2 ip от одного провайдера, трафик уходит не туда.

Тема в разделе "Общий форум", создана пользователем Александр-Викторович, 25 дек 2017.

  1. Александр-Викторович

    Александр-Викторович Новый участник

    Здравствуйте,
    Вопрос по не корректной работе/настройки роутера RB3011.
    В 2 словах картина следующая:
    От 1 провайдера есть 2 внешних ip адреса, предполагается, что ip1 адрес назначен на бридж "WAN" и используется для выхода в интернет (srcnat). В бридж добавлены 2 порта eth1 и eth7 с разных групп свитчей. В порт eth1 вставлен линк от провайдера в порт eth7 вставлен с ip2 роутер cisco который держит ipsec тунель для адресов 10.0.0.0/8
    Нат настроен на бридж, но проблема в том, что вдруг после манипуляций с fierwall rules (дроп на wan всех соединений с dst port 445 и OutInt wan) весь трафик пошел через 2 ip которой предназначен исключительно для ipsec тунеля.
    Странным образом перестали работать клиентские vpn pptp подключения, из сети к серверам в интернете. Вываливается 691 ошибка.
    Получается что если пинговать непосредственно шлюз провайдера по первому ip все идет правильно, если пинговать 8.8.8.8 пакеты идут через второй ip.
    1 <1 мс <1 мс <1 мс 10.18.133.129
    2 1 ms 1 ms 1 ms 81.23.119.157
    3 1 ms 1 ms 1 ms 93.174.247.242
    4 1 ms 1 ms 1 ms 93.174.247.241
    .....
    19 4 ms 4 ms 4 ms google-public-dns-a.google.com [8.8.8.8]
    Посмотрите опытным взглядом в чем ошибка. Заранее спасибо.
    /interface bridge
    add name=wan
    /interface ethernet
    set [ find default-name=ether5 ] comment="trunk vlan 1-10"
    /ip neighbor discovery
    set ether1 discover=no
    set sfp1 discover=no
    set wan discover=no
    /interface vlan
    add interface=ether5 name=vlan1 vlan-id=1
    add comment="to trunk cisco sw network 192.168.2.0/24" interface=ether5 name=vlan2 vlan-id=2
    add comment="WAN-1 81.24.125.x" interface=ether5 name=vlan3 vlan-id=3
    add comment="to trunk cisco sw network 10.18.133.0/25" interface=ether5 name=vlan4 vlan-id=4
    add comment="to trunk cisco sw network 10.18.133.128/25" interface=ether5 name=vlan5 vlan-id=5
    add comment="to trunk cisco sw network 172.16.1.0/24" interface=ether5 name=vlan6 vlan-id=6
    add interface=ether5 name=vlan7 vlan-id=7
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip firewall layer7-protocol
    add name=bittorrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"
    /ip pool
    add name=dhcp_pool2 ranges=10.18.133.20-10.18.133.126
    add name=dhcp_pool6 ranges=172.16.1.100-172.16.1.200
    /ip dhcp-server
    add address-pool=dhcp_pool2 disabled=no interface=vlan4 name=dhcp2
    add address-pool=dhcp_pool6 interface=vlan5 name=dhcp3
    add address-pool=dhcp_pool6 disabled=no interface=vlan6 lease-time=1d name=dhcp1
    /interface bridge port
    add bridge=wan interface=ether1
    add bridge=wan interface=ether7
    /ip address
    add address=10.18.133.1/25 comment="GW for network 10.18.133.0/25 on trunk to cisco switch vlan4" interface=vlan4 network=10.18.133.0
    add address=10.18.133.129/25 comment="GW network 10.18.133.128/25 on trunk to cisco switch vlan5" interface=vlan5 network=10.18.133.128
    add address=172.16.1.1/24 comment="FREE CLIENTS" interface=vlan6 network=172.16.1.0
    add address=192.168.2.1/24 comment="Client VPN SERVER network 192.168.2.50" interface=vlan2 network=192.168.2.0
    add address=10.18.251.110/30 comment="GW for IPSEC network 10.18.251.9/30 to cisco router " interface=ether6 network=10.18.251.108
