Нестандартная ситуация:
основной шлюз - mikrotik
поднят статичный маршрут из локалки в удаленную сеть через циску
cisco router внутри сети с локальным айпишником, с нее поднят туннель site-to-site в удаленную сеть
трафик из локалки в удаленную сеть идет без вопросов
из удаленной сети доступ есть только до циски и микротика,
пингуемый хост в локалке ответ отдает, судя по tcpdump, но ответ застревает, вероятно, где-то на микротике
Уважаемые коллеги, кто сталкивался с подобной сиутацией?
подскажите, как ее можно разрешить?
vpn-server внутри сети
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
El de Rone писал(а):Уважаемые коллеги, кто сталкивался с подобной сиутацией?
подскажите, как ее можно разрешить?
конкретика в виде конфигов будет?
-
- Сообщения: 6
- Зарегистрирован: 26 окт 2017, 16:37
микротик - 192.168.210.1
циска - 192.168.210.11
удаленный роутер (vcloud edge) -192.168.0.1
из локалки (192.168.210.29) в удаленную сеть (192.168.0.12):
$ sudo traceroute 192.168.0.12
traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets
1 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms
2 192.168.210.11 (192.168.210.11) 9.087 ms 9.756 ms 10.442 ms
3 192.168.0.1 (192.168.0.1) 71.385 ms 47.492 ms 49.682 ms
4 192.168.0.12 (192.168.0.12) 53.219 ms 54.791 ms 56.330 ms
обратно:
# traceroute 192.168.210.29
traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 0.317 ms * *
2 192.168.210.11 (192.168.210.11) 67.476 ms 67.469 ms 67.454 ms
3 * * *
микротик:
циска:
циска - 192.168.210.11
удаленный роутер (vcloud edge) -192.168.0.1
из локалки (192.168.210.29) в удаленную сеть (192.168.0.12):
$ sudo traceroute 192.168.0.12
traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets
1 gateway (192.168.210.1) 0.325 ms 0.327 ms 0.360 ms
2 192.168.210.11 (192.168.210.11) 9.087 ms 9.756 ms 10.442 ms
3 192.168.0.1 (192.168.0.1) 71.385 ms 47.492 ms 49.682 ms
4 192.168.0.12 (192.168.0.12) 53.219 ms 54.791 ms 56.330 ms
обратно:
# traceroute 192.168.210.29
traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 0.317 ms * *
2 192.168.210.11 (192.168.210.11) 67.476 ms 67.469 ms 67.454 ms
3 * * *
микротик:
Код: Выделить всё
# oct/26/2017 20:26:55 by RouterOS 6.40.3
# software id = NSFS-MJXE
#
# model = RouterBOARD 750 r2
# serial number = 67D206FC8DE0
/interface ethernet
set [ find default-name=ether2 ] name=LAN
set [ find default-name=ether1 ] name=WAN
set [ find default-name=ether3 ] master-port=LAN
set [ find default-name=ether4 ] master-port=LAN
set [ find default-name=ether5 ] master-port=LAN
/ip neighbor discovery
set WAN discover=no
/ip ipsec proposal
add disabled=yes enc-algorithms=aes-256-gcm lifetime=1h name=M1
/ip pool
add name=dhcp ranges=192.168.210.101-192.168.210.199
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=LAN lease-time=4h name=defconf
/snmp community
set [ find default=yes ] addresses=192.168.210.0/24
/ip address
add address=192.168.210.1/24 interface=LAN network=192.168.210.0
add address=x.x.x.46/30 interface=WAN network=x.x.x.44
add address=192.168.1.1/24 interface=LAN network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=WAN
/ip dhcp-server lease
--------бла-бла---------------
/ip dhcp-server network
add address=192.168.210.0/24 comment=defconf dns-server=8.8.8.8 domain=devteam.npozzz.ru gateway=192.168.210.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=176.74.8.33,176.74.9.1,8.8.4.4
/ip dns static
add address=192.168.210.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
-----------------бла-бла-------------------
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=WAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=WAN
add chain=forward disabled=yes dst-address=192.168.0.0/24 src-address=192.168.210.0/24
add chain=forward disabled=yes dst-address=192.168.210.0/24 src-address=192.168.0.0/24
add chain=forward disabled=yes dst-address=192.168.0.0/24 src-address=192.168.210.0/24
add chain=forward disabled=yes dst-address=192.168.210.0/24 src-address=192.168.0.0/24
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.210.0/24
add action=accept chain=srcnat disabled=yes dst-address=192.168.0.0/24 src-address=192.168.210.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=WAN
--------------------бла-бла----------------------------
add action=dst-nat chain=dstnat dst-port=500 in-interface=WAN protocol=udp to-addresses=192.168.210.11 to-ports=500
add action=dst-nat chain=dstnat dst-port=4500 in-interface=WAN protocol=udp src-port="" to-addresses=192.168.210.11 to-ports=4500
/ip ipsec peer
add address=y.y.y.230/32 dh-group=modp1024 disabled=yes enc-algorithm=aes-256 lifetime=8h secret=секрет
/ip ipsec policy
add disabled=yes dst-address=192.168.0.0/24 proposal=M1 sa-dst-address=y.y.y.230 sa-src-address=x.x.x.46 src-address=192.168.210.0/24 tunnel=yes
/ip route
add distance=1 gateway=x.x.x.45
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.210.11
/ip smb shares
set [ find default=yes ] directory=/pub
/snmp
set enabled=yes trap-generators=start-trap trap-target=192.168.210.36,192.168.210.29 trap-version=2
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=zzz.RnD
/system leds
set 0 leds=user-led type=flash-access
add interface=WAN leds=led1 type=interface-activity
/system ntp client
set enabled=yes primary-ntp=46.254.216.12 secondary-ntp=195.91.239.8
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=LAN
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=LAN
/tool sniffer
set filter-interface=LAN filter-ip-address=192.168.0.0/24 filter-mac-protocol=ip filter-stream=yes streaming-enabled=yes streaming-server=192.168.210.29
циска:
Код: Выделить всё
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Cisco837
!
boot-start-marker
boot-end-marker
!
logging console filtered
enable secret 5 секрет
enable password 7 пассворд
!
no aaa new-model
!
!
ip cef
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key кей address y.y.y.230
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set cloudset esp-3des esp-sha-hmac
!
crypto map cloudvpn 1 ipsec-isakmp
set peer y.y.y.230
set transform-set cloudset
set pfs group1
match address 101
!
!
!
interface Ethernet0
description LAN
ip address 192.168.210.11 255.255.255.0
ip virtual-reassembly
crypto map cloudvpn
hold-queue 100 out
!
interface Ethernet2
description WAN
no ip address
ip virtual-reassembly
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.210.1
ip http server
no ip http secure-server
!
!
access-list 100 deny ip 192.168.210.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 deny ip 192.168.210.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny ip 192.168.210.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 100 permit ip 192.168.210.0 0.0.0.255 any
access-list 101 permit ip 192.168.210.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.210.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.210.0 0.0.0.255 192.168.20.0 0.0.0.255
snmp-server community public RO
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password 7 пассворд
login
!
scheduler max-task-time 5000
end
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
попробуйте для начала закомментировать правило
и напишите результат
Код: Выделить всё
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
и напишите результат
Код: Выделить всё
/ip settings print
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
А еще лучше, временно ВСЕ правила фаерволла отключить и пробовать!
-
- Сообщения: 6
- Зарегистрирован: 26 окт 2017, 16:37
> /ip settings print
закомментировал ВСЕ фильтрующие правила
результата нет...
Код: Выделить всё
ip-forward: yes
send-redirects: yes
accept-source-route: no
accept-redirects: no
secure-redirects: yes
rp-filter: no
tcp-syncookies: no
max-neighbor-entries: 8192
arp-timeout: 30s
icmp-rate-limit: 10
icmp-rate-mask: 0x1818
route-cache: yes
allow-fast-path: yes
ipv4-fast-path-active: no
ipv4-fast-path-packets: 0
ipv4-fast-path-bytes: 0
ipv4-fasttrack-active: no
ipv4-fasttrack-packets: 349693863
ipv4-fasttrack-bytes: 227011890677
закомментировал ВСЕ фильтрующие правила
результата нет...
-
- Сообщения: 6
- Зарегистрирован: 26 окт 2017, 16:37
еще раз, извне
на циску:
# traceroute 192.168.210.11
на микротик
# traceroute 192.168.210.1
на любой другой адрес:
# traceroute 192.168.210.29
на циску:
# traceroute 192.168.210.11
Код: Выделить всё
traceroute to 192.168.210.11 (192.168.210.11), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 0.389 ms 0.371 ms 0.333 ms
2 192.168.210.11 (192.168.210.11) 38.402 ms * *
на микротик
# traceroute 192.168.210.1
Код: Выделить всё
traceroute to 192.168.210.1 (192.168.210.1), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 0.583 ms 0.570 ms 0.674 ms
2 192.168.210.11 (192.168.210.11) 56.752 ms 61.451 ms 61.445 ms
3 192.168.210.1 (192.168.210.1) 61.427 ms 39.566 ms 41.206 ms
на любой другой адрес:
# traceroute 192.168.210.29
Код: Выделить всё
traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 0.342 ms 0.310 ms 0.291 ms
2 192.168.210.11 (192.168.210.11) 37.209 ms 38.951 ms 41.425 ms
3 * * *
4 * * *
-
- Сообщения: 6
- Зарегистрирован: 26 окт 2017, 16:37
Может тут дело быть в PBR?
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
El de Rone писал(а):Может тут дело быть в PBR?
не заметил в вашей конфигурации PBR
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
El de Rone писал(а):закомментировал ВСЕ фильтрующие правила
результата нет...
точно закомментировали правило?
Код: Выделить всё
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
покажите результат
Код: Выделить всё
/ip firewall filter print