Поясните почему работает не корректно

Тема в разделе "Вопросы начинающих", создана пользователем ev83gen, 6 апр 2017.

  1. ev83gen

    ev83gen Новый участник

    Есть два микротика мк1 и мк2.
    ---мк1 имеет внешний ip адрес допустим 1.1.1.1
    находится в локальной сети 2.2.2.0/24
    имеет внутренний адрес 2.2.2.1
    на нем запущен сервер OpenVPN, который поднимает сеть 1.1.2.0/24
    в этой сети он имеет ip-адрес 1.1.2.1
    ---мк2, не имеет внешнего адреса, подключается по OpenVPN к мк1 на ip адрес 1.1.1.1,
    в сети OpenVPN получает ip-адрес 1.1.2.3
    сам находится в локальной сети 3.3.3.0/24
    имеет внутренний адрес 3.3.3.1
    в этой же сети есть два устройства 3.3.3.4 и 3.3.3.5.
    --И вот тут проблема я из сети 2.2.2.0 с помощью команды ping вижу 3.3.3.4, а вот 3.3.3.5 не вижу.
    в firewall настройки общие ко всей сети, отдельно разрешений для ip:3.3.3.4 или отдельно запретов для ip:3.3.3.5 никаких нет.
    --Бридж сконфигурирован стандартно: 2 порт мастер, остальные его slave, кроме 1-го порта, он wan.
    При команде tracert из сети 2.2.2.0/24 :


    Трассировка маршрута к 3.3.3.4 с максимальным числом прыжков 30

    1 <1 мс <1 мс <1 мс 2.2.2.1
    2 6 ms 6 ms 6 ms 1.1.2.3
    3 7 ms 7 ms 6 ms 3.3.3.4

    Трассировка завершена.

    C:\Users\lesovoiro>tracert 3.3.3.5

    Трассировка маршрута к 3.3.3.5 с максимальным числом прыжков 30

    1 <1 мс <1 мс <1 мс 2.2.2.1
    2 6 ms 6 ms 6 ms 1.1.2.3
    3 * * * Превышен интервал ожидания для запроса.


    Получается что вроде маршрут известен и все должно работать, но не работает.
    запрос с моей сети уходит в удаленную сеть, а там на микротике не может из сети OpenVPN в физическую достучаться.
    В физической сети всего около 30 ip адресов, 10 статических, остальные по dhcp.
    и вот в этих 10 статических и есть три ip-адреса, которые ведут себя как 3.3.3.5, включая и его.
    Кто что скажет по этому поводу?
     
  2. Kato

    Kato Участник

    схему и конфиг
     
  3. ev83gen

    ev83gen Новый участник

    конфиг пойдет с команды export compact??
     
  4. ev83gen

    ev83gen Новый участник

    Конфиг:

    [admin@R_neft9] > export compact
    # apr/06/2017 13:09:52 by RouterOS 6.37.3
    # software id = 482B-5QW1
    #
    /interface bridge
    add admin-mac=E4:8D:8C:4F:9D:A7 auto-mac=no comment=defconf name=bridge
    /interface ethernet
    set [ find default-name=ether2 ] name=ether2-master
    set [ find default-name=ether3 ] master-port=ether2-master
    set [ find default-name=ether4 ] master-port=ether2-master
    set [ find default-name=ether5 ] master-port=ether2-master
    /interface pppoe-client
    add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    password=00000 use-peer-dns=yes user=0000
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
    ssid=Avicenna wireless-protocol=802.11
    /ip neighbor discovery
    set ether1 discover=no
    set bridge comment=defconf
    /interface wireless security-profiles
    set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=3f9a6b3e1c \
    wpa2-pre-shared-key=3f9a6b3e1c
    /ip pool
    add name=dhcp ranges=10.0.20.21-10.0.20.254
    /ip dhcp-server
    add address-pool=dhcp disabled=no interface=bridge lease-time=1h10m name=\
    defconf
    /interface sstp-client
    add authentication=mschap2 certificate=neft9.crt_0 connect-to=1.1.1.1 \
    name=abk_sstp password=0000 profile=default-encryption user=000
    /interface ovpn-client
    add certificate=000.crt_0 cipher=aes128 connect-to=1.1.1.1 mac-address=\
    02:F1:5A:EC:EB:FC name=000 password=00000 profile=default-encryption user=\
    0000
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2-master
    add bridge=bridge comment=defconf interface=wlan1
    /ip address
    add address=10.0.20.1/24 comment=defconf interface=ether2-master network=\
    10.0.20.0
    /ip dhcp-client
    add comment=defconf dhcp-options=hostname,clientid interface=ether1
    /ip dhcp-server network
    add address=10.0.20.0/24 comment=defconf dns-server=192.168.3.245 gateway=\
    10.0.20.1 netmask=24
    /ip dns
    set allow-remote-requests=yes servers=192.168.3.245
    /ip dns static
    add address=10.0.20.1 name=router
    /ip firewall filter
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
    add action=accept chain=forward dst-port="" protocol=udp src-address=\
    192.168.3.5 src-port=""
    add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
    add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=pppoe-out1
    add action=accept chain=input protocol=icmp
    add action=accept chain=input connection-state=established,related
    add action=drop chain=input in-interface=pppoe-out1
    /ip firewall nat
    add action=netmap chain=dstnat dst-port=00000 protocol=tcp to-addresses=\
    10.0.20.3 to-ports=50000
    add action=netmap chain=dstnat disabled=yes dst-port=0000 protocol=tcp \
    to-addresses=10.0.20.9 to-ports=0000
    add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    pppoe-out1
    /ip firewall service-port
    set sip disabled=yes
    /ip route
    add distance=1 dst-address=10.0.10.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.11.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.12.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.13.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.14.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.15.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.16.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.17.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.18.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.19.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.21.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.22.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.23.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.24.0/24 gateway=192.168.100.1
    add distance=1 dst-address=10.0.25.0/24 gateway=192.168.100.1
    add distance=1 dst-address=192.168.3.0/24 gateway=192.168.100.1
    add distance=1 dst-address=192.168.88.0/24 gateway=192.168.100.1
    add distance=1 dst-address=192.168.89.0/24 gateway=192.168.100.1
    /ip service
    set www disabled=yes
    /system clock
    set time-zone-name=Asia/Yekaterinburg
    /system identity
    set name=R_00
    /system ntp client
    set enabled=yes primary-ntp=192.168.3.245 secondary-ntp=0.0.0.0
    /system routerboard settings
    set protected-routerboot=disabled
    /tool mac-server
    set [ find default=yes ] disabled=yes
    add interface=bridge
    /tool mac-server mac-winbox
    set [ find default=yes ] disabled=yes
    add interface=bridge
     
  5. ev83gen

    ev83gen Новый участник

  6. Илья Князев

    Илья Князев Администратор Команда форума

    Файрвол на 3.3.3.5 или неправильный шлюз на нем же.
     
  7. ev83gen

    ev83gen Новый участник

    это управляемый свитч, на нем только ip и маска сети, нет не шлюза не файрвола.
    Да и с локальной то сети я него захожу и вижу его, какая то беда в микротике, толко вот какая
     
  8. None

    None Новый участник

    Wireshark на 3.3.3.5 и пингуйте его

    с высокой долей вероятности это фаервол на 3.3.3.5
    если до других узлов в той же сети пинг есть а до него нет, то это фаервол

    еще можно в торче посмотреть на LAN интерфейсе, уходят ли icmp пакеты на 3.3.3.5
     
  9. ev83gen

    ev83gen Новый участник

    Это свитч 3Com4500, firewall у него нет, acl не настроены, а вот настроек шлюза нет, получается он не знает куда отвечать что ли.

    не понял что за
     
  10. Dmitry_S

    Dmitry_S Участник

    Если у свитча есть IP, то и настройки шлюза есть, не говорите ерунды! Скорее всего, у него в разделе "routing" правильный маршрут прописать нужно
     
    ev83gen нравится это.
  11. ev83gen

    ev83gen Новый участник

    Я не ерунду говорю, я ТУПЛЮ очень и очень жестко, спасибо тебе, добрый человек, что указываешь на недостатки наши. Все работает, вопрос решен.