямую не попадая в Керио, а Replay возвращаются через Керио, т.е. рушиться целостность прохождения цепочек через файрвол, SPI такие пакеты блочит.

Если же Вы пингуете с линуха или рутера, то видимо запрещено прохождение пакетов  ICMP TTL exceeded

Ну еще, как вариант, - не верно настроен NAT для внутренних сетей (включен).

Ага все заработало, дело было в в Kerio RequireIcmpFlowControl и 3WayHanshake нужно было отключить, я так понял из-за разницы маршрутов туда и обратно Kerio думал, что это скомпрометированные пакеты и отбрасывал их.

Изменено пользователем mic343

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.