Den4ikArgv Posted April 5, 2024 Добрый день, коллеги! Имеется железка с ПО RouterOS 6.48.1 (stable). Задача сделать трассировку с узла, который подключён к этой железке с серым IP и маскарадится в белый IP интерфейса. При попытке сделать трассировку Next-Hop после микрота отображается *. Подскажите, как такое можно побороть? Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 5, 2024 3 часа назад, Den4ikArgv сказал: после микрота отображается *. И дальше ничего? А с самого роутера? Share this post Link to post Share on other sites More sharing options...
Den4ikArgv Posted April 5, 2024 Дальше есть узлы, но мне нужен конкретно следующий за моим узел. Вышестоящий провайдер пытается мне доказать, что я бегаю не по его линку, а по другому. С Роутера следующий хоп светится. 1 33 ms 33 ms 16 ms <Мой узел> 2 16 ms 16 ms 16 ms <Мой узел> 3 * * * Request timed out. (ТУТ ДОЛЖЕН БЫТЬ ХОП ПРОВАЙДЕРА) 4 33 ms * * 185.140.148.155 5 33 ms 33 ms 33 ms 72.14.197.6 6 33 ms 33 ms 33 ms 142.251.53.67 7 33 ms 33 ms 33 ms 108.170.250.66 8 50 ms 50 ms 50 ms 142.251.238.84 9 50 ms 50 ms 50 ms 142.251.238.72 10 50 ms 50 ms 50 ms 172.253.51.189 11 * * * Request timed out. 12 * * * Request timed out. 13 * * * Request timed out. 14 * * * Request timed out. 15 * * * Request timed out. 16 * * * Request timed out. 17 * * * Request timed out. 18 * * * Request timed out. 19 * * * Request timed out. 20 50 ms 50 ms 50 ms <IP конечного узла> При этом с самого роутера картина такая: # ADDRESS LOSS SENT LAST AVG BEST WORST 1 <IP провайдера> 50% 4 1.1ms 0.9 0.7 1.1 2 185.140.148.153 75% 4 timeout 24.5 24.5 24.5 3 72.14.197.6 0% 4 34.8ms 34.9 34.8 35.1 4 142.251.53.69 0% 4 25.1ms 25.1 25.1 25.2 5 108.170.250.99 0% 4 25.5ms 25.6 25.4 26.2 6 142.251.49.24 0% 4 47ms 46.8 46.5 47 7 72.14.238.168 0% 4 57.4ms 52.1 47.3 57.4 8 142.250.209.25 0% 4 40.5ms 40.5 40.4 40.7 9 100% 4 timeout 10 100% 4 timeout 11 100% 4 timeout 12 100% 4 timeout 13 100% 3 timeout 14 <Тут Хоп светится> Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 5, 2024 Для начала, в FW добавим в начало цепочки input правило с accept для протокола ICMP, без фильтраций по запросам и адресам. Картина меняется? Share this post Link to post Share on other sites More sharing options...
Den4ikArgv Posted April 5, 2024 Ничего не меняется при добавлении правила, картина прежняя. Правило добавлял: ip firewall filter action=accept chain=input proto=icmp disabled=no Поместил его под номером 1 в список. Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 5, 2024 Следующий шаг. Встаем Torch на интерфейс, с которого должны улетать наши пакеты traceroute. Пингуем "подозрительный" IP провайдера с клиентской машины, потом с роутера. Смотрим, что прилетает. Лучше включить в Torch показ протокола. Share this post Link to post Share on other sites More sharing options...
Den4ikArgv Posted April 5, 2024 В понедельник смогу проверить. Правило при этом на разрешение icmp нужно оставить? Share this post Link to post Share on other sites More sharing options...
Den4ikArgv Posted April 8, 2024 В Torch я вижу часть серых адресов и NAT IP, только я не понимаю, как мои серые IP пройдя через NAT могут светиться в качестве источников на интерфейсе-Uplink? При пинге с самого микрота в Torch Src. IP источника, который я указываю, не попадает. (Белые IP замазал из соображений безопасности). Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 8, 2024 У вас внешний IP статический или динамический? Share this post Link to post Share on other sites More sharing options...
Den4ikArgv Posted April 8, 2024 (edited) Тот, который указываю при пинге и пробую им НАТить один хост - статический (висит на интерфейсе в сторону вышестоящего прова). Для NAT выделен пул адресов. Есть сетка, к примеру, 192.168.1.0/30 (1 адрес у вышестоящего. 2 у меня). БЕЛЫЙ IP и есть сетка под нат 10.24.22.0/26 (до которой есть маршрут в вышестоящего провайдера). БЕЛЫЙ IP Серые написал для примера. Я пытался с локальных машин пустить трассу до узла в интернете, на что получаю звёздочки. Попробовал включить маскарад для одного из локальных адресов и исходящим интерфейсом поставил свой с адресом <192.168.1.2/30>. В Torch я всё равно вижу свои серые адреса без подмены NAT. При этом с Mikrotik я спокойно пингую вторую точку сети (не удивительно, arp). Edited April 8, 2024 by Den4ikArgv Share this post Link to post Share on other sites More sharing options...
witch Posted April 8, 2024 Не забывайте, что маршрутизатор может но не обязан отвечать на icmp запросы. Как настроен. Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 8, 2024 @Den4ikArgv То есть у вас ДВА внешних интерфейса? Share this post Link to post Share on other sites More sharing options...
Den4ikArgv Posted April 8, 2024 Внешних интерфейсов по факту 3. Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 8, 2024 начнем с минимального. Правила masquerade переделайте на src-nat с указанием конкретного внешнего IP и out сответствующего внешнего интерфейса Share this post Link to post Share on other sites More sharing options...
Den4ikArgv Posted April 8, 2024 Делалось - не помогло. Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted April 9, 2024 В 05.04.2024 в 15:20, Den4ikArgv сказал: Вышестоящий провайдер пытается мне доказать, что я бегаю не по его линку, а по другому. Просто запускаете сниффер и смотрите с какой интерфейса с каким адресом что уходит. Если с правильного инт-са и с правильного адреса, то значит вы правы. О чем эта тема? Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 9, 2024 Показывайте конфиг. Для корректной работы схемы с несколькими аплинками как минимум нужен прероутинг на основе источника. Share this post Link to post Share on other sites More sharing options...
Den4ikArgv Posted April 9, 2024 Конфиг нужен весь или какие-то конкретные части? Железка выступает бордером, поэтому весь конфиг светить не могу. Share this post Link to post Share on other sites More sharing options...