    add address=81.24.125.226/30 comment="WAN internet on ether port 1" interface=wan network=81.24.125.224
    /ip dhcp-client
    add dhcp-options=hostname,clientid interface=ether1
    /ip dhcp-server network
    add address=10.18.133.0/25 dns-server=10.18.133.244,192.168.2.50 gateway=10.18.133.1
    add address=172.16.1.0/24 dns-server=81.23.96.138,81.24.99.2 gateway=172.16.1.1
    /ip firewall address-list
    add address=0.0.0.0/8 list=BOGON
    add address=10.0.0.0/8 list=BOGON
    add address=100.64.0.0/10 list=BOGON
    add address=127.0.0.0/8 list=BOGON
    add address=169.254.0.0/16 list=BOGON
    add address=172.16.0.0/12 list=BOGON
    add address=192.0.0.0/24 list=BOGON
    add address=192.0.2.0/24 list=BOGON
    add address=192.168.0.0/16 list=BOGON
    add address=198.18.0.0/15 list=BOGON
    add address=198.51.100.0/24 list=BOGON
    add address=203.0.113.0/24 list=BOGON
    add address=224.0.0.0/4 list=BOGON
    add address=240.0.0.0/4 list=BOGON
    /ip firewall filter
    add action=drop chain=input in-interface=wan src-address-list=BOGON
    add action=drop chain=forward connection-state=invalid
    add action=accept chain=forward disabled=yes dst-port=445 out-interface=wan protocol=tcp src-address=10.18.133.226
    add action=drop chain=forward dst-port=445 out-interface=wan protocol=tcp
    add action=add-src-to-address-list address-list="Blocked IP's" address-list-timeout=2w chain=input comment="blocked ports scaners" protocol=tcp psd=21,3s,3,1
    add action=drop chain=forward comment="P2P trafic" disabled=yes layer7-protocol=bittorrent
    add action=accept chain=input protocol=icmp
    add action=accept chain=forward protocol=icmp
    add action=accept chain=input connection-state=established connection-type=""
    add action=accept chain=forward connection-state=established
    add action=accept chain=input connection-state=related
    add action=accept chain=forward connection-state=related connection-type=""
    add action=accept chain=forward disabled=yes protocol=gre
    add action=accept chain=forward dst-port=1723 protocol=tcp
    add action=drop chain=input connection-state=new in-interface=!vlan5
    /ip firewall nat
    add action=masquerade chain=srcnat comment="SRC NAT if WAN on ether port 1 " out-interface=wan
    add action=dst-nat chain=dstnat dst-port=500 protocol=tcp to-addresses=192.168.2.50 to-ports=500
    add action=dst-nat chain=dstnat dst-port=1701 protocol=tcp to-addresses=192.168.2.50 to-ports=1701
    add action=dst-nat chain=dstnat dst-port=1723 protocol=tcp to-addresses=192.168.2.50 to-ports=1723
    add action=dst-nat chain=dstnat dst-port=4500 protocol=tcp to-addresses=192.168.2.50 to-ports=4500
    /ip route
    add check-gateway=ping distance=1 gateway=81.24.125.225
    add check-gateway=ping distance=1 dst-address=10.0.0.0/8 gateway=10.18.251.109
    /ip route rule
    add action=drop disabled=yes dst-address=10.18.133.0/25 src-address=172.16.1.0/24
    add action=drop disabled=yes dst-address=10.18.133.128/25 src-address=172.16.1.0/24
    add action=drop disabled=yes dst-address=192.168.2.50/32 src-address=172.16.1.0/24
    add action=drop disabled=yes dst-address=10.0.0.0/8 src-address=172.16.1.0/24
     
    Последнее редактирование: 25 дек 2017
  2. Александр-Викторович

    Александр-Викторович Новый участник

    Ошибка в том, что не было для цепочки dstnat указан интерфейс. Отсюда внутренним подключения на 1723 порт заворачивали в другую подсеть вместо Nat. DSTnat выполняется раньше SRCnat.
     
    Денис Друженков нравится это.