Проблема с маршрутизацией (mikrotik, pptp)

Обсуждение оборудования и его настройки
Ответить
AlexPTZ
Сообщения: 1
Зарегистрирован: 13 июл 2013, 08:10

Здравствуйте!

Прошу помощи!

Mikrotik 750GL первым портом смотрит в интернет. ip на этом порту X.X.X.X
Локалка 192.168.89.0/24

Этот же микротик настроен как pptp-client (ip на стороне микротика 192.168.12.100, на стороне сервера 192.168.12.250)
на микротике прописан static route в сеть сервера 192.168.88.0/24 через pptp
на сервере прописан static route в сеть микротика 192.168.89.0/24 через pptp
в firewall прописаны разрешения на хождение трафика между сетями

Запускаю пинг из сети микротика в сеть сервера, а на стороне сервера делаю

Код: Выделить всё

ping 192.168.88.3
00:27:13.150064 IP 192.168.12.100 > 192.168.88.3: ICMP echo request, id 512, seq 25089, length 40
00:27:13.151625 IP 192.168.88.3 > 192.168.12.100: ICMP echo reply, id 512, seq 25089, length 40
00:27:14.150073 IP 192.168.12.100 > 192.168.88.3: ICMP echo request, id 512, seq 25345, length 40
00:27:14.150290 IP 192.168.88.3 > 192.168.12.100: ICMP echo reply, id 512, seq 25345, length 40

Успешно получаем ответ ибо все правильно - src у нас ip туннеля со стороны микротика.
tcp соединения тоже успешно проходят.

А теперь включаем sip телефон. Прописываем в нем адрес сервера регистрации 192.168.88.3, нажимаем сохранить и удивляемся снимая tcpdump с тунеля

Код: Выделить всё

00:26:54.452083 IP X.X.X.X.1024 > 192.168.88.3.sip: SIP, length: 467
00:26:58.452080 IP X.X.X.X.1024 > 192.168.88.3.sip: SIP, length: 467
00:27:02.452070 IP X.X.X.X.1024 > 192.168.88.3.sip: SIP, length: 467
с какой то радости у нас src.ip подставляется внешний ip

для теста добавляем в firewall правило

Код: Выделить всё

chain=forward action=log dst-address=192.168.88.3 log-prefix=""

и смотрим лог в winbox

Код: Выделить всё

firewall info:
forward: in: ether2-master-local out:pptp-vse, proto UDP, 192.168.89.197:5060 -> 192.168.88.3:5060, len 501

вообще ничего не понимаю


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

возможно у вас на микротике включенно правило Mascarade и поэтому подменяется IP

внесите в ip-firewall adress-list новый лист LOCAL с подсетями в которых не надо НАТить

и поправте правило Маскардинга на DST-adress-list = !LOCAL
обратите внимание на восклицательный знак, он означает инвертиртировать выражение

то есть все что летит в Не Локал - то НАТить


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить