Страница 1 из 1

Проблема с подключением к CRS309 за hAP ac

Добавлено: 20 янв 2022, 22:06
Meta-Cooler
Вводные данные:
На входе в квартиру размещён Mikrotik hAP ac с фиксированным ip-адресом от провайдера. На hAP ac подняты две подсети 192.168.10.0/24 (сеть умного дома с wlan 2.4Ghz) и 192.168.30.0/24 (локальная, проводная домашняя сеть, где располагается сервер, NAS и рабочие станции). На этом же hAP ac работают два DHCP сервера, которые выдают ip-адреса на соответствующие подсети. За Mikrotik hAP ac располагается Mikrotik CRS309-1G-8S+ (подключен к hAP ac посредством SFP), на котором все порты объединены в bridge (bridge присвоен ip-адрес 192.168.30.10). В свою очередь, Mikrotik CRS309-1G-8S+ раздаёт всем проводным абонентам подключенным к нему через 10G SFP+ соответствуюшие ip-адреса с DHCP сервера hAP ac.

С логики построения сети, всё работает идеально, в смысле, как и задумывалось. Все устройства получают свои ip-адреса из назначенных им пулов, устройства в подсетях доступны друг-другу и отвечают на пинги (все соответствующие правила со стороны firewall настроены), выход в интернет доступен абонентам всех подсетей. Каких-то явных конфликтов и проблем нет.

Резолюция проблемы:
Отсутствует возможность подключиться к CRS309-1G-8S+ со стороны hAP ac (если точнее, из подсети 192.168.10.0/24). Невозможно подключиться как по ip-адресу из подсети 192.168.10.0/24, так и по MAC-адресу. В дополнении, службы по типу API и SSH также недоступны из подсети 192.168.10.0/24. Если добавить новое, дублирующее правило, на forward трафика из подсети 192.168.10.0/24 до 192.168.30.10 (ip-адрес bride CRS309-1G-8S+) то видно, что пакеты попадают в сеть и находят свой адрес назначения.

Однако, если подключиться к домашней сети со стороны CRS309-1G-8S+ (DHCP автоматически выдаёт за CRS309-1G-8S+ ip-адрес из подсети 192.168.30.0/24), то оба устройства (CRS309-1G-8S+ и hAP ac) становятся доступны друг-другу. Под "доступно" подразумевается доступ как по SSH, API, так и через Winbox.

Подскажите, в чём заключается проблема и какие потенциальные векторы её решения.

Дополнительная информация для встречных вопрос:
- Да, пробовал отключать firewall.
- Да, Routes со стороны hAP ac настроены.
- Службы по типу SSH, API и Winbox на стороне CRS309-1G-8S+ не заблокированы
- В log отсутвует какая-то информация о попытке подключения

Re: Проблема с подключением к CRS309 за hAP ac

Добавлено: 20 янв 2022, 22:12
KaNelam
Meta-Cooler писал(а): 20 янв 2022, 22:06 Вводные данные:
На входе в квартиру размещён Mikrotik hAP ac с фиксированным ip-адресом от провайдера. На hAP ac подняты две подсети 192.168.10.0/24 (сеть умного дома с wlan 2.4Ghz) и 192.168.30.0/24 (локальная, проводная домашняя сеть, где располагается сервер, NAS и рабочие станции). На этом же hAP ac работают два DHCP сервера, которые выдают ip-адреса на соответствующие подсети. За Mikrotik hAP ac располагается Mikrotik CRS309-1G-8S+ (подключен к hAP ac посредством SFP), на котором все порты объединены в bridge (bridge присвоен ip-адрес 192.168.30.10). В свою очередь, Mikrotik CRS309-1G-8S+ раздаёт всем проводным абонентам подключенным к нему через 10G SFP+ соответствуюшие ip-адреса с DHCP сервера hAP ac.

С логики построения сети, всё работает идеально, в смысле, как и задумывалось. Все устройства получают свои ip-адреса из назначенных им пулов, устройства в подсетях доступны друг-другу и отвечают на пинги (все соответствующие правила со стороны firewall настроены), выход в интернет доступен абонентам всех подсетей. Каких-то явных конфликтов и проблем нет.

Резолюция проблемы:
Отсутствует возможность подключиться к CRS309-1G-8S+ со стороны hAP ac (если точнее, из подсети 192.168.10.0/24). Невозможно подключиться как по ip-адресу из подсети 192.168.10.0/24, так и по MAC-адресу. В дополнении, службы по типу API и SSH также недоступны из подсети 192.168.10.0/24. Если добавить новое, дублирующее правило, на forward трафика из подсети 192.168.10.0/24 до 192.168.30.10 (ip-адрес bride CRS309-1G-8S+) то видно, что пакеты попадают в сеть и находят свой адрес назначения.

Однако, если подключиться к домашней сети со стороны CRS309-1G-8S+ (DHCP автоматически выдаёт за CRS309-1G-8S+ ip-адрес из подсети 192.168.30.0/24), то оба устройства (CRS309-1G-8S+ и hAP ac) становятся доступны друг-другу. Под "доступно" подразумевается доступ как по SSH, API, так и через Winbox.

Подскажите, в чём заключается проблема и какие потенциальные векторы её решения.

Дополнительная информация для встречных вопрос:
- Да, пробовал отключать firewall.
- Да, Routes со стороны hAP ac настроены.
- Службы по типу SSH, API и Winbox на стороне CRS309-1G-8S+ не заблокированы
- В log отсутвует какая-то информация о попытке подключения
Поумолчанию общение между подсетями не запрещено. Смотрите фревол и roue rules.
И да, l3 это тольео ip.
П.с. показывайте конфиг(и).

Re: Проблема с подключением к CRS309 за hAP ac

Добавлено: 20 янв 2022, 22:26
Meta-Cooler
К сожалению, сейчас нахожусь со стороны hAP ac, и пробиться до CRS309 нет возможности :-(
 RB962UiGS-5HacT2HnT
# jan/21/2022 01:14:16 by RouterOS 6.49.2
# software id = 0HKB-J8RI
#
# model = RB962UiGS-5HacT2HnT
# serial number = *
/interface bridge
add admin-mac=08:55:31:27:76:91 auto-mac=no name=home-assistant-bridge
add admin-mac=08:55:31:27:76:8C auto-mac=no name=local-network-bridge
/interface ethernet
set [ find default-name=ether5 ] poe-out=off
set [ find default-name=sfp1 ] auto-negotiation=no
/interface wireless
set [ find default-name=wlan2 ] ssid=MikroTik
/interface list
add name=wan-list
add name=local-network-list
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-key-update=30m mode=\
dynamic-keys name=wpa2-psk supplicant-identity=MikroTik \
wpa2-pre-shared-key="*"
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n country=russia3 disabled=no disconnect-timeout=15s \
frequency=auto hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge \
multicast-helper=full on-fail-retry-time=1s security-profile=wpa2-psk \
ssid=2GHz-B/G/N wireless-protocol=802.11 wmm-support=enabled wps-mode=\
disabled
/ip pool
add name=home-assistant-pool ranges=192.168.10.21-192.168.10.99
add name=local-network-pool ranges=192.168.30.21-192.168.30.99
/ip dhcp-server
add address-pool=home-assistant-pool disabled=no interface=\
home-assistant-bridge lease-time=1d name=home-assistant-dhcp
add address-pool=local-network-pool disabled=no interface=\
local-network-bridge lease-time=1d name=local-network-dhcp
/user group
add name=homeassistant policy="read,write,test,api,!local,!telnet,!ssh,!ftp,!r\
eboot,!policy,!winbox,!password,!web,!sniff,!sensitive,!romon,!dude,!tikap\
p"
/interface bridge port
add bridge=home-assistant-bridge interface=ether2
add bridge=home-assistant-bridge interface=wlan1
add bridge=local-network-bridge interface=sfp1
add bridge=local-network-bridge interface=ether3
add bridge=home-assistant-bridge interface=ether4
add bridge=local-network-bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=local-network-list
/interface list member
add interface=ether1 list=wan-list
add interface=ether2 list=local-network-list
add interface=ether3 list=local-network-list
add interface=ether4 list=local-network-list
add interface=ether5 list=local-network-list
add interface=sfp1 list=local-network-list
add interface=wlan1 list=local-network-list
add interface=home-assistant-bridge list=local-network-list
add interface=local-network-bridge list=local-network-list
/ip address
add address=192.168.10.1/24 interface=home-assistant-bridge network=\
192.168.10.0
add address=192.168.30.1/24 interface=local-network-bridge network=\
192.168.30.0
/ip dhcp-client
add disabled=no interface=ether1 use-peer-dns=no
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1 \
netmask=24
/ip dns
set allow-remote-requests=yes cache-size=4096KiB servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=0.0.0.0 comment=skun list=allowed-connections
add address=192.168.10.0/24 comment=local-addresses list=allowed-connections
add address=192.168.30.0/24 list=allowed-connections
add address=0.0.0.0 comment=temporary-ip-address list=\
allowed-connections
/ip firewall filter
add action=accept chain=forward comment=test dst-address=192.168.30.10 \
src-address=192.168.10.20 src-address-list=allowed-connections
add action=accept chain=forward dst-address=192.168.10.1 dst-port=2092 log=\
yes protocol=tcp
add action=accept chain=forward dst-address=192.168.30.10 dst-port=2092 log=\
yes protocol=tcp
add action=accept chain=forward comment=between-local-networks dst-address=\
192.168.30.0/24 src-address=192.168.10.0/24
add action=accept chain=output dst-address=192.168.30.0/24 src-address=\
192.168.10.0/24
add action=accept chain=input dst-address=192.168.10.0/24 src-address=\
192.168.30.0/24
add action=accept chain=forward dst-address=192.168.10.0/24 src-address=\
192.168.30.0/24
add action=accept chain=input comment=accept-established-related \
connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment=drop-invalid connection-state=invalid \
in-interface-list=wan-list
add action=drop chain=forward connection-state=invalid in-interface-list=\
wan-list
add action=drop chain=forward comment=drop-forward connection-nat-state=\
!dstnat in-interface=ether1
add action=drop chain=input comment="port-scanners" \
src-address-list=port-scanners
add action=add-src-to-address-list address-list=port-scanners \
address-list-timeout=none-dynamic chain=input in-interface-list=wan-list \
protocol=tcp psd=21,3s,3,1
add action=jump chain=forward comment="ddos" \
connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=wan-list \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
tcp-flags=syn
add action=accept chain=input comment=winbox dst-port=2092 in-interface=\
ether1 log=yes protocol=tcp src-address-list=allowed-connections
add action=accept chain=input comment=ping-wan icmp-options=8:0-255 \
in-interface=ether1 protocol=icmp
add action=accept chain=input comment=ping-local icmp-options=8:0-255 \
in-interface-list=local-network-list protocol=icmp
add action=accept chain=input comment=web-interface-only-local dst-port=80 \
in-interface-list=local-network-list protocol=tcp
add action=accept chain=input comment=ssh-only-local dst-port=22 \
in-interface-list=local-network-list protocol=tcp
add action=accept chain=input comment=api-only-local dst-port=8728 \
in-interface-list=local-network-list protocol=tcp
add action=accept chain=input comment=allow-dns dst-port=53 in-interface=\
!ether1 protocol=udp
add action=accept chain=input dst-port=53 in-interface=!ether1 protocol=tcp
add action=drop chain=input comment=drop-all in-interface=ether1
/ip firewall nat
add action=dst-nat chain=dstnat comment=to-homeassistant dst-port=8123 \
in-interface=ether1 protocol=tcp src-address-list=allowed-connections \
to-addresses=192.168.10.20 to-ports=8123
add action=src-nat chain=srcnat out-interface-list=wan-list src-address=\
192.168.10.0/24 to-addresses=LOCAL-IP
add action=src-nat chain=srcnat out-interface-list=wan-list src-address=\
192.168.30.0/24 to-addresses=LOCAL-IP
/ip service
set telnet disabled=yes
set ftp disabled=yes
set winbox port=2092
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia
/system identity
set name="MikroTik RB962UiGS-5HacT2HnT"
/tool graphing interface
add store-on-disk=no
/tool mac-server
set allowed-interface-list=local-network-list
/tool mac-server mac-winbox
set allowed-interface-list=local-network-list
/tool mac-server ping
set enabled=no
/tool romon
set enabled=yes secrets=0

Re: Проблема с подключением к CRS309 за hAP ac

Добавлено: 20 янв 2022, 22:39
KaNelam
Meta-Cooler писал(а): 20 янв 2022, 22:26 К сожалению, сейчас нахожусь со стороны hAP ac, и пробиться до CRS309 нет возможности :-(
 RB962UiGS-5HacT2HnT
# jan/21/2022 01:14:16 by RouterOS 6.49.2
# software id = 0HKB-J8RI
#
# model = RB962UiGS-5HacT2HnT
# serial number = *
/interface bridge
add admin-mac=08:55:31:27:76:91 auto-mac=no name=home-assistant-bridge
add admin-mac=08:55:31:27:76:8C auto-mac=no name=local-network-bridge
/interface ethernet
set [ find default-name=ether5 ] poe-out=off
set [ find default-name=sfp1 ] auto-negotiation=no
/interface wireless
set [ find default-name=wlan2 ] ssid=MikroTik
/interface list
add name=wan-list
add name=local-network-list
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-key-update=30m mode=\
dynamic-keys name=wpa2-psk supplicant-identity=MikroTik \
wpa2-pre-shared-key="*"
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n country=russia3 disabled=no disconnect-timeout=15s \
frequency=auto hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge \
multicast-helper=full on-fail-retry-time=1s security-profile=wpa2-psk \
ssid=2GHz-B/G/N wireless-protocol=802.11 wmm-support=enabled wps-mode=\
disabled
/ip pool
add name=home-assistant-pool ranges=192.168.10.21-192.168.10.99
add name=local-network-pool ranges=192.168.30.21-192.168.30.99
/ip dhcp-server
add address-pool=home-assistant-pool disabled=no interface=\
home-assistant-bridge lease-time=1d name=home-assistant-dhcp
add address-pool=local-network-pool disabled=no interface=\
local-network-bridge lease-time=1d name=local-network-dhcp
/user group
add name=homeassistant policy="read,write,test,api,!local,!telnet,!ssh,!ftp,!r\
eboot,!policy,!winbox,!password,!web,!sniff,!sensitive,!romon,!dude,!tikap\
p"
/interface bridge port
add bridge=home-assistant-bridge interface=ether2
add bridge=home-assistant-bridge interface=wlan1
add bridge=local-network-bridge interface=sfp1
add bridge=local-network-bridge interface=ether3
add bridge=home-assistant-bridge interface=ether4
add bridge=local-network-bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=local-network-list
/interface list member
add interface=ether1 list=wan-list
add interface=ether2 list=local-network-list
add interface=ether3 list=local-network-list
add interface=ether4 list=local-network-list
add interface=ether5 list=local-network-list
add interface=sfp1 list=local-network-list
add interface=wlan1 list=local-network-list
add interface=home-assistant-bridge list=local-network-list
add interface=local-network-bridge list=local-network-list
/ip address
add address=192.168.10.1/24 interface=home-assistant-bridge network=\
192.168.10.0
add address=192.168.30.1/24 interface=local-network-bridge network=\
192.168.30.0
/ip dhcp-client
add disabled=no interface=ether1 use-peer-dns=no
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1 \
netmask=24
/ip dns
set allow-remote-requests=yes cache-size=4096KiB servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=0.0.0.0 comment=skun list=allowed-connections
add address=192.168.10.0/24 comment=local-addresses list=allowed-connections
add address=192.168.30.0/24 list=allowed-connections
add address=0.0.0.0 comment=temporary-ip-address list=\
allowed-connections
/ip firewall filter
add action=accept chain=forward comment=test dst-address=192.168.30.10 \
src-address=192.168.10.20 src-address-list=allowed-connections
add action=accept chain=forward dst-address=192.168.10.1 dst-port=2092 log=\
yes protocol=tcp
add action=accept chain=forward dst-address=192.168.30.10 dst-port=2092 log=\
yes protocol=tcp
add action=accept chain=forward comment=between-local-networks dst-address=\
192.168.30.0/24 src-address=192.168.10.0/24
add action=accept chain=output dst-address=192.168.30.0/24 src-address=\
192.168.10.0/24
add action=accept chain=input dst-address=192.168.10.0/24 src-address=\
192.168.30.0/24
add action=accept chain=forward dst-address=192.168.10.0/24 src-address=\
192.168.30.0/24
add action=accept chain=input comment=accept-established-related \
connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment=drop-invalid connection-state=invalid \
in-interface-list=wan-list
add action=drop chain=forward connection-state=invalid in-interface-list=\
wan-list
add action=drop chain=forward comment=drop-forward connection-nat-state=\
!dstnat in-interface=ether1
add action=drop chain=input comment="port-scanners" \
src-address-list=port-scanners
add action=add-src-to-address-list address-list=port-scanners \
address-list-timeout=none-dynamic chain=input in-interface-list=wan-list \
protocol=tcp psd=21,3s,3,1
add action=jump chain=forward comment="ddos" \
connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=wan-list \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
tcp-flags=syn
add action=accept chain=input comment=winbox dst-port=2092 in-interface=\
ether1 log=yes protocol=tcp src-address-list=allowed-connections
add action=accept chain=input comment=ping-wan icmp-options=8:0-255 \
in-interface=ether1 protocol=icmp
add action=accept chain=input comment=ping-local icmp-options=8:0-255 \
in-interface-list=local-network-list protocol=icmp
add action=accept chain=input comment=web-interface-only-local dst-port=80 \
in-interface-list=local-network-list protocol=tcp
add action=accept chain=input comment=ssh-only-local dst-port=22 \
in-interface-list=local-network-list protocol=tcp
add action=accept chain=input comment=api-only-local dst-port=8728 \
in-interface-list=local-network-list protocol=tcp
add action=accept chain=input comment=allow-dns dst-port=53 in-interface=\
!ether1 protocol=udp
add action=accept chain=input dst-port=53 in-interface=!ether1 protocol=tcp
add action=drop chain=input comment=drop-all in-interface=ether1
/ip firewall nat
add action=dst-nat chain=dstnat comment=to-homeassistant dst-port=8123 \
in-interface=ether1 protocol=tcp src-address-list=allowed-connections \
to-addresses=192.168.10.20 to-ports=8123
add action=src-nat chain=srcnat out-interface-list=wan-list src-address=\
192.168.10.0/24 to-addresses=LOCAL-IP
add action=src-nat chain=srcnat out-interface-list=wan-list src-address=\
192.168.30.0/24 to-addresses=LOCAL-IP
/ip service
set telnet disabled=yes
set ftp disabled=yes
set winbox port=2092
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia
/system identity
set name="MikroTik RB962UiGS-5HacT2HnT"
/tool graphing interface
add store-on-disk=no
/tool mac-server
set allowed-interface-list=local-network-list
/tool mac-server mac-winbox
set allowed-interface-list=local-network-list
/tool mac-server ping
set enabled=no
/tool romon
set enabled=yes secrets=0
Выключить правила фаера на вермя теста, выключить правила ната (вообще не понял для чего часть правил) кроме интернета, сбросить конешны, на CRS пописать маршрут
до сети асистанта или поднять dhcp-client на бридже с галкой дефроута.

Re: Проблема с подключением к CRS309 за hAP ac

Добавлено: 20 янв 2022, 22:54
Ca6ko
У Вас Romon включен, через него тоже не получается добраться?
Судя по всему на CRS309 нет маршрута 0.0.0.0/0 Gw192.168.30.1
Поэтому он не может работать по L3

Re: Проблема с подключением к CRS309 за hAP ac

Добавлено: 20 янв 2022, 22:58
Meta-Cooler
KaNelam писал(а): 20 янв 2022, 22:39 выключить правила ната (вообще не понял для чего часть правил) кроме интернета, сбросить конешны, на CRS пописать маршрут
до сети асистанта или поднять dhcp-client на бридже с галкой дефроута.
Часть правил осталось с "тестового полигона", так пробовал самые различные варианты.
Ca6ko писал(а): 20 янв 2022, 22:54 У Вас Romon включен, через него тоже не получается добраться?
К сожалению, да. Думал он станет панацеей, не помогло.

Спасибо за советы! Завтра утром перед работой обязательно попробую.

Re: Проблема с подключением к CRS309 за hAP ac

Добавлено: 20 янв 2022, 23:04
Ca6ko
Meta-Cooler писал(а): 20 янв 2022, 22:58 К сожалению, да. Думал он станет панацеей, не помогло.
Странно, он должен работать. Если конечно на CRS правильно настроен и сикрет одинаковый

Re: Проблема с подключением к CRS309 за hAP ac

Добавлено: 20 янв 2022, 23:13
Meta-Cooler
Ca6ko писал(а): 20 янв 2022, 23:04 Странно, он должен работать. Если конечно на CRS правильно настроен и сикрет одинаковый
Да, секрет одинаковый. Устройства друг-дуга видят в Discovery, на подключиться по указанному Address (MAC) через RoMON не могу.

Re: Проблема с подключением к CRS309 за hAP ac

Добавлено: 21 янв 2022, 07:28
Meta-Cooler
Большое спасибо, получилось! Отключил ручные настройки ip-адреса на bridge CRS309, удалил все записи из Route list, включил dhcp client с default route. После перезагрузки устройств и атоматического получения ip-адреса CRS309 от hAP AC, всё заработало.