 Не работает самба через бридж микротика,  green, 17-Июл-18, 14:34 [смотреть все]Добрый день всем!Помогите советом: пришёл в контору работать. Сделана сеть в разных зданиях на разных улицах, объединена микротиками через EoIP в режиме бриджа. Но пароль от микротиков утерян во мраке времён. В "головном" офисе есть самба. По команде "сверху" пришлось сбрасывать микротик и восстанавливать конфигурацию. В принципе, всё поднялось - интернет бегает, но вот на сервер самбы из сегмента сети за микротиком зайти никак не могу. Ни по smb, ни по ssh. Пакетики на самбе вижу как входящие, так и исходящие; на микротике - тоже. Но на клиенте адреса самба-сервера в списке арп-ов нет. :( Где-то что-то я не доделал. : К сожалению, опыта работы с микротиками нет - есть некоторое понимание происходящего на базе знаний по линуксу, но местами микротики специфичные. :( Список правил на микротике (возможно что-то лишнее): /ip firewall filter add action=accept chain=output comment="eoip to main office" dst-address=xx.xx.46.58 out-interface=WAN protocol=gre src-address=xx.xx.251.158
/ip firewall filter add action=accept chain=input comment="winbox access" dst-port=8291 protocol=tcp
/ip firewall filter add action=accept chain=input comment="web access" dst-port=80 in-interface=!WAN protocol=tcp
/ip firewall filter add action=reject chain=input comment="SSH for secure shell" in-interface=WAN protocol=tcp reject-with=icmp-network-unreachable src-port=22
/ip firewall filter add action=accept chain=input dst-port=22 protocol=tcp
/ip firewall filter add action=accept chain=input comment="Accept established connections" connection-state=established
/ip firewall filter add action=accept chain=input comment="Accept related connections" connection-state=related
/ip firewall filter add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
/ip firewall filter add action=accept chain=input comment=ping protocol=icmp
/ip firewall filter add action=accept chain=forward comment="local net" src-address=10.40.10.0/24
/ip firewall filter add action=drop chain=input comment="Drop everything else"
/ip firewall nat add action=masquerade chain=srcnat out-interface=WAN
/ip firewall nat add action=netmap chain=dstnat comment=DVR dst-address=xx.xx.251.158 dst-port=64080 in-interface=WAN protocol=tcp to-addresses=10.40.10.200 to-ports=80
|
- Не работает самба через бридж микротика, green, 15:08 , 17-Июл-18 (1)
Поправка (после перезагрузки шлюза) arp-таблица на клиенте заполнена правильно, но доступа к серверу самбы, всё равно, по внутренней сети нет. Хотя пинг проходит.
- Не работает самба через бридж микротика, green, 16:31 , 18-Июл-18 (2)
Сам себе и отвечаю - надо было разрешить GRE между наружными адресами.
- Не работает самба через бридж микротика, green, 17:25 , 18-Июл-18 (3)
И вот ещё нашёл очень полезное добавление в копилку для конфигурации МТ:
/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no Из-за правила "Drop invalid connections", Микротик отбрасывает большие tcp-пакеты с установленным SYN, что губительно сказывается на https (а сейчас всё больше сайтов переходит на него). Благодаря этому правилу размер больших tcp-пакетов "меняется" на 1360 и волосы становятся мягкими и пушистыми.
- Не работает самба через бридж микротика, Del, 05:29 , 19-Июл-18 (4)
- Не работает самба через бридж микротика, green, 08:11 , 19-Июл-18 (5)
>> И вот ещё нашёл очень полезное добавление в копилку для конфигурации МТ:
>> / ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535
>> action=change-mss new-mss=1360 disabled=noИз-за правила "Drop invalid connections",
>> Микротик отбрасывает большие tcp-пакеты с установленным SYN, что губительно сказывается
>> на https (а сейчас всё больше сайтов переходит на него). Благодаря
>> этому правилу размер больших tcp-пакетов "меняется" на 1360 и волосы становятся
>> мягкими и пушистыми.
> Не так. Раз у вас ГРЕ туннель, то появляются дополнительные заголовки. Потому
> большие пакеты больше не проходят, так как по пути роутеры не
> фрагментируют трафик.Не согласен с вашим мнением по двум причинам:
1. https не бегает у меня через туннель - он бежит напрямую в канал к провайдеру и доп.заголовкам неоткуда взяться. GRE у меня (и работает без tcp mss) только для внутреннего трафика.
2. Источник, где я нашёл это правило, не приводил свою конфигурацию сети, но поделился советом как пофиксить ситуацию с неоткрытием некоторых сайтов. Я напоролся на то, что некоторые сайты, очень необходимые моим сотрудникам для отчётов по работе не открывались совсем, хотя mailru, и многие другие https-ресурсы работали нормально. Так что эта "проблема" есть в природе, связь её с GRE и другими реализациями VPN неочевидна/не доказана, и решение её, увы, не лежит на поверхности. :( > Это правило позволяет согласовать маленькое поле МСС при инициализации
> TCP соединения, тогда две стороны отправляют пакеты меньшей порции, ессно работает
> только для TCP. В настоящих роутерах для этого есть ip tcp adjust mss Я ещё wiki.mikrotik-a не прочитал, поэтому сильно спорить не буду. Правило мне реально помогло и я себе его отметил в рецепты "must have". Вероятно, в цисках ip tcp adjust mss есть, но мне пока не довелось поработать с оборудованием этого уважаемого производителя. А остальные "двортерьеры" типа ZyXel, D-Link, TP-Link, *WRT, коих в реальной жизни огромное количество, как-то согласовывают mss без дополнительных телодвижений.
|
Версия для распечатки
