The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Mikrotik и GRE тунели"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]

"Mikrotik и GRE тунели"  +/
Сообщение от nopsemail (ok), 03-Окт-18, 09:01 
Доброго дня коллеги.
Я малость зашел в тупик и посему интересуюсь у вас.
Имеется 2 микротика, на обоих белые IP.
Соединяю их между собой GRE-тунелем с шифрованием.
Удаленный:
name="GRE_to_2706" mtu=auto actual-mtu=1406 local-address=1.1.1.1
      remote-address=2.2.2.2 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no

Локальный:
name="GRE_to_servers" mtu=auto actual-mtu=1406 local-address=2.2.2.2
      remote-address=1.1.1.1 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no

Маршруты настроены RIP

Прошу без холивара на тему "А зачем?!", "А почему?", просто проблема наблюдается только на одном туннеле, который описал выше, на других проблем не наблюдается.

Проблема заключается в том, что пинги проходят, а вот остальной трафик нет.
Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а во вторник хуяк и кончилось. Работ никаких на железе не производилось, только был добавлен IP-адрес в address-list и все.

Подскажите, куда можно копнуть, чтобы понять, что ему надо...

P.S.
Трассировка проходит без проблем:
$ traceroute 10.10.10.9
traceroute to 10.10.10.9 (10.10.10.9), 64 hops max, 52 byte packets
1  10.110.101.1 (10.110.101.1)  0.707 ms  0.313 ms  0.251 ms
2  192.168.90.5 (192.168.90.5)  2.580 ms  4.667 ms  2.385 ms
3  10.10.10.9 (10.10.10.9)  3.280 ms  2.921 ms  2.883 ms

Удаленная подсеть 10.10.10.0/24
Локальная сеть 10.110.101.0/24

При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной подсети юзают инет и у них все работает.

Скан портов все отображает:
$ nmap 10.10.10.9
Starting Nmap 7.70 ( https://nmap.org ) at 2018-10-03 11:26 YEKT
Nmap scan report for 10.10.10.9
Host is up (0.010s latency).
Not shown: 990 closed ports
PORT      STATE    SERVICE
135/tcp   open     msrpc
139/tcp   open     netbios-ssn
445/tcp   open     microsoft-ds
2179/tcp  open     vmrdp
3071/tcp  open     csd-mgmt-port
3389/tcp  filtered ms-wbt-server
49152/tcp open     unknown
49153/tcp open     unknown
49154/tcp open     unknown
49155/tcp open     unknown

Nmap done: 1 IP address (1 host up) scanned in 9.46 seconds

но почему-то рубит порт 3389, забегая вперед, брандмауэр отключен

[nops@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; AcessAll
      chain=input action=accept log=no log-prefix=""
1    ;;; AcessAll
      chain=output action=accept log=no log-prefix=""
2    ;;; Input for RBN
      chain=forward action=accept src-address-list=RBN_Local dst-address-list=RBN_Local log=no log-prefix=""
3    ;;; Input for RBN
      chain=input action=accept src-address-list=RBN log=no log-prefix=""
4    ;;; Output for RBN
      chain=output action=accept dst-address-list=RBN log=no log-prefix=""
5    chain=forward action=accept src-address-list=RBN dst-address-list=RBN log=no log-prefix=""
6    ;;; Allow PPTP
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
7    ;;; Allow L2TP
      chain=input action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix=""
8    ;;; Accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix=""
9    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23,22 log=no log-prefix=""
10 X  chain=input action=drop protocol=tcp in-interface=ether2-TTK dst-port=23,22 log=no log-prefix=""
11    chain=input action=drop protocol=udp in-interface=ether1-INSIS in-interface-list=all dst-port=53 log=no log-prefix=""
12 X  chain=input action=drop protocol=udp in-interface=ether2-TTK in-interface-list=all dst-port=53 log=no log-prefix=""
13 X  chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix=""
14 X  chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix=""
15 X  chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no log-prefix=""
16 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
17 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
18    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no log-prefix=""

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Mikrotik и GRE тунели"  +/
Сообщение от ыы (?), 03-Окт-18, 12:38 
Вы сильно путаетесь в показаниях.

это
> Проблема заключается в том, что пинги проходят, а вот остальной трафик нет.

противоречит этому:

> При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной
> подсети юзают инет и у них все работает.

Либо ВЕСЬ трафик режется кроме пингов, либо режется только один порт.

Что такое 192.168.90.5  из трасерта?

Выполните в локальной сети обращение к 3389 порту удаленной сети и посмотрите на шлюзах был ли пакет туда и обратный.

