Маршрутизация. 1WAN и 2-е LAN. LAN-сетки не видят друг друга.

Тема в разделе "Маршрутизация", создана пользователем Dombay, 24 фев 2017.

  1. Dombay

    Dombay Новый участник

    Помогите пожалуйста c маршрутизацией

    Есть Микротик с такой конфигурацией.
    ether1 - WAN
    Bridge=ether2-master,ether2,ether3,wlan IP 192.168.25.1/24
    ether5 IP 192.168.0.165/24

    Проблема:
    Клиенты 192.168.0.0/24 и 192.168.25.0/24 без проблем ходят в интернет

    Но клиенты 192.168.0.0/24 и 192.168.25.0/24 не видят друг друга.
    т.е. например ping с 192.168.0.5 на 192.168.25.252 не проходит
    и наоборт с 192.168.25.252 не получается подключиться по RDP на 192.168.0.60

    Подскажите пожалуйста, в чем я накосячил.

    IpSec удалось настроить, а тут что-то забуксовал. :-(

    Конфиг - ниже


    # feb/21/2017 06:05:32 by RouterOS 6.38.1
    #
    /interface bridge
    add admin-mac=E4:8D:8C:AC:03:35 auto-mac=no comment=defconf name=bridge
    /interface ethernet
    set [ find default-name=ether1 ] comment=WAN
    set [ find default-name=ether2 ] comment="WI-FI 192.168.25.1" name=\
    ether2-master
    set [ find default-name=ether3 ] master-port=ether2-master
    set [ find default-name=ether4 ] master-port=ether2-master
    set [ find default-name=ether5 ] comment="LOCAL 192.168.0.165"
    /interface ipip
    add allow-fast-path=no ipsec-secret=0-Parmezan4ik=20 !keepalive local-address=\
    195.24.154.22 name=DN<->KHE remote-address=194.79.21.2
    /ip neighbor discovery
    set ether1 discover=no
    /interface wireless security-profiles
    set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys wpa-pre-shared-key=poliwf41 wpa2-pre-shared-key=poliwf41
    add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=wifi \
    supplicant-identity="" wpa-pre-shared-key=poliwf41 wpa2-pre-shared-key=\
    poliwf41
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors \
    frequency=auto mode=ap-bridge security-profile=wifi ssid=IT-MIKROTIK \
    wireless-protocol=802.11
    /interface wireless nstreme
    set wlan1 enable-polling=no
    /ip ipsec proposal
    set [ find default=yes ] enc-algorithms=aes-128-cbc,3des
    /ip pool
    add name=dhcp ranges=192.168.25.10-192.168.25.254
    /ip dhcp-server
    add address-pool=dhcp disabled=no interface=bridge lease-time=10h10m name=\
    dhcpwifi
    /tool user-manager customer
    set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2-master
    add bridge=bridge comment=defconf interface=wlan1
    /ip address
    add address=192.168.25.1/24 comment=defconf interface=bridge network=\
    192.168.25.0
    add address=195.24.154.22/30 interface=ether1 network=195.24.154.20
    add address=192.168.0.165/24 interface=ether5 network=192.168.0.0
    /ip dhcp-client
    add comment=defconf dhcp-options=hostname,clientid interface=ether1
    /ip dhcp-server network
    add address=192.168.25.0/24 comment=defconf dns-server=\
    195.24.128.65,195.24.128.164,192.168.0.1,192.168.0.40 domain=polyfarb \
    gateway=192.168.25.1 netmask=24 ntp-server=192.168.0.1
    /ip dns
    set allow-remote-requests=yes servers=195.24.128.65,195.24.128.164,8.8.8.8
    /ip dns static
    add address=192.168.25.1 name=mikrotik
    /ip firewall filter
    add action=accept chain=forward connection-state=established,related \
    dst-address=172.16.0.0/21 src-address=192.168.0.0/16
    add action=accept chain=input comment=KHE:IP-Sec dst-port=500 protocol=udp
    add action=accept chain=input protocol=ipsec-esp
    add action=accept chain=input protocol=ipsec-ah
    add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
    add action=accept chain=input protocol=udp
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
    add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes \
    in-interface=ether1
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
    add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
    add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
    /ip firewall nat
    add action=accept chain=srcnat comment=To_Kherson disabled=yes dst-address=\
    172.16.0.0/21 src-address=192.168.0.0/16
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=ether1
    add action=accept chain=srcnat disabled=yes dst-address=192.168.25.0/24 \
    src-address=192.168.0.0/24
    /ip ipsec peer
    add address=194.79.21.2/32 disabled=yes nat-traversal=no secret=0-Parmezan4ik=20
    /ip ipsec policy
    set 0 disabled=yes
    add disabled=yes dst-address=172.16.0.0/21 sa-dst-address=194.79.21.2 \
    sa-src-address=195.24.154.22 src-address=192.168.0.0/16 tunnel=yes
    /ip route
    add check-gateway=ping distance=1 gateway=195.24.154.21
    add distance=1 dst-address=172.16.0.0/21 gateway=DN<->KHE
    add check-gateway=ping distance=1 dst-address=192.168.0.0/16 gateway=\
    192.168.0.1
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ip upnp
    set enabled=yes
    /ip upnp interfaces
    add interface=bridge type=internal
    add interface=ether1 type=external
    add interface=ether5 type=internal
    add interface=ether2-master type=internal
    add interface=ether3 type=internal
    add interface=ether4 type=internal
    /system clock
    set time-zone-name=Europe/Kiev
    /system ntp client
    set enabled=yes primary-ntp=192.168.0.1
    /system ntp server
    set enabled=yes
    /system routerboard settings
    set init-delay=0s
    /tool mac-server
    set [ find default=yes ] disabled=yes
    add interface=bridge
    /tool mac-server mac-winbox
    set [ find default=yes ] disabled=yes
    add interface=bridge
    /tool user-manager database
    set db-path=user-manager
     
