Здравствуйте. Помогите разобраться. С микротиком не очень давно работаю. Есть два сервера на белых айпишниках. Один дасстрой.ру за обычным домашним хуавеем, другой дастех.ру за микротиком. Пинг из дастех на дасстрой проходит нормально (из микротика на хуавей). А наоборот не проходит. Задача: нужно чтобы проходил пинг из дасстрой.ру на дастех.ру (из хуавея на микротик). Микротик первично настраивал провайдер при подключении белого айпишника. Я только донастроил проброс портов и правила для icmp подобавлял. Не получается заставить микротик прокидывать пинги через себя до сервера. Что я делаю не так? Спойлер: текущий конфиг микротика # mar/04/2022 17:09:43 by RouterOS 6.49rc2 # software id = BLLG-3HSH # # model = 2011UiAS-2HnD # serial number = 814407****** /interface bridge add admin-mac=641:54:65:92:E5 auto-mac=no comment=defconf name=bridge /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\ profile-wifi supplicant-identity="" wpa2-pre-shared-key="********" /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \ disabled=no distance=indoors frequency=auto hide-ssid=yes installation=\ indoor mode=ap-bridge security-profile=profile-wifi ssid=c*****2911 \ wireless-protocol=802.11 /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=ether9 add bridge=bridge comment=defconf interface=ether10 add bridge=bridge comment=defconf interface=sfp1 add bridge=bridge comment=defconf interface=wlan1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=\ 192.168.88.0 add address=10.12.54.11/24 interface=ether1 network=10.12.54.0 /ip dhcp-client add comment=defconf interface=ether1 /ip dhcp-server lease add address=192.168.88.19 comment=dastex mac-address=A8:A1:59:70:3A:C5 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\ 192.168.88.1 /ip dns set allow-remote-requests=yes servers=10.111.111.111,10.222.222.222 /ip dns static add address=192.168.88.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=forward comment="defconf: accept ICMP forward" \ protocol=icmp add action=accept chain=input icmp-options=8 protocol=icmp add action=accept chain=input icmp-options=11 protocol=icmp add action=accept chain=input icmp-options=3:4 protocol=icmp add action=accept chain=input comment=\ "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid disabled=yes add action=drop chain=input comment="defconf: drop all not coming from LAN" \ disabled=yes in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid disabled=yes add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new disabled=yes in-interface-list=WAN /ip firewall nat add action=dst-nat chain=dstnat comment="dastex ssh" dst-port=35222 \ in-interface-list=WAN protocol=tcp to-addresses=192.168.88.19 to-ports=22 add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN add action=dst-nat chain=dstnat comment="dastex https" dst-port=443 \ in-interface-list=WAN protocol=tcp to-addresses=192.168.88.19 to-ports=\ 443 add action=dst-nat chain=dstnat comment="dastex http" dst-port=80 \ in-interface-list=WAN protocol=tcp to-addresses=192.168.88.19 to-ports=80 add action=dst-nat chain=dstnat comment="dastex icmp" disabled=yes \ in-interface-list=WAN protocol=icmp to-addresses=192.168.88.19 /ip route add distance=1 gateway=10.12.54.254 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes port=8080 set ssh port=36841 set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN Спойлер: пинг дастех на дасстрой root@dastex:~# ping das-stroy.ru PING das-stroy.ru (92.253.235.198) 56(84) bytes of data. 64 bytes from 198.235.253.92.prosto-internet.com (92.253.235.198): icmp_seq=1 ttl=61 time=0.996 ms 64 bytes from 198.235.253.92.prosto-internet.com (92.253.235.198): icmp_seq=2 ttl=61 time=1.02 ms 64 bytes from 198.235.253.92.prosto-internet.com (92.253.235.198): icmp_seq=3 ttl=61 time=0.905 ms ^C --- das-stroy.ru ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 0.905/0.976/1.027/0.051 ms Спойлер: трассировка из дастеха на дасстрой root@dastex:~# traceroute das-stroy.ru traceroute to das-stroy.ru (92.253.235.198), 30 hops max, 60 byte packets 1 192.168.88.1 (192.168.88.1) 0.185 ms 0.265 ms 0.340 ms 2 10.12.54.254 (10.12.54.254) 2.382 ms 2.851 ms 3.286 ms 3 198.235.253.92.prosto-internet.com (92.253.235.198) 0.898 ms 0.949 ms 1.074 ms 4 198.235.253.92.prosto-internet.com (92.253.235.198) 1.596 ms 1.638 ms 1.681 ms Спойлер: пинг из дасстрой на дастех root@das-stroy:~# ping dastex.ru PING dastex.ru (92.253.235.231) 56(84) bytes of data. ^C --- dastex.ru ping statistics --- 11 packets transmitted, 0 received, 100% packet loss, time 10237ms Спойлер: трассировка из дасстрой на дастех root@das-stroy:~# traceroute dastex.ru traceroute to dastex.ru (92.253.235.231), 30 hops max, 60 byte packets 1 192.168.3.1 (192.168.3.1) 0.302 ms 0.343 ms 0.402 ms 2 197.235.253.92.prosto-internet.com (92.253.235.197) 2.972 ms 3.555 ms 3.639 ms 3 10.99.254.94 (10.99.254.94) 3.543 ms 3.539 ms 3.956 ms 4 * * * 5 10.99.253.14 (10.99.253.14) 1.466 ms 1.495 ms 1.553 ms 6 * * * 7 231.235.253.92.prosto-internet.com (92.253.235.231) 1.279 ms 1.272 ms 1.266 ms 8 * * * 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 * * * 17 * * * 18 * * * 19 * * * 20 * * * 21 * * * 22 * * * 23 * * * 24 * * * 25 * * * 26 * * * 27 * * * 28 * * * 29 * * * 30 * * * при пинге счётчик icmp в правиле фаерволла микротика увеличивается на единицу. На обоих серверах фаерволл отключил для отладки пинга. Куда копать, подскажите? Совсем запутался. обн.: по внутреннему адресу микротика в сети провайдера 10.12.54.11 пинг проходит.
