mic343 Опубликовано 26 февраля, 2021 · Жалоба Доброго времени суток ! Задача тривиальная, организовать доступ из сети 192.168.0.0/23 - шлюз Kerio (192.168.0.160), в сеть 192.168.10.0/24 - шлюз Mikrotik RB750GR3 (192.168.0.3). Что сделано: 1. Mikrotik RB750GR3 4 портом смотрит в сеть 192.168.0.0/23 и имеет адрес 192.168.0.3/23. 2. Mikrotik RB750GR3 2 портом смотрит в сеть 192.168.10.0/24 и имеет адрес 192.168.10.1/24. 3. Mikrotik RB750GR3 на 2 порту поднят DHCP Server и раздает адреса из пула 192.168.10.100-192.168.10.254, с шлюзом 192.168.10.1 4. В таблицу маршрутизации Mikrotik RB750GR3 добавлен статический маршрут 0.0.0.0/0 шлюз 192.168.0.160 (Kerio), т.к. интернет раздает Kerio и NAT будет реализован за него. 5. В таблицу маршрутизации Kerio добавлен статический маршрут 192.168.10.0/24 шлюз 192.168.0.3 (Mikrotik RB750GR3). конфигурация Mikrotik RB750GR3: /ip pool add name=LAN10 ranges=192.168.10.100-192.168.10.254 /ip dhcp-server add address-pool=LAN10 disabled=no interface=ether2 name=DHCPLAN10 /ip neighbor discovery-settings set discover-interface-list=!dynamic /ip address add address=192.168.0.3/23 interface=ether4 network=192.168.0.0 add address=192.168.10.1/24 interface=ether2 network=192.168.10.0 /ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 netmask=24 ntp-server=192.168.10.1 /ip dns set servers=192.168.0.210 /ip route add check-gateway=ping distance=1 gateway=192.168.0.160 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /snmp set enabled=yes trap-version=2 /system clock set time-zone-name=Europe/Moscow Проблема в том что компьютеры из сети 192.168.10.0/24 не видят сеть 192.168.0.0/23 Трейсер с компьютера из сети 192.168.0.0/23 в 192.168.10.0/24: Трассировка маршрута к 192.168.10.254 с максимальным числом прыжков 30 1 1 ms * <1 мс kerio.***.*** [192.168.0.160] 2 1 ms <1 мс <1 мс 192.168.0.3 3 1 ms <1 мс <1 мс 192.168.10.254 Трассировка завершена. Трейсер из сети 192.168.10.0/24 в сеть 192.168.0.0/23: Трассировка маршрута к 192.168.0.20 с максимальным числом прыжков 30 1 1 ms * <1 мс 192.168.10.1 2 * * * превышен интервал ожидания для запроса. 3 * * * превышен интервал ожидания для запроса. Шлюзы из обоих сетей пингуются, Mikrotik настраивал через Winbox, обновив предварительно прошивку до последней и удалив конфигурацию. В Kerio не каких запрещающих правил нет, в Mikrotik в Firewall правил ни каких нет. Не могу понять в чем может быть дело (((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 26 февраля, 2021 · Жалоба посмотреть таблицу маршрутизации на 192.168.0.20 а затем правила файрвола на Керио. Ответ прост: у вас проблемы в трасерте с 192.168.0.20 на 192.168.10.0/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mic343 Опубликовано 26 февраля, 2021 (изменено) · Жалоба в Kerio статический маршрут добавлен 192.168.10.0 255.255.255.0 шлюз 192.168.0.3, правила разрешающие есть в самом верху из сети 192.168.10.0 в сеть 192.168.0.0/23 разрешить все и наоборот. Изменено 26 февраля, 2021 пользователем mic343 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 26 февраля, 2021 · Жалоба 6 минут назад, mic343 сказал: в Kerio статический маршрут добавлен 192.168.10.0 255.255.255.0 шлюз 192.168.0.3, правила разрешающие есть в самом верху из сети 192.168.10.0 в сеть 192.168.0.0/23 разрешить все и наоборот. stateful inspection может подкинуть вам проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mic343 Опубликовано 26 февраля, 2021 (изменено) · Жалоба я правильно понимаю, что речь идет об отключении в Kerio RequireIcmpFlowControl и 3WayHanshake Изменено 26 февраля, 2021 пользователем mic343 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 26 февраля, 2021 · Жалоба 2 часа назад, mic343 сказал: я правильно понимаю, что речь идет об отключении в Kerio RequireIcmpFlowControl и 3WayHanshake Возможно, с Керио я попрощался лет 10 назад, если не больше. Суть в том, что. Если Вы с винды пингуете - у Вас пакеты Request приходят напрямую не попадая в Керио, а Replay возвращаются через Керио, т.е. рушиться целостность прохождения цепочек через файрвол, SPI такие пакеты блочит. Если же Вы пингуете с линуха или рутера, то видимо запрещено прохождение пакетов ICMP TTL exceeded. Ну еще, как вариант, - не верно настроен NAT для внутренних сетей (включен). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mic343 Опубликовано 3 марта, 2021 (изменено) · Жалоба В 26.02.2021 в 19:23, sdy_moscow сказал: Возможно, с Керио я попрощался лет 10 назад, если не больше. Суть в том, что. Если Вы с винды пингуете - у Вас пакеты Request приходят напрямую не попадая в Керио, а Replay возвращаются через Керио, т.е. рушиться целостность прохождения цепочек через файрвол, SPI такие пакеты блочит. Если же Вы пингуете с линуха или рутера, то видимо запрещено прохождение пакетов ICMP TTL exceeded. Ну еще, как вариант, - не верно настроен NAT для внутренних сетей (включен). Ага все заработало, дело было в в Kerio RequireIcmpFlowControl и 3WayHanshake нужно было отключить, я так понял из-за разницы маршрутов туда и обратно Kerio думал, что это скомпрометированные пакеты и отбрасывал их. Изменено 3 марта, 2021 пользователем mic343 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...