Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Обсуждение ПО и его настройки
paolo
Сообщения: 6 Зарегистрирован: 10 мар 2022, 16:52
04 май 2022, 22:52
Добрый день
Есть офис и пара филиалов. Филиалы подключены по Wireguard.
Проблема в том, что филиалы пингуют офис частично и из офиса пингуется не все пулы в филиалах
Часть конфига офиса:
/interface wireguard
add listen-port=13231 mtu=1420 name=wg_2
add listen-port=13232 mtu=1412 name=wg_3
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=filial2.18 endpoint-port=13231 interface=wg_2 \
persistent-keepalive=10s public-key="*****"
add allowed-address=0.0.0.0/0 endpoint-address=filial3.131 endpoint-port=13232 interface=wg_3 \
persistent-keepalive=10s public-key="*****"
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=office pref-src="" routing-table=main \
scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=wg_2 pref-src=0.0.0.0 routing-table=main scope=\
30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=192.168.9.0/24 gateway=wg_2 pref-src=10.0.1.2 routing-table=\
main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=wg_3 pref-src=0.0.0.0 routing-table=main scope=\
30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=192.168.8.0/24 gateway=wg_3 pref-src=10.0.1.3 routing-table=\
main scope=30 suppress-hw-offload=no target-scope=10
/ip firewall filter
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept wireguard" dst-port=13231,13232,13233 protocol=udp
add action=accept chain=output dst-port=13231,13232,13233 protocol=udp
add action=accept chain=forward dst-port=13231,13232,13233 protocol=udp
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=accept chain=input in-interface=bridge
add action=fasttrack-connection chain=forward dst-port=808 hw-offload=no protocol=tcp
add action=fasttrack-connection chain=forward hw-offload=no protocol=tcp src-port=808
add action=log chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=\
!LAN log=yes
add action=accept chain=forward comment=in:ipsec ipsec-policy=in,ipsec
add action=drop chain=input comment="drop all from WAN" in-interface=ether1 log-prefix="drop from WAN"
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
/ip firewall mangle
add action=change-mss chain=forward disabled=yes new-mss=clamp-to-pmtu passthrough=yes protocol=tcp \
tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT out-interface=ether1
add action=masquerade chain=srcnat out-interface=all-ppp
add action=masquerade chain=srcnat out-interface=bridge src-address=192.168.10.0/24
add action=masquerade chain=srcnat out-interface=wg_2 src-address=192.168.10.0/24
add action=masquerade chain=srcnat out-interface=wg_3 src-address=192.168.10.0/24
Часть конфига филиала_3
/ip address
add address=192.168.8.2/24 comment=defconf interface=ether2 network=\
192.168.8.0
add address=filial3.131/25 interface=ether1 network=filial3.128
add address=10.0.1.11/24 interface=wg_1 network=10.0.1.0
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=output dst-port=13232 protocol=udp
add action=fasttrack-connection chain=forward dst-port=808 hw-offload=yes \
out-interface=wg_1 protocol=tcp
add action=fasttrack-connection chain=forward hw-offload=yes in-interface=\
wg_1 protocol=tcp src-port=808
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes protocol=\
udp
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes \
protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="VPN msqrd" out-interface=all-ppp
add action=masquerade chain=srcnat out-interface=wg_1 src-address=\
192.168.8.0/24
add action=masquerade chain=srcnat disabled=yes out-interface=wg_1
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=filial3.129
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.0.1.3 pref-src=\
0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=192.168.10.0/24 gateway=wg_1 \
pref-src=10.0.1.11 routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
Пинги из офиса:
Код: Выделить всё
C:\Users\USER>tracert 192.168.8.1
Трассировка маршрута к 192.168.8.1 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.10.1
2 85 ms 67 ms 81 ms 10.0.1.11
3 55 ms 55 ms 55 ms 192.168.8.1
Трассировка завершена.
C:\Users\USER>tracert 192.168.8.2
Трассировка маршрута к 192.168.8.2 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.10.1
2 55 ms 55 ms 55 ms 192.168.8.2
Трассировка завершена.
Из филиала:
Код: Выделить всё
C:\Users\user>tracert 192.168.10.13
Трассировка маршрута к 192.168.10.13 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms 192.168.8.2
2 57 ms 55 ms 55 ms 10.0.1.3
3 56 ms 55 ms 55 ms 192.168.10.13
Трассировка завершена.
C:\Users\user>tracert 192.168.10.3
Трассировка маршрута к 192.168.10.3 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.8.2
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 ^C
В чем проблема?
paolo
Сообщения: 6 Зарегистрирован: 10 мар 2022, 16:52
05 май 2022, 17:17
KaNelam писал(а): ↑ 05 май 2022, 16:10
Где-то запрещен icmp?
Нет. Не запрещен. "defconf: accept ICMP" в первых строчках.
192.168.10.3/24 - NAS Synology с двумя портами 10.2 и 10.3
И в одном из филиалов 10.2 виден, а 10.3 - нет.
Мне и нужно то буквально 3- пять адресов наружу(в филиалы) показать....
paolo
Сообщения: 6 Зарегистрирован: 10 мар 2022, 16:52
05 май 2022, 18:11
KaNelam писал(а): ↑ 05 май 2022, 17:45
Я про локальные машины.
Нет. Причем по UDP тоже самое. ни пинга ни трассировки
paolo
Сообщения: 6 Зарегистрирован: 10 мар 2022, 16:52
05 май 2022, 18:41
Вот с микрота филиала(протокол результата не меняет):
Код: Выделить всё
[admin@filial3] > tool/traceroute
address: 192.168.10.2
Columns: LOSS, SENT, LAST
# LOSS SENT LAST
1 100% 2 timeout
2 100% 1 timeout
3 100% 1 timeout
4 100% 1 timeout
5 100% 1 timeout
[admin@filial3] > tool/traceroute
address: 192.168.10.13
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV
1 10.0.1.3 0% 8 55.6ms 55.6 55.2 57.6 0.8
2 192.168.10.13 0% 8 55.6ms 55.7 55.5 56.1 0.2
[admin@filial3] > tool/traceroute
address: 192.168.10.15
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV
1 10.0.1.3 0% 8 55.3ms 58.2 55.2 70.5 5.2
2 192.168.10.15 0% 8 55.7ms 56.2 55.6 58.3 0.9
[admin@filial3] > tool/traceroute
address: 192.168.10.2
Columns: LOSS, SENT, LAST
# LOSS SENT LAST
1 100% 1 timeout
2 100% 1 timeout
3 100% 1 timeout
4 100% 1 timeout
5 0% 1 0ms
KaNelam
Сообщения: 620 Зарегистрирован: 11 июл 2017, 13:03
05 май 2022, 20:20
paolo писал(а): ↑ 05 май 2022, 18:11
KaNelam писал(а): ↑ 05 май 2022, 17:45
Я про локальные машины.
Нет. Причем по UDP тоже самое. ни пинга ни трассировки
Пинг это ICMP, проверяйте фаеры на машинах.