Добрый день!
Прошу помощи в небольшой проблеме:
ROS 6.18
Есть bridge c настроенными подсетями 10.0.1.0/24, 10.0.3.0/24. Суть в следующем: очень медленно открывается страница на веб сервере 10.0.3.10 с любого компьютера из 10.0.1.0/24 при включенном правиле add chain=forward protocol=tcp connection-state=invalid action=drop. В логе микротика по этому правилу вижу следующее:
13:57:10 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK), 10.0.1.95:63140->10.0.3.10:80, len 40
13:57:10 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:11 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:11 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:12 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
13:57:14 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK), 10.0.1.95:63140->10.0.3.10:80, len 52
13:57:15 firewall,info forward: in:bridge1(ether3) out:bridge1, src-mac d4:3d:7e:d9:29:b3, proto TCP (ACK,PSH), 10.0.1.95:63140->10.0.3.10:80, len 500
Как только отключаю правило все идеально работает.
Может это правило вовсе отключить, или есть другой способ обойти проблему?
Если необходимо могу выложить конфиг микротика.
Проблема с drop invalid connections.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 0
- Зарегистрирован: 06 дек 2017, 11:28
Не нашли нормального решения этой проблемы?
У меня тоже самое. Только при переводе трафика на другой шлюз в сети.
У меня тоже самое. Только при переводе трафика на другой шлюз в сети.
-
- Сообщения: 0
- Зарегистрирован: 06 дек 2017, 11:28
У меня стоит два микротика: основной с кабельным провайдером и резервный с LTE модулем. Пытаюсь перевести весь трафик с основного на резервный.
Перевод трафика на резервный Микротик:
Рубится трафик на первом правиле:
Настройки резервного роутера:
Настройки firewall пока стандартные стоят
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat comment=LAN.Masquerade.Providers out-interface-list=Providers to-addresses=\
0.0.0.0
Перевод трафика на резервный Микротик:
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting comment="TEST ANOTHER PROVIDER" dst-address=0.0.0.0/0 new-routing-mark=another_provider passthrough=\
yes src-address-list=another_povider
/ip route
add check-gateway=ping distance=1 gateway=192.168.1.2 routing-mark=another_provider
Рубится трафик на первом правиле:
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid protocol=tcp
Настройки резервного роутера:
Код: Выделить всё
ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.1.2/24 192.168.1.0 ether1
2 D 20.209.78.37/32 20.209.78.37 lte1
Код: Выделить всё
ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 lte1 1
1 ADC 20.209.78.37/32 20.209.78.37 lte1 0
3 ADC 192.168.1.0/24 192.168.1.2 ether1 0
Настройки firewall пока стандартные стоят
Код: Выделить всё
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface-list=Providers
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=Providers
/ip firewall nat
add action=masquerade chain=srcnat comment=LAN.Masquerade.Providers out-interface-list=Providers to-addresses=0.0.0.0