Новые ответы

Mikrotik и GRE тунели,

nops, 03-Окт-18, 09:01 [смотреть все]

Доброго дня коллеги.
Я малость зашел в тупик и посему интересуюсь у вас.
Имеется 2 микротика, на обоих белые IP.
Соединяю их между собой GRE-тунелем с шифрованием.
Удаленный:
name="GRE_to_2706" mtu=auto actual-mtu=1406 local-address=1.1.1.1
      remote-address=2.2.2.2 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no
Локальный:
name="GRE_to_servers" mtu=auto actual-mtu=1406 local-address=2.2.2.2
      remote-address=1.1.1.1 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no
Маршруты настроены RIP
Прошу без холивара на тему "А зачем?!", "А почему?", просто проблема наблюдается только на одном туннеле, который описал выше, на других проблем не наблюдается.
Проблема заключается в том, что пинги проходят, а вот остальной трафик нет.
Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а во вторник хуяк и кончилось. Работ никаких на железе не производилось, только был добавлен IP-адрес в address-list и все.
Подскажите, куда можно копнуть, чтобы понять, что ему надо...
P.S.
Трассировка проходит без проблем:
$ traceroute 10.10.10.9
traceroute to 10.10.10.9 (10.10.10.9), 64 hops max, 52 byte packets
1  10.110.101.1 (10.110.101.1)  0.707 ms  0.313 ms  0.251 ms
2  192.168.90.5 (192.168.90.5)  2.580 ms  4.667 ms  2.385 ms
3  10.10.10.9 (10.10.10.9)  3.280 ms  2.921 ms  2.883 ms
Удаленная подсеть 10.10.10.0/24
Локальная сеть 10.110.101.0/24
При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной подсети юзают инет и у них все работает.
Скан портов все отображает:
$ nmap 10.10.10.9
Starting Nmap 7.70 ( https://nmap.org ) at 2018-10-03 11:26 YEKT
Nmap scan report for 10.10.10.9
Host is up (0.010s latency).
Not shown: 990 closed ports
PORT      STATE    SERVICE
135/tcp   open     msrpc
139/tcp   open     netbios-ssn
445/tcp   open     microsoft-ds
2179/tcp  open     vmrdp
3071/tcp  open     csd-mgmt-port
3389/tcp  filtered ms-wbt-server
49152/tcp open     unknown
49153/tcp open     unknown
49154/tcp open     unknown
49155/tcp open     unknown
Nmap done: 1 IP address (1 host up) scanned in 9.46 seconds
но почему-то рубит порт 3389, забегая вперед, брандмауэр отключен
[nops@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; AcessAll
      chain=input action=accept log=no log-prefix=""
1    ;;; AcessAll
      chain=output action=accept log=no log-prefix=""
2    ;;; Input for RBN
      chain=forward action=accept src-address-list=RBN_Local dst-address-list=RBN_Local log=no log-prefix=""
3    ;;; Input for RBN
      chain=input action=accept src-address-list=RBN log=no log-prefix=""
4    ;;; Output for RBN
      chain=output action=accept dst-address-list=RBN log=no log-prefix=""
5    chain=forward action=accept src-address-list=RBN dst-address-list=RBN log=no log-prefix=""
6    ;;; Allow PPTP
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
7    ;;; Allow L2TP
      chain=input action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix=""
8    ;;; Accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix=""
9    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23,22 log=no log-prefix=""
10 X  chain=input action=drop protocol=tcp in-interface=ether2-TTK dst-port=23,22 log=no log-prefix=""
11    chain=input action=drop protocol=udp in-interface=ether1-INSIS in-interface-list=all dst-port=53 log=no log-prefix=""
12 X  chain=input action=drop protocol=udp in-interface=ether2-TTK in-interface-list=all dst-port=53 log=no log-prefix=""
13 X  chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix=""
14 X  chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix=""
15 X  chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no log-prefix=""
16 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
17 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
18    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no log-prefix=""

