Не пингуется локалка через впн

Обсуждение оборудования и его настройки
ek-titan
Сообщения: 21
Зарегистрирован: 15 июл 2020, 19:32

Доброго времени суток, форумчане!
Есть следующие железки:
Основной офис: RB951Ui-2nD (впн сервер pptp, локалка 192.168.88.*, инет - статика)
Склад: RB941-2nD (впн клиент, локалка 192.168.10.*, инет - пппое поверх статики)
Проблема - не пингуются ресурсы склада из основного офиса, наоборот - все окей. Иными словами, из 88 подсети не могу попасть в 10, а из 10 в 88 ходится отлично
Фаервол основы:

Код: Выделить всё

 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 2    chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix="" 

 3    ;;; Hackers
      chain=input action=add-src-to-address-list protocol=tcp address-list=Hackers address-list-timeout=4w2d in-interface=ether1 dst-port=21,22,23,3389 log=yes log-prefix="Attack" 

 4    ;;; drop_public_dns
      chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 

 5    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid 

 6    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

 7    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN 

 8    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

 9    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

10    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related 

11    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

12    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid 

13    ;;; defconf: drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN 

14    ;;; Hackers
      chain=forward action=drop protocol=tcp src-address-list=Hackers in-interface=ether1 

15    ;;; Port_scanner_drop
      chain=input action=drop src-address-list=Hackers 

16    chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=Hackers address-list-timeout=2w in-interface=ether1 

17    chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=Hackers address-list-timeout=2w in-interface=ether1 

18    chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=Hackers address-list-timeout=2w in-interface=ether1 

19    chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=Hackers address-list-timeout=2w in-interface=ether1 

20    chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=Hackers address-list-timeout=2w in-interface=ether1 

21    chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=Hackers address-list-timeout=2w in-interface=ether1 

22    chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=Hackers address-list-timeout=2w in-interface=ether1 
Фаервол склада:

Код: Выделить всё

0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 2    chain=input action=drop protocol=udp in-interface=pppoe-out1 dst-port=53 log=no log-prefix="" 

 3    chain=input action=accept protocol=tcp in-interface=pppoe-out1 dst-port=8291 log=no log-prefix="" 

 4    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 5    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

 6    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

 7    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

 8    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related 

 9    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

10    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

11    ;;; defconf: drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" 
Маршруты основы:

Код: Выделить всё

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          46.48.125.73              1
 1 ADC  46.48.125.72/30    *Внешний ip*    ether1                    0
 2 A S  192.168.10.0/24                    192.168.88.2              1
 3 ADC  192.168.88.0/24    192.168.88.1    bridge                    0
 4 ADC  192.168.88.2/32    192.168.88.1    <pptp-bs>                 0
Маршруты склада:

Код: Выделить всё

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          pppoe-out1                1
 1 ADC  5.165.2.254/32     *Внешний ip* pppoe-out1                0
 2 ADC  192.168.10.0/24    192.168.10.1    bridge                    0
 3 A S  192.168.88.0/24                    192.168.88.1              1
 4 ADC  192.168.88.1/32    192.168.88.2    pptp-out1                 0
В основном офисе на wan интерфейсе включен proxy-arp (не уверен что это правильно, читал в мануалах что так делается)
На складе - так же
Буду рад подробным объяснениям что и где я сделал не так, с данным оборудованием - на Вы.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Адреса на туннеле поменяйте, чтобы они в диапазон подсети основного роутера не попадали.
И естественно отключите proxy-arp.


Telegram: @thexvo
ek-titan
Сообщения: 21
Зарегистрирован: 15 июл 2020, 19:32

xvo писал(а): 15 июл 2020, 20:37 Адреса на туннеле поменяйте, чтобы они в диапазон подсети основного роутера не попадали.
И естественно отключите proxy-arp.
Спасибо за советы, но не помогло


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Маршруты покажите, после того, как поменяли.


Telegram: @thexvo
ek-titan
Сообщения: 21
Зарегистрирован: 15 июл 2020, 19:32

Основной офис:

Код: Выделить всё

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          46.48.125.73              1
 1 ADC  46.48.125.72/30    *внешний ип*   ether1                    0
 2 ADC  192.168.2.2/32     192.168.2.1     <pptp-bs>                 0
 3 A S  192.168.10.0/24                    192.168.2.2               1
 4 ADC  192.168.88.0/24    192.168.88.1    bridge                    0

Склад:

Код: Выделить всё

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          pppoe-out1                1
 1 ADC  5.165.2.254/32     *внешний ип* pppoe-out1                0
 2 ADC  192.168.2.1/32     192.168.2.2     pptp-out1                 0
 3 ADC  192.168.10.0/24    192.168.10.1    bridge                    0
 4 A S  192.168.88.0/24                    192.168.2.1               1


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

С маршрутами вроде все в порядке.
Проверьте, не добавлен ли туннель на стороне склада случайно в interface-list=WAN
И покажите, как NAT настроен на обоих машинах.


Telegram: @thexvo
ek-titan
Сообщения: 21
Зарегистрирован: 15 июл 2020, 19:32

Можно поподробнее? Какие команды в терминале прописать?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

/interface list member export

/ip firewall nat export


Telegram: @thexvo
ek-titan
Сообщения: 21
Зарегистрирован: 15 июл 2020, 19:32

Основа:

Код: Выделить всё

# jul/15/2020 23:09:08 by RouterOS 6.47.1
# software id = CPNJ-0P26
#
# model = RB951Ui-2nD
# serial number = B88C0B342F97
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN

Код: Выделить всё

# jul/15/2020 23:10:08 by RouterOS 6.47.1
# software id = CPNJ-0P26
#
# model = RB951Ui-2nD
# serial number = B88C0B342F97
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
Склад:

Код: Выделить всё

# jul/15/2020 23:11:15 by RouterOS 6.47.1
# software id = 71V6-NUZ1
#
# model = RB941-2nD
# serial number = A1C30B09E6A9
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN

Код: Выделить всё

# jul/15/2020 23:11:57 by RouterOS 6.47.1
# software id = 71V6-NUZ1
#
# model = RB941-2nD
# serial number = A1C30B09E6A9
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Хм... и тут все норм.

Ну ок, давайте целиком /export hide-sensitive
Замажьте там внешние IP, MAC-адреса, логины/пароли и т.д.


Telegram: @thexvo
Ответить