  2. None

    None Новый участник

    причин неработоты может быт 3:
    1. фаервол
    у вас в правилах не вижу запрещающего правила на forward между сетями
    2. маршрутизация
    тут должно все быть нормально, но на всякий случай покажите ip route print detail
    3. фаерволы на ПК, тут дело вот в чем, даже встроенный в windows брандмауэр блокирует пакеты из "чужой" сети, для ПК из сети 192.168.0.0/24 пакеты из сети 192.168.25.0/24 являются "чужими", и с высокой вероятностью им дропаются, не говоря об установленных на ПК защитного ПО (антивирусы/фаерволы), на время теста отключите все защитное ПО (антивирусы/сетевые экраны)

    скорей всего причина в 3

    по поводу фаервола, каждый конечно настраивает как хочет, но есть основные принципы и рекомендации, например, никакая фильтрация не должна осуществляться в NAT

    если все же пинг не заработает, попробуйте по очереди отключать, на время проверки, запрещающие правила в firewall filter (может я чего не досмотрел в конфиге), так методом исключения можно найти правило которое блокирует прохождение пакетов.
     
  3. Dombay

    Dombay Новый участник

    ip route print detail
    Flags: X - disabled, A - active, D - dynamic,
    C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
    B - blackhole, U - unreachable, P - prohibit
    0 A S dst-address=0.0.0.0/0 gateway=195.24.154.21
    gateway-status=195.24.154.21 reachable via ether1 check-gateway=ping
    distance=1 scope=30 target-scope=10

    1 A S dst-address=172.16.0.0/21 gateway=DN<->KHE
    gateway-status=DN<->KHE reachable distance=1 scope=30 target-scope=10

    2 ADC dst-address=192.168.0.0/24 pref-src=192.168.0.165 gateway=ether5
    gateway-status=ether5 reachable distance=0 scope=10

    3 ADC dst-address=192.168.25.0/24 pref-src=192.168.25.1 gateway=bridge
    gateway-status=bridge reachable distance=0 scope=10

    4 ADC dst-address=195.24.154.20/30 pref-src=195.24.154.22 gateway=ether1
    gateway-status=ether1 reachable distance=0 scope=10
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Файрволл винды скорее всего.
     
