Какую модель выбрать?

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
mr_dima
Сообщения: 41
Зарегистрирован: 05 авг 2020, 09:53

xvo писал(а): 15 авг 2020, 09:59 Вы пинг то по новой запускаете после того как правила включаете/выключаете?
Без разницы ему. Если было включено 2 правила, потом отключаю например, вот это..
add action=src-nat chain=srcnat disabled=yes dst-address=10.17.211.160 src-address=192.168.100.10 to-addresses=10.17.211.170
то пинг на 10.17.211.160 продолжает идти даже после перезапуска пинга.
Пока все 3 правила для всех интерфейсов не отключю.
При этом, естесственно, на пингуемом ноутбуке шлюз по умолчанию не установлен. По идее, пинг должен прекратиться, т.к. ноутбук не должен знать куда отвечать.
И еще раз, если использую только одно правило
add action=masquerade chain=srcnat disabled=yes out-interface-list=interface-list-PLC
все замечательно работает. Пинг сразу останавливается при выключении и сразу возобновляется при включении. Пинг я даже не перезапускаю.
По идее тут надо wireshark смотреть.. но пока не заморачивался.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Если честно, не охота разбираться в чем конкретно объяснение пытаясь у себя воспроизвести - все равно вопрос абсолютно не принципиальный: вы же не планируете эти правила туда-сюда регулярно включать/выключать.

Но почти уверен, что все упирается в connection tracker - наверняка остается висеть соединение, которые микротик не успевает выкинуть по таймауту, а так как через NAT проходит только первый пакет, то старые настройки и применяются.
Маскарад же, в свою очередь, при каких-то изменениях соединения сбрасывает, поэтому все "работает" на лету.


Telegram: @thexvo
mr_dima
Сообщения: 41
Зарегистрирован: 05 авг 2020, 09:53

mr_dima писал(а): 15 авг 2020, 10:17
xvo писал(а): 15 авг 2020, 09:59 Вы пинг то по новой запускаете после того как правила включаете/выключаете?
Без разницы ему. Если было включено 2 правила, потом отключаю например, вот это..
add action=src-nat chain=srcnat disabled=yes dst-address=10.17.211.160 src-address=192.168.100.10 to-addresses=10.17.211.170
то пинг на 10.17.211.160 продолжает идти даже после перезапуска пинга.
Пока все 3 правила для всех интерфейсов не отключю.
При этом, естесственно, на пингуемом ноутбуке шлюз по умолчанию не установлен. По идее, пинг должен прекратиться, т.к. ноутбук не должен знать куда отвечать.
И еще раз, если использую только одно правило
add action=masquerade chain=srcnat disabled=yes out-interface-list=interface-list-PLC
все замечательно работает. Пинг сразу останавливается при выключении и сразу возобновляется при включении. Пинг я даже не перезапускаю.
По идее тут надо wireshark смотреть.. но пока не заморачивался.
Поставил wireshark.
Собственно, что было проверять ) Ваиршарк так и показывает.. типа при отключении правила, запрос продолжает идти с подмененым IP (т.е. 10.17.211.170)
Больше на какой-то глюк похоже.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

mr_dima писал(а): 15 авг 2020, 10:42 Поставил wireshark.
Собственно, что было проверять ) Ваиршарк так и показывает.. типа при отключении правила, запрос продолжает идти с подмененым IP (т.е. 10.17.211.170)
Больше на какой-то глюк похоже.
Соединение руками сбросьте, после выключения правила, и все пойдет как положено.


Telegram: @thexvo
mr_dima
Сообщения: 41
Зарегистрирован: 05 авг 2020, 09:53

xvo писал(а): 15 авг 2020, 10:28 Если честно, не охота разбираться в чем конкретно объяснение пытаясь у себя воспроизвести - все равно вопрос абсолютно не принципиальный: вы же не планируете эти правила туда-сюда регулярно включать/выключать.

Но почти уверен, что все упирается в connection tracker - наверняка остается висеть соединение, которые микротик не успевает выкинуть по таймауту, а так как через NAT проходит только первый пакет, то старые настройки и применяются.
Маскарад же, в свою очередь, при каких-то изменениях соединения сбрасывает, поэтому все "работает" на лету.
Да, все верно. Сброс соединения помогает. :co_ol:
Тут же обратил внимание и на таймаут. Стоит 8 секунд.
Если остановить пинг и подождать 8 секунд, то новый пинг уже "видит" изменившееся правило, т.к. соединение новое происходит )
Спасибо!


mr_dima
Сообщения: 41
Зарегистрирован: 05 авг 2020, 09:53

Для теста взаимодействия с корп сетю собрал вот такую схему (на картинке)
Порты 4 и 5 объединил в бридж (bridge4-5). Дал ему - IP 192.168.100.170
На МикроТике прописал маршрут по умолчанию - 0.0.0.0/0 на этот же интерфейс bridge4-5
Компьютер корп сети (Corp PC) поместил в другую подсеть (!!) 192.168.101.1
На компьютере корп сети я не указывал наш микротик как шлюз(!)

Тестирую..
1. С компьютера корп сети шлю пинг на сервер (ping 192.168.100.10). Чтобы отправить такой пинг я прописал на компьютере корп сети маршрут - route add 192.168.100.10 192.168.101.1 IF 10
2. Пакет на сервер благодаря бриджу доходит.. Но теперь сервер получает пинг с обратным адресом не из своей сети (192.168.101.1). Что как раз и имитирует стандатное взаимодействие моего сервера с корп сетью.
3. Сервер отвечает на свой шлюз по умолчанию - 192.168.100.170 (это мой бридж в МикроТике)
4. Т.к. на МикроТике прописан путь по умоланию 0.0.0.0/0 на этот же интерфейс bridge4-5, то пакет доходит до компьютера корп сети.
5. Так же проходят пинги и в обратную сторону.
6. Пробовал достучаться из компьютера корп сети до FTP на сервере. Работает.
7. Ну и с сервера пингуются контроллеры мои так же.

