Владимир StrangeFly Posted October 17, 2021 Posted October 17, 2021 (edited) Доброго времени суток! имею сеть разделенных офисов, везде микротики, 90% RB2011-е, в силу необходимости приходится применять схему, когда две разных подсети должны работать через разных провайдеров (плюс не видеть друг друга). Использовал routing mark, работало. Недавно стал обновлять прошивки до 6.49, и вдруг посыпались жалобы, интернет работать перестает. Причем все что нужно пингуется, но утверждают, что, как у нас пользователи любят заявлять, "странички не грузятся" )). Переключаю рабочее место на основную локалку (без mangle, vrf) - все работает нормально. Грешил бы на пользователей, но был случай когда на место выезжал спец от посторонних, достаточно грамотный по разговору, хотел ему дать также отдельно инет, через vrf. Пришлось блочить через ip route rule add src-address XXX dst-address XXX action=unreachable. Подскажите, кто сталкивался вдруг? может что изменилось в конфигурации в 6.49? Может, есть таки диагностика подобного, средствами микротика, а не выездом на место? Может, изначально криво настроил, а при обновлении "вылезли косяки". Настраивал методом сбора информации на форумах, и методом тыка )) типовые параметры "переставшего работать": ip route print 0 A S dst-address=0.0.0.0/0 gateway=1.1.1.1 gateway-status=1.1.1.1 on wan2 reachable via eth9 distance=1 scope=30 target-scope=10 routing-mark=wan2 3 ADb dst-address=0.0.0.0/0 gateway=10.2.1.125 gateway-status=10.2.1.125 reachable via eth6 distance=100 scope=40 target-scope=10 bgp-as-path="65500,24739,65400" bgp-origin=igp received-from=ROUTER01 ip route vrf print routing-mark=wan2 interfaces=eth9,eth10 ip firewall mangle print Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=prerouting action=passthrough 1 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 2 D ;;; special dummy rule to show fasttrack counters chain=postrouting action=passthrough 3 chain=prerouting action=mark-routing new-routing-mark=wan2 passthrough=no in-interface=eth10 log=no log-prefix="" 4 chain=prerouting action=mark-routing new-routing-mark=wan2 passthrough=no in-interface=eth9 log=no log-prefix="" ip firewall nat print 14 chain=srcnat action=masquerade routing-mark=wan2 src-address=192.168.1.0/24 out-interface=eth9 log=no log-prefix="" ping 8.8.8.8 src-address=192.168.1.1 routing-table=wan2 SEQ HOST SIZE TTL TIME STATUS 0 8.8.8.8 56 111 5ms 1 8.8.8.8 56 111 5ms 2 8.8.8.8 56 111 5ms sent=3 received=3 packet-loss=0% min-rtt=5ms avg-rtt=5ms max-rtt=5ms ЗЫ: а тут еще и всплыло, что после обновления прошивок так же перестает работать ip firewall filter rules, правила drop. Что глобальное я упустил? Edited October 17, 2021 by Владимир StrangeFly имя интерфейса неправильно указал в конфигурации Вставить ник Quote
jffulcrum Posted October 18, 2021 Posted October 18, 2021 Такого не вылезало - есть проблемы с SFP и мониторингом, но на FW правила жалоб не видел. Выкладывайте полный конфиг, затерев публичные IP Вставить ник Quote
DeLL Posted October 18, 2021 Posted October 18, 2021 конфиг выкладывать командой export, а не print Вставить ник Quote
Владимир StrangeFly Posted October 18, 2021 Author Posted October 18, 2021 ок, чтоб не выкладывать кусками, даю полную конфигу, через export. убрал публичные, немного исказил адреса локалки и descr. Правила drop которые там сейчас есть - уже от безысходности добавлял, они почему-то также не отрабатывают. Эта конфига с 6.48.3, с них все и началось. Когда работала штатно, Была 6.3Х, точно не упомню curconf.txt Вставить ник Quote
Владимир StrangeFly Posted October 18, 2021 Author Posted October 18, 2021 (edited) да, я конечно "хороший" человек, выложил конфигу уже после всех правок. Вот проблемные сегменты: /ip firewall mangle add action=mark-routing chain=prerouting in-interface=V11 \ new-routing-mark=wan2 passthrough=no add action=mark-routing chain=prerouting in-interface=V52 \ new-routing-mark=wan2 passthrough=no /ip firewall nat add action=masquerade chain=srcnat routing-mark=wan2 src-address=\ 192.168.252.0/24 /ip route add distance=1 gateway=222.222.222.1 routing-mark=wan2 /ip route vrf add interfaces=V52,V11 routing-mark=wan2 /ip address add address=192.168.252.1/24 interface=V11 network=192.168.252.0 add address=222.222.222.2/30 interface=V52 network=222.222.222.0 Edited October 18, 2021 by Владимир StrangeFly vlan неверен Вставить ник Quote
Владимир StrangeFly Posted October 18, 2021 Author Posted October 18, 2021 мда, вопрос отпал. Решил добавить: chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn routing-mark=wan2 protocol=tcp out-interface=V52 log=no log-prefix="" вытащил к себе с удаленного проблемного филиала сетку, через EoIP, сижу в их подсети, все грузится... Все странно. Раньше не добавлял, не задумывался даже. Вставить ник Quote
jffulcrum Posted October 18, 2021 Posted October 18, 2021 EOIP был и раньше? Просто если всовывать EOIP в тот же мост, с которого клиенты сидят, из-за проблем с MTU будет именно такая фигня - все пингуется, а интернета нет. Вставить ник Quote
Владимир StrangeFly Posted October 19, 2021 Author Posted October 19, 2021 14 часов назад, jffulcrum сказал: EOIP был и раньше? Просто если всовывать EOIP в тот же мост, с которого клиенты сидят, из-за проблем с MTU будет именно такая фигня - все пингуется, а интернета нет. нет, это я уже в процессе тестирования. Вытащил себе вланчик так сказать, удаленно. Кстати на эти грабли я поначалу действительно наступал. Решал выставлением MTU на EoIP 65535. Как понимаю, бридж автоматом берет максимальное MTU из всех входящих в него элементов. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.