Ответить | Сообщить модератору

Mikrotik и GRE тунели, ыы, 12:38 , 03-Окт-18 (1)

Mikrotik и GRE тунели, nops, 13:56 , 03-Окт-18 (2)
>[оверквотинг удален]
> это
>> Проблема заключается в том, что пинги проходят, а вот остальной трафик нет.
> противоречит этому:
>> При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной
>> подсети юзают инет и у них все работает.
> Либо ВЕСЬ трафик режется кроме пингов, либо режется только один порт.
> Что такое 192.168.90.5 из трасерта?
> Выполните в локальной сети обращение к 3389 порту удаленной сети и посмотрите
> на шлюзах был ли пакет туда и обратный.
> Гдето на каком-то участке он потеряется...там и проблема
Я потом вспомнил и дописал про проксю. Шара у меня тоже не открывается, пробовал.
Вот соединения с фильтрацией по порту 3389 на обоих роутерах: https://yapx.ru/v/CXeYj
Ответить | Сообщить модератору

Mikrotik и GRE тунели, eRIC, 20:16 , 03-Окт-18 (3)

Mikrotik и GRE тунели, nops, 20:22 , 03-Окт-18 (4)
>> Вот соединения с фильтрацией по порту 3389 на обоих роутерах: https://yapx.ru/v/CXeYj
> а вообще Windows сервак принимает RDP коннект из другой сети? Случаем на
> нем нет фильтрации?
Брандмауэр отключен. Я больше скажу. Если я подключаюсь по VPN, то зайти на сервер могу. Вообще я впервые с подобным явлением сталкиваюсь.
>>Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а во вторник хуяк и >кончилось. Работ никаких на железе не производилось, только был добавлен IP-адрес в address-list и >все.
> если больше ничего не делали, то скорее всего за добавленного IP адреса.
> тоже копайте куда, зачем и почему добавили IP адрес. возможно не
> туда завернули или зарезали доступ
есть Address-list в котором указаны IP-компании, разных офисов. В фаерволе, сейчас стоят правила открытия всего и всем, на время изучения проблемы, а вообще первыми правилами стоит разрешающие доступ с IP-адерсов указанных в адрес-листе. Был добавлен еще один белый адрес, для подключения по PPtP к микротику с этого адреса.
Ответить | Сообщить модератору

Mikrotik и GRE тунели, eRIC, 21:51 , 03-Окт-18 (5) +1

Mikrotik и GRE тунели, nops, 22:16 , 03-Окт-18 (6)
>>3389/tcp filtered ms-wbt-server
> filtered по сравнению с другими портами где они open
Я видел. Вот только где он фильтруется не понятно.
с других офисов доступ есть и все работает, а вот из конкретно одного офисе, нет.
Я не понимаю похоже чего-то
Ответить | Сообщить модератору

Mikrotik и GRE тунели, nops, 07:18 , 04-Окт-18 (7)
>[оверквотинг удален]
> log=no log-prefix=""
> 14 X  chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix=""
> 15 X  chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no
> log-prefix=""
> 16 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
> log=no log-prefix=""
> 17 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
> log=no log-prefix=""
> 18    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no
> log-prefix=""
Господа. Всем спасибо за участие. Ваши комментарии помогли мне найти причину такого поведения роутера.
Причиной было правило, про добавление которого  я забыл. Директору срочно нужно было организовать РДП-доступ до его компа в офисе, а я на телефоне только и особо не настроишь ничего. было принято решение, сделать правило прообраза порта 3389 на его комп, но учитывая что делалось все в второпях, будучи за рулем да еще и с телефона, в правиле не был прописан входящий интерфейс и даже адрес источника. Следовательно, все запросы, приходящие на все интерфейсы на 3389 порт, были завернуты на комп директора, который выключен.
Всем еще раз спасибо.
Ответить | Сообщить модератору

Mikrotik и GRE тунели, eRIC, 12:30 , 04-Окт-18 (8)