  5. Dombay

    Dombay Новый участник

    Файрволл специально потушен на 2-х компах. 192.168.0.60 и 192.168.25.252.
    Кое что добавил в конфиг.

    Но ситуация стала еще непонятнее для меня.
    Между клиентами 192.168.0.0/24 и 192.168.25.0/24 получился какой-то диод
    т.е. например ping с 192.168.0.60 на 192.168.25.252 проходит,
    а пинг с 192.168.25.252 на 192.168.0.60 не проходит.
    И не получается подключиться по RDP с 192.168.25.252 на 192.168.0.60 (терм. сервер)

    Во вложении файл с конфигурацие, который был получен командой
    export file=config_backup_20170227.rsc

    Подскажите пожалуйста, в чем я накосячил?

    /ip firewall filter
    add action=accept chain=forward connection-state=established,
    related \
    dst-address=172.16.0.0/21 src-address=192.168.0.0/16
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
    Для IpSec-туннеля необходимо?

    add action=accept chain=forward dst-address=192.168.25.0/24 in-interface=\
    ether5 out-interface=bridge src-address=192.168.0.0/24
    ^^^^^^^^^^^^^^^^^^
    Для прохода с 192.168.0.0/24 на 192.168.25.0/24 необходимо?

    add action=accept chain=forward dst-address=192.168.0.0/24 in-interface=\
    bridge out-interface=ether5 src-address=192.168.25.0/24
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
    Для прохода с 192.168.25.0/24 на 192.168.0.0/24 необходимо?
    И по нату?
    /ip firewall nat
    add action=accept chain=srcnat comment=To_Kherson disabled=yes dst-address=\
    172.16.0.0/21 src-address=192.168.0.0/16
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^
    Необходимо, чтобы туннель не маскарадился? Сейчас он отключен.
    Необходимо включить?
    add action=accept chain=srcnat dst-address=192.168.25.0/24 src-address=\
    192.168.0.0/24
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^
    Необходимо, чтобы пакеты между сетями не маскарадились?
    add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
    192.168.25.0/24
    Необходимо, чтобы пакеты между сетями не маскарадились?

    Поправьте меня пожалуйста, если я в чем-то ошибаюсь.

    Огромное спасибо.
     

    Вложения:

  6. Илья Князев

    Илья Князев Администратор Команда форума

    Я не понял при чем тут IPSec. У вас между роутерами IPSec?
     
  7. Dombay

    Dombay Новый участник

    Да, в другом городе тоже стоит такой же Mikrotik и между роутерами поднят ipsec в качестве корпоративного канала.
    С той стороны живет сетка: 172.16.0.0/21 (в другом городе)
    Эта сетка без проблем видна и все работает.
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    А второй роутер ?
     
  9. Dombay

    Dombay Новый участник

    Такой же микротик. Только у него в качестве LAN - bridge из 4-х портов и wlan
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    Все-таки дайте конфиг обоих роутеров
     
  11. Dombay

    Dombay Новый участник

    Конфиг 2-го роутера.

