Форум OlegON > Компьютеры и Программное обеспечение > Сеть > Сетевое оборудование > MikroTik

Завихрения маршрутизации или приключения пинга в Mikrotik

25.09.2020 7:17


07.09.2020 10:17
OlegON
 
Я уперся что-то в непонимании происходящего.
Итак, для обхода неправильно заблокированного, я приобрел VPN и заруливаю туда в случае необходимости заблокированное. Как-то упустил момент, когда это все сломалось. Прошу совета, заодно, может, пока опишу, сам что-то замечу...

Итак, в рутер воткнут PC. На рутере поднят VPN с локальным адресом 10.*.*.146 и удаленным 10.*.*.1, с PC они оба пингуются без проблем, интерфейс vpn.

все в сторону blocked меняют метку рутинга на vpn
Код:
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=blocked \
in-interface=!wan new-routing-mark=vpn passthrough=yes
рут для таких пакетов
Код:
/ip route
add comment="Blocked to VPN" distance=1 gateway=vpn routing-mark=vpn
соответственно, маскарадинг для выходящих наружу в vpn
Код:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=vpn
и тут начинаются чудеса... Добавил в blocked адрес, пингую его... Нет ответа. Вообще. 100% packet loss
Начинаю сниферить на самом рутере, вижу, что пакеты запроса пинга уходят и возвращаются ответы для .146 адреса, после чего их больше нигде нет :(

Из того, что бросилось в глаза, правило в nat срабатывает только один раз, в самом начале пинга. По идее это так и может быть, поскольку остальные пакеты идут по сложившемуся маршруту. Пока что-то понимания нет, что случилось... Но, если разбирать эти три шага, то первые два, вроде работает, раз пакеты уходят с PC в VPN. Третий работает, раз они возвращаются... Подозрения только на Settings в IP и на какие-то правила блокировок, но, вроде, все перебрал...
07.09.2020 10:21
OlegON
 
Для успокоения добавил в самое начало
Код:
/ip firewall filter                                                                                                                                     
add action=accept chain=input protocol=icmp                                                                                                             
add action=accept chain=forward protocol=icmp
пинга нет... Собственно, не только пинг, вообще никакие пакеты не возвращаются.
07.09.2020 11:12
baggio
 
а не может быть так что vpn начал следовать российским правилам и законам?
07.09.2020 11:13
baggio
 
и еще после добавления адреса blocked он не пингуется с PC или с самого миктота тоже?
что нам говорит traceroute?
07.09.2020 11:14
OlegON
 
нене, я туда совершенно обычный сайт запихнул, который мимо VPN вполне нормально пингуется.
07.09.2020 11:14
OlegON
 
и, да... пинги-то возвращаются, они пропадают в рутере на обратном пути...
07.09.2020 11:20
OlegON
 
Цитата:
baggio и еще после добавления адреса blocked он не пингуется с PC или с самого миктота тоже?
что нам говорит traceroute?
Вот с самого микрота оно пингуется мимо VPN, а если указать интерфейс, то опачки...

07.09.2020 11:23
OlegON
 
Код:
[olegon@oops ~]$ traceroute 195.201.201.32
traceroute to 195.201.201.32 (195.201.201.32), 30 hops max, 60 byte packets
 1  wall (192.168.8.1)  0.160 ms  0.191 ms  0.234 ms
 2  10.21.192.1 (10.21.192.1)  3.162 ms  3.259 ms  3.322 ms
 3  * * *
 4  * * *
 5  * * *
уходит в никуда после гейта...
07.09.2020 11:30
OlegON
 
смущает меня, что маскарадинг почему-то только на первый пакет срабатывает...
07.09.2020 13:01
OlegON
 
Вся работа парализована, ломаю голову, что случилось...
Примечательно, что локальные пинги почему-то игнорируют маркировку в mangle и уходят напрямую...

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.