Вроде все работает.
Единственно, при такой схеме надо у завода еще один IP просить в корп сети для бриджа Микротика.
А то можно было бы сервер спрятать от корп сети за NAT. (Микротик бы притворился сервером)

Какие подводные камни могут быть в такой схеме на бридже?

Код: Выделить всё

/interface bridge
add name=bridge4-5
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Krones
set [ find default-name=ether2 ] name=ether2-BMJ
set [ find default-name=ether3 ] name=ether3-CMS
set [ find default-name=ether4 ] name=ether4-SRV
set [ find default-name=ether5 ] name=ether5-CORP
/interface list
add name=interface-list-PLC
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge4-5 interface=ether5-CORP
add bridge=bridge4-5 interface=ether4-SRV
/interface list member
add interface=ether1-Krones list=interface-list-PLC
add interface=ether2-BMJ list=interface-list-PLC
add interface=ether3-CMS list=interface-list-PLC
/ip address
add address=10.17.211.170/24 interface=ether1-Krones network=10.17.211.0
add address=192.168.2.170/24 interface=ether2-BMJ network=192.168.2.0
add address=140.80.0.170/24 interface=ether3-CMS network=140.80.0.0
add address=192.168.100.170/24 interface=bridge4-5 network=192.168.100.0
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=interface-list-PLC
/ip route
add distance=1 gateway=bridge4-5
Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

mr_dima писал(а): 15 авг 2020, 14:18
Какие подводные камни могут быть в такой схеме на бридже?
В голову приходит только, что сложнее чем в варианте с NAT'ом ограничивать доступ из корпсети к серверу (если оно вообще будет надо).


Telegram: @thexvo
mr_dima
Сообщения: 41
Зарегистрирован: 05 авг 2020, 09:53

xvo писал(а): 15 авг 2020, 21:37
mr_dima писал(а): 15 авг 2020, 14:18
Какие подводные камни могут быть в такой схеме на бридже?
В голову приходит только, что сложнее чем в варианте с NAT'ом ограничивать доступ из корпсети к серверу (если оно вообще будет надо).
Ну вот я и потренировался я со вторым вариантом - спрятал сервер от корп. сети за NATом.
Что поменялось..
1. убрал бридж
2. теперь интерфейсу, который смотрит в корп. сеть я назначил "IP сервера" - 192.168.100.10 (серверу был выделен именно такой статический IP)
3. настроил маскарад на интерфейс в корп сеть - add action=masquerade chain=srcnat out-interface=ether5-CORP src-address=192.168.104.10
4. настроил netmap на входящем интерфейсе из корп сети.. меняю IP на IP сервера во внутренней сети Микротика - add action=netmap chain=dstnat in-interface=ether5-CORP to-addresses=192.168.104.10
5. в МикроТике маршрут по умолчанию (0.0.0.0/0) смотрел на интерфейс бриджа4-5, теперь смотрит на интерфейс 5 - корп. сети.

Вроде работает.
В этом варианте, не надо выпрашивать на заводе второй IP адрес.
Удивительно, но кажется работает.
Весьма занимательно все это )

Код: Выделить всё

/interface list member
add interface=ether1-Krones list=interface-list-PLC
add interface=ether2-BMJ list=interface-list-PLC
add interface=ether3-CMS list=interface-list-PLC
/ip address
add address=10.17.211.170/24 interface=ether1-Krones network=10.17.211.0
add address=192.168.2.170/24 interface=ether2-BMJ network=192.168.2.0
add address=140.80.0.170/24 interface=ether3-CMS network=140.80.0.0
add address=192.168.100.170/24 disabled=yes interface=bridge4-5 network=192.168.100.0
add address=192.168.104.170/24 interface=ether4-SRV network=192.168.104.0
add address=192.168.100.10/24 interface=ether5-CORP network=192.168.100.0
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=interface-list-PLC
add action=masquerade chain=srcnat out-interface=ether5-CORP
add action=netmap chain=dstnat in-interface=ether5-CORP to-addresses=192.168.104.10
/ip route
add distance=1 gateway=ether5-CORP
add disabled=yes distance=1 gateway=bridge4-5

Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

mr_dima писал(а): 15 авг 2020, 23:10
Весьма занимательно все это )
Да уж, особое чувство - когда что-то, что изначально было чистой теорией, потом раз, и работает уже вполне себе на практике :)


Telegram: @thexvo
mr_dima
Сообщения: 41
Зарегистрирован: 05 авг 2020, 09:53

xvo писал(а): 15 авг 2020, 23:50
mr_dima писал(а): 15 авг 2020, 23:10
Весьма занимательно все это )
Да уж, особое чувство - когда что-то, что изначально было чистой теорией, потом раз, и работает уже вполне себе на практике :)
Вам, а так же Vlad-2, Ca6ko, bst-botsman огромное спасибо за то, что комментировали и указывали направление! Это бесценно!
До вас я не знал вообще в какую сторону смотреть.

Но это я поупражнялся над задачей только для одного завода. А есть другой завод со своей задачей )
Там немного все иначе.
Две сети контроллеров. Первая изолирована от мира, вторая имеет выход в корп сеть.
Сервер уже стоит во второй сети. Надо посмотреть как подключить первую через МикроТик.
Первая сеть физически встречается со второй далеко от сервера. Т.е. МикроТик в сервер не воткнешь напрямую.
Почему через МикроТик - опять боимся конфликтов адресов в сетях.

Но об этом я подумаю завтра )


Ответить