Гдето на каком-то участке он потеряется...там и проблема

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Mikrotik и GRE тунели"  +/
Сообщение от nopsemail (ok), 03-Окт-18, 13:56 
>[оверквотинг удален]
> это
>> Проблема заключается в том, что пинги проходят, а вот остальной трафик нет.
> противоречит этому:
>> При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной
>> подсети юзают инет и у них все работает.
> Либо ВЕСЬ трафик режется кроме пингов, либо режется только один порт.
> Что такое 192.168.90.5  из трасерта?
> Выполните в локальной сети обращение к 3389 порту удаленной сети и посмотрите
> на шлюзах был ли пакет туда и обратный.
> Гдето на каком-то участке он потеряется...там и проблема

Я потом вспомнил и дописал про проксю. Шара у меня тоже не открывается, пробовал.

Вот соединения с фильтрацией по порту 3389 на обоих роутерах: https://yapx.ru/v/CXeYj

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Mikrotik и GRE тунели"  +/
Сообщение от eRIC (ok), 03-Окт-18, 20:16 
> Вот соединения с фильтрацией по порту 3389 на обоих роутерах: https://yapx.ru/v/CXeYj

а вообще Windows сервак принимает RDP коннект из другой сети? Случаем на нем нет фильтрации?

>3389/tcp  filtered ms-wbt-server

filtered по сравнению с другими портами где они open

>Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а во вторник хуяк и >кончилось. Работ никаких на железе не производилось, только был добавлен IP-адрес в address-list и >все.

если больше ничего не делали, то скорее всего за добавленного IP адреса. тоже копайте куда, зачем и почему добавили IP адрес. возможно не туда завернули или зарезали доступ

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Mikrotik и GRE тунели"  +/
Сообщение от nopsemail (ok), 03-Окт-18, 20:22 
>> Вот соединения с фильтрацией по порту 3389 на обоих роутерах: https://yapx.ru/v/CXeYj
> а вообще Windows сервак принимает RDP коннект из другой сети? Случаем на
> нем нет фильтрации?

Брандмауэр отключен. Я больше скажу. Если я подключаюсь по VPN, то зайти на сервер могу. Вообще я впервые с подобным явлением сталкиваюсь.

>>Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а во вторник хуяк и >кончилось. Работ никаких на железе не производилось, только был добавлен IP-адрес в address-list и >все.
> если больше ничего не делали, то скорее всего за добавленного IP адреса.
> тоже копайте куда, зачем и почему добавили IP адрес. возможно не
> туда завернули или зарезали доступ

есть Address-list в котором указаны IP-компании, разных офисов. В фаерволе, сейчас стоят правила открытия всего и всем, на время изучения проблемы, а вообще первыми правилами стоит разрешающие доступ с IP-адерсов указанных в адрес-листе. Был добавлен еще один белый адрес, для подключения по PPtP к микротику с этого адреса.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Mikrotik и GRE тунели"  +1 +/
Сообщение от eRIC (ok), 03-Окт-18, 21:51 
>3389/tcp  filtered ms-wbt-server

filtered по сравнению с другими портами где они open

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Mikrotik и GRE тунели"  +/
Сообщение от nopsemail (ok), 03-Окт-18, 22:16 
>>3389/tcp  filtered ms-wbt-server
> filtered по сравнению с другими портами где они open

Я видел. Вот только где он фильтруется не понятно.
с других офисов доступ есть и все работает, а вот из конкретно одного офисе, нет.
Я не понимаю похоже чего-то

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Mikrotik и GRE тунели"  +/
Сообщение от nopsemail (ok), 04-Окт-18, 07:18 
>[оверквотинг удален]
> log=no log-prefix=""
> 14 X  chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix=""
> 15 X  chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no
> log-prefix=""
> 16 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
> log=no log-prefix=""
> 17 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
> log=no log-prefix=""
> 18    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no
> log-prefix=""

Господа. Всем спасибо за участие. Ваши комментарии помогли мне найти причину такого поведения роутера.
Причиной было правило, про добавление которого  я забыл. Директору срочно нужно было организовать РДП-доступ до его компа в офисе, а я на телефоне только и особо не настроишь ничего. было принято решение, сделать правило прообраза порта 3389 на его комп, но учитывая что делалось все в второпях, будучи за рулем да еще и с телефона, в правиле не был прописан входящий интерфейс и даже адрес источника. Следовательно, все запросы, приходящие на все интерфейсы на 3389 порт, были завернуты на комп директора, который выключен.

Всем еще раз спасибо.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Mikrotik и GRE тунели"  +/
Сообщение от eRIC (ok), 04-Окт-18, 12:30 
> Следовательно, все запросы, приходящие на все интерфейсы на 3389 порт, были
> завернуты на комп директора, который выключен.

вот самый filtered :)

> а вообще Windows сервак принимает RDP коннект из другой сети? Случаем на нем нет фильтрации?
> 3389/tcp  filtered ms-wbt-server

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor