forum.opennet.ru

Составление сообщения

Исходное сообщение

"Mikrotik и GRE тунели"
Отправлено nops, 03-Окт-18 09:01

Доброго дня коллеги.
Я малость зашел в тупик и посему интересуюсь у вас.
Имеется 2 микротика, на обоих белые IP.
Соединяю их между собой GRE-тунелем с шифрованием.
Удаленный:
name="GRE_to_2706" mtu=auto actual-mtu=1406 local-address=1.1.1.1
      remote-address=2.2.2.2 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no
Локальный:
name="GRE_to_servers" mtu=auto actual-mtu=1406 local-address=2.2.2.2
      remote-address=1.1.1.1 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no
Маршруты настроены RIP
Прошу без холивара на тему "А зачем?!", "А почему?", просто проблема наблюдается только на одном туннеле, который описал выше, на других проблем не наблюдается.
Проблема заключается в том, что пинги проходят, а вот остальной трафик нет.
Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а во вторник хуяк и кончилось. Работ никаких на железе не производилось, только был добавлен IP-адрес в address-list и все.
Подскажите, куда можно копнуть, чтобы понять, что ему надо...
P.S.
Трассировка проходит без проблем:
$ traceroute 10.10.10.9
traceroute to 10.10.10.9 (10.10.10.9), 64 hops max, 52 byte packets
1  10.110.101.1 (10.110.101.1)  0.707 ms  0.313 ms  0.251 ms
2  192.168.90.5 (192.168.90.5)  2.580 ms  4.667 ms  2.385 ms
3  10.10.10.9 (10.10.10.9)  3.280 ms  2.921 ms  2.883 ms
Удаленная подсеть 10.10.10.0/24
Локальная сеть 10.110.101.0/24
При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной подсети юзают инет и у них все работает.
Скан портов все отображает:
$ nmap 10.10.10.9
Starting Nmap 7.70 ( https://nmap.org ) at 2018-10-03 11:26 YEKT
Nmap scan report for 10.10.10.9
Host is up (0.010s latency).
Not shown: 990 closed ports
PORT      STATE    SERVICE
135/tcp   open     msrpc
139/tcp   open     netbios-ssn
445/tcp   open     microsoft-ds
2179/tcp  open     vmrdp
3071/tcp  open     csd-mgmt-port
3389/tcp  filtered ms-wbt-server
49152/tcp open     unknown
49153/tcp open     unknown
49154/tcp open     unknown
49155/tcp open     unknown
Nmap done: 1 IP address (1 host up) scanned in 9.46 seconds
но почему-то рубит порт 3389, забегая вперед, брандмауэр отключен
[nops@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; AcessAll
      chain=input action=accept log=no log-prefix=""
1    ;;; AcessAll
      chain=output action=accept log=no log-prefix=""
2    ;;; Input for RBN
      chain=forward action=accept src-address-list=RBN_Local dst-address-list=RBN_Local log=no log-prefix=""
3    ;;; Input for RBN
      chain=input action=accept src-address-list=RBN log=no log-prefix=""
4    ;;; Output for RBN
      chain=output action=accept dst-address-list=RBN log=no log-prefix=""
5    chain=forward action=accept src-address-list=RBN dst-address-list=RBN log=no log-prefix=""
6    ;;; Allow PPTP
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
7    ;;; Allow L2TP
      chain=input action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix=""
8    ;;; Accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix=""
9    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23,22 log=no log-prefix=""
10 X  chain=input action=drop protocol=tcp in-interface=ether2-TTK dst-port=23,22 log=no log-prefix=""
11    chain=input action=drop protocol=udp in-interface=ether1-INSIS in-interface-list=all dst-port=53 log=no log-prefix=""
12 X  chain=input action=drop protocol=udp in-interface=ether2-TTK in-interface-list=all dst-port=53 log=no log-prefix=""
13 X  chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix=""
14 X  chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix=""
15 X  chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no log-prefix=""
16 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
17 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
18    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no log-prefix=""

Исходное сообщение
"Mikrotik и GRE тунели" Отправлено nops, 03-Окт-18 09:01
Доброго дня коллеги. Я малость зашел в тупик и посему интересуюсь у вас. Имеется 2 микротика, на обоих белые IP. Соединяю их между собой GRE-тунелем с шифрованием. Удаленный: name="GRE_to_2706" mtu=auto actual-mtu=1406 local-address=1.1.1.1 remote-address=2.2.2.2 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret" allow-fast-path=no Локальный: name="GRE_to_servers" mtu=auto actual-mtu=1406 local-address=2.2.2.2 remote-address=1.1.1.1 keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret" allow-fast-path=no Маршруты настроены RIP Прошу без холивара на тему "А зачем?!", "А почему?", просто проблема наблюдается только на одном туннеле, который описал выше, на других проблем не наблюдается. Проблема заключается в том, что пинги проходят, а вот остальной трафик нет. Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а во вторник хуяк и кончилось. Работ никаких на железе не производилось, только был добавлен IP-адрес в address-list и все. Подскажите, куда можно копнуть, чтобы понять, что ему надо... P.S. Трассировка проходит без проблем: $ traceroute 10.10.10.9 traceroute to 10.10.10.9 (10.10.10.9), 64 hops max, 52 byte packets 1 10.110.101.1 (10.110.101.1) 0.707 ms 0.313 ms 0.251 ms 2 192.168.90.5 (192.168.90.5) 2.580 ms 4.667 ms 2.385 ms 3 10.10.10.9 (10.10.10.9) 3.280 ms 2.921 ms 2.883 ms Удаленная подсеть 10.10.10.0/24 Локальная сеть 10.110.101.0/24 При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной подсети юзают инет и у них все работает. Скан портов все отображает: $ nmap 10.10.10.9 Starting Nmap 7.70 ( https://nmap.org ) at 2018-10-03 11:26 YEKT Nmap scan report for 10.10.10.9 Host is up (0.010s latency). Not shown: 990 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 2179/tcp open vmrdp 3071/tcp open csd-mgmt-port 3389/tcp filtered ms-wbt-server 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 9.46 seconds но почему-то рубит порт 3389, забегая вперед, брандмауэр отключен [nops@MikroTik] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; AcessAll chain=input action=accept log=no log-prefix="" 1 ;;; AcessAll chain=output action=accept log=no log-prefix="" 2 ;;; Input for RBN chain=forward action=accept src-address-list=RBN_Local dst-address-list=RBN_Local log=no log-prefix="" 3 ;;; Input for RBN chain=input action=accept src-address-list=RBN log=no log-prefix="" 4 ;;; Output for RBN chain=output action=accept dst-address-list=RBN log=no log-prefix="" 5 chain=forward action=accept src-address-list=RBN dst-address-list=RBN log=no log-prefix="" 6 ;;; Allow PPTP chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix="" 7 ;;; Allow L2TP chain=input action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix="" 8 ;;; Accept ICMP chain=input action=accept protocol=icmp log=no log-prefix="" 9 chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23,22 log=no log-prefix="" 10 X chain=input action=drop protocol=tcp in-interface=ether2-TTK dst-port=23,22 log=no log-prefix="" 11 chain=input action=drop protocol=udp in-interface=ether1-INSIS in-interface-list=all dst-port=53 log=no log-prefix="" 12 X chain=input action=drop protocol=udp in-interface=ether2-TTK in-interface-list=all dst-port=53 log=no log-prefix="" 13 X chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix="" 14 X chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix="" 15 X chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no log-prefix="" 16 X chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix="" 17 X chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix="" 18 chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no log-prefix=""

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Доброго дня коллеги. > Я малость зашел в тупик и посему интересуюсь у вас. > Имеется 2 микротика, на обоих белые IP. > Соединяю их между собой GRE-тунелем с шифрованием. > Удаленный: > name="GRE_to_2706" mtu=auto actual-mtu=1406 local-address=1.1.1.1 > remote-address=2.2.2.2 keepalive=10s,10 dscp=inherit > clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret" > allow-fast-path=no > Локальный: > name="GRE_to_servers" mtu=auto actual-mtu=1406 local-address=2.2.2.2 > remote-address=1.1.1.1 keepalive=10s,10 dscp=inherit > clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret" > allow-fast-path=no > Маршруты настроены RIP > Прошу без холивара на тему "А зачем?!", "А почему?", просто проблема наблюдается > только на одном туннеле, который описал выше, на других проблем не > наблюдается. > Проблема заключается в том, что пинги проходят, а вот остальной трафик нет. > Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а > во вторник хуяк и кончилось. Работ никаких на железе не производилось, > только был добавлен IP-адрес в address-list и все. > Подскажите, куда можно копнуть, чтобы понять, что ему надо... > P.S. > Трассировка проходит без проблем: > $ traceroute 10.10.10.9 > traceroute to 10.10.10.9 (10.10.10.9), 64 hops max, 52 byte packets > 1 10.110.101.1 (10.110.101.1) 0.707 ms 0.313 ms > 0.251 ms > 2 192.168.90.5 (192.168.90.5) 2.580 ms 4.667 ms > 2.385 ms > 3 10.10.10.9 (10.10.10.9) 3.280 ms 2.921 ms > 2.883 ms > Удаленная подсеть 10.10.10.0/24 > Локальная сеть 10.110.101.0/24 > При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной > подсети юзают инет и у них все работает. > Скан портов все отображает: > $ nmap 10.10.10.9 > Starting Nmap 7.70 ( https://nmap.org ) at 2018-10-03 11:26 YEKT > Nmap scan report for 10.10.10.9 > Host is up (0.010s latency). > Not shown: 990 closed ports > PORT STATE SERVICE > 135/tcp open msrpc > 139/tcp open netbios-ssn > 445/tcp open microsoft-ds > 2179/tcp open vmrdp > 3071/tcp open csd-mgmt-port > 3389/tcp filtered ms-wbt-server > 49152/tcp open unknown > 49153/tcp open unknown > 49154/tcp open unknown > 49155/tcp open unknown > Nmap done: 1 IP address (1 host up) scanned in 9.46 seconds > но почему-то рубит порт 3389, забегая вперед, брандмауэр отключен > [nops@MikroTik] > /ip firewall filter print > Flags: X - disabled, I - invalid, D - dynamic > 0 ;;; AcessAll > chain=input action=accept log=no log-prefix="" > 1 ;;; AcessAll > chain=output action=accept log=no log-prefix="" > 2 ;;; Input for RBN > chain=forward action=accept src-address-list=RBN_Local dst-address-list=RBN_Local > log=no log-prefix="" > 3 ;;; Input for RBN > chain=input action=accept src-address-list=RBN log=no log-prefix="" > 4 ;;; Output for RBN > chain=output action=accept dst-address-list=RBN log=no log-prefix="" > 5 chain=forward action=accept src-address-list=RBN dst-address-list=RBN log=no log-prefix="" > 6 ;;; Allow PPTP > chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix="" > 7 ;;; Allow L2TP > chain=input action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix="" > 8 ;;; Accept ICMP > chain=input action=accept protocol=icmp log=no log-prefix="" > 9 chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23,22 log=no > log-prefix="" > 10 X chain=input action=drop protocol=tcp in-interface=ether2-TTK dst-port=23,22 log=no > log-prefix="" > 11 chain=input action=drop protocol=udp in-interface=ether1-INSIS in-interface-list=all > dst-port=53 log=no log-prefix="" > 12 X chain=input action=drop protocol=udp in-interface=ether2-TTK in-interface-list=all > dst-port=53 log=no log-prefix="" > 13 X chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed > log=no log-prefix="" > 14 X chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix="" > 15 X chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no > log-prefix="" > 16 X chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m > log=no log-prefix="" > 17 X chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m > log=no log-prefix="" > 18 chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no > log-prefix=""
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру