Den4ikArgv Posted April 5, 2024 Posted April 5, 2024 Добрый день, коллеги! Имеется железка с ПО RouterOS 6.48.1 (stable). Задача сделать трассировку с узла, который подключён к этой железке с серым IP и маскарадится в белый IP интерфейса. При попытке сделать трассировку Next-Hop после микрота отображается *. Подскажите, как такое можно побороть? Вставить ник Quote
jffulcrum Posted April 5, 2024 Posted April 5, 2024 3 часа назад, Den4ikArgv сказал: после микрота отображается *. И дальше ничего? А с самого роутера? Вставить ник Quote
Den4ikArgv Posted April 5, 2024 Author Posted April 5, 2024 Дальше есть узлы, но мне нужен конкретно следующий за моим узел. Вышестоящий провайдер пытается мне доказать, что я бегаю не по его линку, а по другому. С Роутера следующий хоп светится. 1 33 ms 33 ms 16 ms <Мой узел> 2 16 ms 16 ms 16 ms <Мой узел> 3 * * * Request timed out. (ТУТ ДОЛЖЕН БЫТЬ ХОП ПРОВАЙДЕРА) 4 33 ms * * 185.140.148.155 5 33 ms 33 ms 33 ms 72.14.197.6 6 33 ms 33 ms 33 ms 142.251.53.67 7 33 ms 33 ms 33 ms 108.170.250.66 8 50 ms 50 ms 50 ms 142.251.238.84 9 50 ms 50 ms 50 ms 142.251.238.72 10 50 ms 50 ms 50 ms 172.253.51.189 11 * * * Request timed out. 12 * * * Request timed out. 13 * * * Request timed out. 14 * * * Request timed out. 15 * * * Request timed out. 16 * * * Request timed out. 17 * * * Request timed out. 18 * * * Request timed out. 19 * * * Request timed out. 20 50 ms 50 ms 50 ms <IP конечного узла> При этом с самого роутера картина такая: # ADDRESS LOSS SENT LAST AVG BEST WORST 1 <IP провайдера> 50% 4 1.1ms 0.9 0.7 1.1 2 185.140.148.153 75% 4 timeout 24.5 24.5 24.5 3 72.14.197.6 0% 4 34.8ms 34.9 34.8 35.1 4 142.251.53.69 0% 4 25.1ms 25.1 25.1 25.2 5 108.170.250.99 0% 4 25.5ms 25.6 25.4 26.2 6 142.251.49.24 0% 4 47ms 46.8 46.5 47 7 72.14.238.168 0% 4 57.4ms 52.1 47.3 57.4 8 142.250.209.25 0% 4 40.5ms 40.5 40.4 40.7 9 100% 4 timeout 10 100% 4 timeout 11 100% 4 timeout 12 100% 4 timeout 13 100% 3 timeout 14 <Тут Хоп светится> Вставить ник Quote
jffulcrum Posted April 5, 2024 Posted April 5, 2024 Для начала, в FW добавим в начало цепочки input правило с accept для протокола ICMP, без фильтраций по запросам и адресам. Картина меняется? Вставить ник Quote
Den4ikArgv Posted April 5, 2024 Author Posted April 5, 2024 Ничего не меняется при добавлении правила, картина прежняя. Правило добавлял: ip firewall filter action=accept chain=input proto=icmp disabled=no Поместил его под номером 1 в список. Вставить ник Quote
jffulcrum Posted April 5, 2024 Posted April 5, 2024 Следующий шаг. Встаем Torch на интерфейс, с которого должны улетать наши пакеты traceroute. Пингуем "подозрительный" IP провайдера с клиентской машины, потом с роутера. Смотрим, что прилетает. Лучше включить в Torch показ протокола. Вставить ник Quote
Den4ikArgv Posted April 5, 2024 Author Posted April 5, 2024 В понедельник смогу проверить. Правило при этом на разрешение icmp нужно оставить? Вставить ник Quote
Den4ikArgv Posted April 8, 2024 Author Posted April 8, 2024 В Torch я вижу часть серых адресов и NAT IP, только я не понимаю, как мои серые IP пройдя через NAT могут светиться в качестве источников на интерфейсе-Uplink? При пинге с самого микрота в Torch Src. IP источника, который я указываю, не попадает. (Белые IP замазал из соображений безопасности). Вставить ник Quote
jffulcrum Posted April 8, 2024 Posted April 8, 2024 У вас внешний IP статический или динамический? Вставить ник Quote
Den4ikArgv Posted April 8, 2024 Author Posted April 8, 2024 (edited) Тот, который указываю при пинге и пробую им НАТить один хост - статический (висит на интерфейсе в сторону вышестоящего прова). Для NAT выделен пул адресов. Есть сетка, к примеру, 192.168.1.0/30 (1 адрес у вышестоящего. 2 у меня). БЕЛЫЙ IP и есть сетка под нат 10.24.22.0/26 (до которой есть маршрут в вышестоящего провайдера). БЕЛЫЙ IP Серые написал для примера. Я пытался с локальных машин пустить трассу до узла в интернете, на что получаю звёздочки. Попробовал включить маскарад для одного из локальных адресов и исходящим интерфейсом поставил свой с адресом <192.168.1.2/30>. В Torch я всё равно вижу свои серые адреса без подмены NAT. При этом с Mikrotik я спокойно пингую вторую точку сети (не удивительно, arp). Edited April 8, 2024 by Den4ikArgv Вставить ник Quote
witch Posted April 8, 2024 Posted April 8, 2024 Не забывайте, что маршрутизатор может но не обязан отвечать на icmp запросы. Как настроен. Вставить ник Quote
jffulcrum Posted April 8, 2024 Posted April 8, 2024 @Den4ikArgv То есть у вас ДВА внешних интерфейса? Вставить ник Quote
Den4ikArgv Posted April 8, 2024 Author Posted April 8, 2024 Внешних интерфейсов по факту 3. Вставить ник Quote
jffulcrum Posted April 8, 2024 Posted April 8, 2024 начнем с минимального. Правила masquerade переделайте на src-nat с указанием конкретного внешнего IP и out сответствующего внешнего интерфейса Вставить ник Quote
Den4ikArgv Posted April 8, 2024 Author Posted April 8, 2024 Делалось - не помогло. Вставить ник Quote
VolanD666 Posted April 9, 2024 Posted April 9, 2024 В 05.04.2024 в 15:20, Den4ikArgv сказал: Вышестоящий провайдер пытается мне доказать, что я бегаю не по его линку, а по другому. Просто запускаете сниффер и смотрите с какой интерфейса с каким адресом что уходит. Если с правильного инт-са и с правильного адреса, то значит вы правы. О чем эта тема? Вставить ник Quote
jffulcrum Posted April 9, 2024 Posted April 9, 2024 Показывайте конфиг. Для корректной работы схемы с несколькими аплинками как минимум нужен прероутинг на основе источника. Вставить ник Quote
Den4ikArgv Posted April 9, 2024 Author Posted April 9, 2024 Конфиг нужен весь или какие-то конкретные части? Железка выступает бордером, поэтому весь конфиг светить не могу. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.