Направленный broadcast

Тема в разделе "Маршрутизация", создана пользователем Dmitry_S, 5 май 2016.

  1. Dmitry_S

    Dmitry_S Участник

    Здравствуйте!
    Имеется три сети, связанные через VPN. Роутеры "1" и "2" - RB951Ui-2HnD, "3" - RB951G-2HnD, прошивки последние (6.35.1).
    Роутер "1" выступает в качестве L2TP и PPTP-сервера.
    Роутер "2" подключен к роутеру "1" по L2TP.
    Роутер "3" подключен по L2TP к интернету (билайн), поверх него PPTP-подключение к роутеру "1".
    В сетях "1" и "2" имеется дополнительные файерволы (всё разрешено).
    Маршруты на сети прописаны, из любой сети пингуется любой хост в другой сети.
    NetShema.jpg
    Для включения компьютера в сети "1" - 192.168.55.0 посылаю "magic packet" на адрес 192.168.55.255 (т.н. WoL). Это я могу сделать находясь в любой сети. Аналогично с сетью "2" - 192.168.21.0. Другими словами, компьютеры в сетях "1" и "2" я могу включить находясь в любой сети, в том числе и из сети "3".
    Но вот комп в сети "3" - 192.168.9.0 я могу включить только находясь в этой же сети!

    Не могу понять, почему роутер в сети "3" режет этот трафик на вход?
    Если на нем в файервол добавить правило:
    • chain=forward action=accept protocol=udp dst-port=7,9 log=yes
    то судя по логу, правило не отрабатывает.
    Если:
    • chain=input action=accept protocol=udp dst-port=7,9 log=yes
    то видно, что пакет в правило попадает, но всё равно дальше файервола не проходит.

    Помогите разобраться
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Подозреваю что на роутере-3 MTU надо на PPTP интерфейсе уменьшить с учетом того, что он через L2TP идет.
     
  3. Dmitry_S

    Dmitry_S Участник

    Добрый вечер, Илья! Спасибо за отклик!
    Попробовал уменьшить MTU до 1300 - не помогло (

    Похоже, нашел закономерность, почему пакет не проходит в третью сеть - там отсутствует "транзитная сеть" (как в 1-ой и 2-ой сети - сеть перед файерволом).
    Попробовал пустить пакет из сети "2" на адрес 172.16.55.255 (это сеть перед файерволом) - аналогично! Пакет "проглотил" роутер.
    log2.JPG

    Если из сети "2" отправить пакет на адрес 172.16.55.255, то он попадает в цепочку "input", а если на адрес 192.168.55.255 - то в цепочку "forward"
    Но, почему-то, я не могу принудительно разрешить этот трафик на роутере. Правило есть, и видно, что пакет проходит через него, но роутер все равно его глушит.
    frw.JPG

    Илья, как вы считаете, что тут можно сделать?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Не думаю что вы правы. Транзитная сеть у вас таки есть. Просто она /32
    Значит этот адрес принадлежит маршрутизатору. Или роутер не знает как доставить пакет на этот адрес.
    Посмотрите, у вас там в NAT не напутано?
     
  5. Dmitry_S

    Dmitry_S Участник

    Возможно, я плохо объяснил.
    Компьютер в сети "3" подключен в порт микротика.
    Компьютеры в сети "1" и "2" подключены к файерволу "Kerio Control" (комп с двумя сетевыми картами - первая карта в сеть, вторая в порт пикротика). Вот между второй картой Kerio и микротиком - "транзитная" сеть.
    Да, это понятно, что адрес принадлежит маршрутизатору. Везде говорят, что маршрутизатор режет широковещательный трафик. Вопрос - как заставить его не резать?
    Посмотрел еще раз более тщательно - нет, ничего не напутано. Пинги и трассировка к любому узлу из любой сети проходят.
     
    Последнее редактирование: 8 май 2016
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Поднять L2 VPN. Например pptp|l2tp bcp
     
  7. Dmitry_S

    Dmitry_S Участник

    Илья, спасибо за наводку! В ближайшее время попробую настроить bcp
     
  8. Dmitry_S

    Dmitry_S Участник

    Посмотрел мануал по настройке BCP bridging - а в чем там фишка? Я должен все локальные интерфейсы в одной сети сделать?
     
    Последнее редактирование: 9 май 2016
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Да. При этом у вас будет проходить бродкаст )
     
  10. Dmitry_S

    Dmitry_S Участник

    Не очень удобный вариант для меня, мягко говоря...
    Нежели больше ничего нельзя сделать?
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Даже не знаю. Ну как вариант. Ловить на микротике обращение по портам 7 и 9 UDP, заносить такое обращение в Address-list.
    Написать скрипт. Если в адрес-листе что-нибудь есть то выполнить
    tool wol interface=ether1 mac=11:22:33:44:55:66
     
    Mama и Dmitry_S нравится это.
  12. Dmitry_S

    Dmitry_S Участник

    Илья, огромная благодарность! Я и не знал, что в микротике есть wol. Это именно то, что мне нужно! Меня вполне устраивает отправка magic-пакета вручную с роутера.

    Блин, и как это я в мануале проморгал... И ведь когда-то искал там wol, а надо было wake on lan смотреть... Вот блин! рука-лицо...