    # mar/07/2017 12:07:32 by RouterOS 6.38.1
    # software id = 6T7A-286J
    #
    /interface bridge
    add name=Office
    /interface ethernet
    set [ find default-name=ether3 ] master-port=ether2
    set [ find default-name=ether4 ] master-port=ether2
    set [ find default-name=ether5 ] master-port=ether2
    /interface ipip
    add allow-fast-path=no ipsec-secret=20-SorbonA-17 !keepalive local-address=\
    194.79.21.2 name=KHE-<->DN1 remote-address=195.24.154.22
    /ip neighbor discovery
    set ether1 discover=no
    /interface wireless security-profiles
    add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=POLYMER supplicant-identity="" \
    wpa2-pre-shared-key=zaqxswcde321
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    country=ukraine disabled=no frequency=auto mode=ap-bridge \
    security-profile=POLYMER ssid=POLYMER wireless-protocol=802.11
    /ip ipsec proposal
    set [ find default=yes ] enc-algorithms=aes-128-cbc,3des
    /ip pool
    add name=default-dhcp ranges=192.168.88.10-192.168.88.254
    /ip dhcp-server
    add address-pool=default-dhcp name=defconf
    /interface bridge port
    add bridge=Office interface=wlan1
    add bridge=Office interface=ether2
    /ip address
    add address=172.16.1.2/24 comment=LAN interface=Office network=172.16.1.0
    add address=194.79.21.2/30 interface=ether1 network=194.79.21.0
    add address=193.109.129.39/27 interface=ether1 network=193.109.129.32
    /ip dhcp-server network
    add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
    /ip dns
    set allow-remote-requests=yes
    /ip dns static
    add address=192.168.88.1 name=router
    /ip firewall filter
    add action=accept chain=forward connection-state=established,related \
    disabled=yes dst-address=192.168.0.0/16 src-address=172.16.0.0/21
    add action=accept chain=input comment=IPSec dst-port=500 protocol=udp
    add action=accept chain=input protocol=ipsec-esp
    add action=accept chain=input protocol=ipsec-ah
    add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
    add action=accept chain=input protocol=udp
    add action=accept chain=input comment="accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept establieshed,related" \
    connection-state=established,related
    add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes \
    in-interface=ether1
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
    add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
    add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
    /ip firewall nat
    add action=accept chain=srcnat comment=To_Dnepr dst-address=192.168.0.0/16 \
    src-address=172.16.0.0/21
    add action=masquerade chain=srcnat out-interface=ether1
    add action=dst-nat chain=dstnat comment="Kerio VPN" dst-port=4090 \
    in-interface=ether1 protocol=tcp to-addresses=172.16.1.1 to-ports=4090
    add action=dst-nat chain=dstnat dst-port=4090 in-interface=ether1 protocol=\
    udp to-addresses=172.16.1.1 to-ports=4090
    add action=dst-nat chain=dstnat comment=Mail dst-port=25 in-interface=ether1 \
    protocol=tcp to-addresses=172.16.1.1 to-ports=25
    add action=dst-nat chain=dstnat dst-port=110 in-interface=ether1 protocol=tcp \
    to-addresses=172.16.1.1 to-ports=110
    add action=dst-nat chain=dstnat dst-port=3000 in-interface=ether1 protocol=\
    tcp to-addresses=172.16.1.1 to-ports=3000
    /ip ipsec peer
    add address=195.24.154.22/32 disabled=yes nat-traversal=no secret=\
    20-SorbonA-17
    /ip ipsec policy
    set 0 disabled=yes
    add disabled=yes dst-address=192.168.0.0/16 sa-dst-address=195.24.154.22 \
    sa-src-address=194.79.21.2 src-address=172.16.0.0/21 tunnel=yes
    /ip route
    add distance=1 gateway=194.79.21.1
    add distance=1 dst-address=172.16.5.0/24 gateway=172.16.1.1
    add distance=1 dst-address=192.168.0.0/16 gateway=KHE-<->DN1
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    /system clock
    set time-zone-name=Europe/Kiev
    /system leds
    set 0 interface=wlan1
    /system ntp client
    set enabled=yes primary-ntp=82.193.117.90 secondary-ntp=91.236.251.29
    /system ntp server
    set broadcast=yes enabled=yes multicast=yes
    /system routerboard settings
    set init-delay=0s
    /tool mac-server
    set [ find default=yes ] disabled=yes
    add
    /tool mac-server mac-winbox
    set [ find default=yes ] disabled=yes
    add
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

    Попробуйте откатиться на 6.37.4 и убрать в файрвол дроп инвалид на форварде.