Нужна помощь в настройке файрволла. Не могу разобраться.
Значит что имеем:
Офис и промысел.
Между ними радиореллейная связь. Имеем два пролета. В промежуточной точке тоже есть компы, сеть, телефоны по E1.
Имеем на промысле оптику со скоростью 16 мегабит. Интернет приходит в конечную точку. Т.е. организовать агрегацию на цисках или микротиках мы не можем из-за промежуточной точки.
На микротиках настроен EoIP туннель через интернет. Т.е. Что приходит - то уходит. Используется в качестве резервного канала. В случае отвала реллейки, поднимается туннель. Настроено это через Netwatch с пингом одной из цисок находящейся на промысле в другой VLAN и выставленным таймаутом.
Пинг через реллейку 4-7 мсек. Через интернет канал 50-80 (в зависимости от погоды). Интернет провайдеры в офисе и на промысле разные.
В момент отвала реллейки, пинг пропадает, микротик поднимает туннель, пинг восстанавливается, но больше стандартного и туннель продолжает работать. Когда реллейка поднимается, ненадолго образуется петля, но пинги проходят через реллейку с маленьким таймаутом и туннель отключается.
Но сегодня, толи иней на антеннах (параболы 10ти летней давности) то ли птички спать улеглись... Пинги скакали и сходили с ума.
И всю ночь начиная с 2:50 и до 7 утра пока я не отключил Netwatch у нас сетка лагала. То петляла, то переставала. Ладно хоть диспетчера будить нас не стали ночью.
Моя задача которую я не могу решить:
Надо на микротике на промысле запретить пинг этой циски микротиком в офисе. Чтобы через релейку циска пинговалась, а через туннель нет. Тогда можно и таймаут побольше поставить. Чтобы туннель поднимался когда реллейка совсем перестанет работать.
IP микротика в офисе 192.168.38.13
IP микротика на промысле 192.168.38.14
Сетка 192.168.38.0/23
На циске на конечно точке 10.1.1.21
На циске на промежуточной точке 10.1.1.22
Создал правило:
Код: Выделить всё
action=drop chain=forward dst-address=192.168.38.13 log=yes protocol=icmp src-address=10.1.1.21
Не помогает. Пинги проходят. Есть у кого мысли как реализовать все это?