Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Вечер добрый! Столкнулся с очень необычной проблемой.
Собственно, схема сети представлена на изображении. Проблема в чем: icmp (ping) и udp ходят без проблем из 10.4.0.0/20 в 10.1.0.0/16 и обратно. А вот TCP ходят успешно только из 10.4.0.0/20 в 10.1.0.0/16, а наоборот сразу же посылается TCP RST и соединение закрывается моментом. В чем дело - ума не приложу. Файерволл нормально закрытый. Пробовал отключать все запрещающие правила на обоих микротиках - толку 0. Коммутаторы Wi-Tek wi-ps150gf. Прошивка на обоих 7.6 версии. - здесь попытка соединиться по RDP с 10.1.2.5 ->10.4.15.253 - здесь соединение в пределах одной сети.
То же самое касается любых tcp-соединений, будь то smb или iperf3 по tcp. Сразу закрывается.
Асимметричный роутинг, 100%
Либо сбрасывается firewall'ом одного из роутеров как invalid, потому что он не видит ответных пакетов с нужными TCP-флагами.
Либо кто-то из них не с того адреса отвечает, на который к нему запрос пришел.
xvo писал(а): ↑14 дек 2022, 20:43
Асимметричный роутинг, 100%
Либо сбрасывается firewall'ом одного из роутеров как invalid, потому что он не видит ответных пакетов с нужными TCP-флагами.
Либо кто-то из них не с того адреса отвечает, на который к нему запрос пришел.
Спасибо большое)проблема решена
добавил на 1 роутере на 3 порт ипшник другой сети и также сделал со 2 роутером
и маршруты соответственно добавил симметрично
просто первоначально добавленный маршрут горел синим цветом, соотв. не работал. Что меня и сбивало с толку. А после перезапуска интерфейса, он становится черным и все работает.
единственное что, после перезагрузки он все равно синий....пока не выключишь ip -addresses ипшник для 3 порта, потов выкл вкл этот маршрут и обратно вкл ипшник в ip-addresses, тогда уже все черным и работает
недолго радость была, теперь совсем перестало работать при тех же настройках, и уже после вкл-выкл маршрут и ипшник (когда строчка черная, а не синяя).....это после перезагрузки rb3011
Слушайте, у вас устройство в каждой из сетей для доступа в другую ломится через свой маршрутизатор - поэтому трафик так и будет бегать 8кой - в одну сторону через один, обратно через другой.
Статическими маршрутами вы это не поправите.
Либо надо перестраивать топологию - сделать один прямой линк между маршрутизаторами, со своей транспортной сетью.
Либо пытаться усмирить firewall'ы - отключать правила на invalid и мириться с тем, что все соединения для обоих маршрутизаторов будут в каком-то непонятном статусе.
Спасибо
Сделаем 1 прямой линк между ними
А "со своей транспортной сетью" т.е. на 3 порту 1 маршрутизатора задать ипшник из совершенной другой сети и на 3 порту 2 маршрутизатора и той же другой сети второй ипшник?верно?
Последний раз редактировалось flaber98 15 дек 2022, 00:12, всего редактировалось 1 раз.
Почему такая схема не будет работать при текущей топологии? я понимаю, что это немного неправильно. Но по сути лишнее звено получается коммутатор в цепочке этой всей...
flaber98 писал(а): ↑15 дек 2022, 00:07
А "со своей транспортной сетью" т.е. на 3 порту 1 маршрутизатора задать ипшник из совершенной другой сети и на 3 порту 2 маршрутизатора и той же другой сети второй ипшник?верно?
Да.
И маршруты на существующие сети через адреса вот этой новой.
flaber98 писал(а): ↑15 дек 2022, 00:08
Почему такая схема не будет работать при текущей топологии? я понимаю, что это немного неправильно. Но по сути лишнее звено получается коммутатор в цепочке этой всей...
Не понял, зачем лишний коммутатор?
Если вы можете этот прямой линк (или даже два) прокинуть через существующие коммутаторы vlan'ами, то прекрасно, так и сделайте.
Только все равно в этих vlan'ах надо будет сделать отдельные сети, через которые и будет маршрутизация.
и с rb3011 сетка 10.1.0.0 НЕДОСТУПНА, т.е. с компа 10.4.15.253 нет пинга до 10.1.0.0/16
а вот с rb1100 сетка 10.4.0.0/20 ДОСТУПНА, т.е. с компа 10.1.7.5 есть пинг до 10.4.0.0/20
ПАРАДОКС. Все симметрично сделал, 10 раз перепроверил, файеры отключал на время (запрещ. правила на обоих одновременно) - и все также было.
Мне кажется это может какие-то баги в ROS 7.6, иначе это объяснить никак не могу.
НО. При этом с терминалов в winbox они пинговали друг друга в пределах сети 10.10.10.0/30.
Сейчас временно сделал глупую схему, но оно работает в обоих направлениях.А именно: оставил маршруты и ип адреса как есть на 3 портах (как описано выше), но на RB3011 4 порт соеденил с коммутатором сетки 10.1.0.0/16 и задал этому 4 порту адрес 10.1.1.2/16. Плюс на RB3011 имеется bridge1, ports 2 (LAN 10.4.0.0/20) и 4 (смотрит в удаленную сетку 10.1.0.0/16) в нем. А на RB1100 ни одного bridge нет.
Никаких объяснений у меня нет этому всему...либо я что-то не понимаю
- здесь попытка соединиться по RDP с 10.1.2.5 ->10.4.15.253
- здесь соединение в пределах одной сети.
