█ 08.09.2020 16:40
Почему локальные пинги идут мимо - разобрался. Локальные в prerouting вообще не попадают (внезапно).
Пинги из VPN приходят... На внутренний адрес этого VPN. И... Куда они деваются...
Пинги из VPN приходят... На внутренний адрес этого VPN. И... Куда они деваются...
█ 09.09.2020 10:35
Продолжаю бороться.
Захожу в Raw, ставлю правило icmp - passthrough - log, вижу ответы пингу
Захожу в Mangle, ставлю правило icmp - passthrough - log, вижу ответы пингу
Вот в NAT и Filter пакетов уже нет... Хрень какая-то...
Захожу в Raw, ставлю правило icmp - passthrough - log, вижу ответы пингу
Захожу в Mangle, ставлю правило icmp - passthrough - log, вижу ответы пингу
Вот в NAT и Filter пакетов уже нет... Хрень какая-то...
█ 09.09.2020 22:04
не знаю, как раньше искал, но в Filter пакет нашелся... И тут я вообще в тупик попал...
вот, смотрим, как в mangle пакет выглядит...
идет из vpn с .32, куда его и посылали...
и... как в Filter...
как это он, вдруг, с wan и внешнего инет-адреса-то пошел?!
вот, смотрим, как в mangle пакет выглядит...
Код:
prerouting: in:vpn out:(unknown 0), proto ICMP (type 0, code 0), 195.201.201.32->10.121.241.126, NAT 195.201.201.32->(10.121.241.126->192.168.88.70), len 84
и... как в Filter...
Код:
forward: in:wan out:bridge, src-mac 00:00:хх:00:хх:хх, proto ICMP (type 0, code 0), 195.201.201.32->192.168.88.70, NAT 195.201.201.32->(77.37.184.187->192.168.88.70), len 84
как это он, вдруг, с wan и внешнего инет-адреса-то пошел?! █ 09.09.2020 23:04
В общем, опять в Filter пропал...
█ 11.09.2020 10:03
Помогите, пожалуйста, идеями? Я уже все грохнул, включая интерфейс VPN, перезавел без бумажки, но результат такой же :(
█ 12.09.2020 08:54
Интересно, что так
не работает, а стоит изменить только рут на
и 195.201.201.32 начинает пинговаться...
Код:
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=blocked \
new-routing-mark=vpn passthrough=no
/ip route
add distance=5 gateway=vpn routing-mark=vpn Код:
/ip route add distance=5 dst-address=195.201.201.32/32 gateway=vpn
█ 15.09.2020 17:20
В общем, я это поборол. Виноват rp-filter=strict
Даже логика работы понятна.
Пакет с маркой улетает по нужному пути. Обратно летит ответ. Ответ уже, соответственно, без марки. RP-Filter видит это и проверяет, оттуда ли он прилетел, откуда должен, естественно, не учитывая путь с марками. Естественно, заворачивая весь траффик из vpn в унитаз.
Даже логика работы понятна.
Пакет с маркой улетает по нужному пути. Обратно летит ответ. Ответ уже, соответственно, без марки. RP-Filter видит это и проверяет, оттуда ли он прилетел, откуда должен, естественно, не учитывая путь с марками. Естественно, заворачивая весь траффик из vpn в унитаз.
Часовой пояс GMT +3, время: 10:42.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.