Помогите разобраться с Mikrotik

0

1

Добрый день!

Сейчас все работает, почти все.

Конфигурация досталась мне в наследство и я Mikrotik понимаю слабо.

Вот такой вопрос: на Mikrotik 4 внешних ip адреса и один внутренний. Из сети 192.168.88.0/24 я пингую шлюз сети 192.168.88.1 но не пингуются ни один из внешних адресов, и нет доступа к их сервисам.

В разделе ip/firewall нет запрещающих правил, кроме пакетов в состоянии invalid. В чем может быть дело?

Явно разрешать ходить с внешних ip во внутреннюю сетку я пробовал. Если с Mikrotik из консоли пинговать адреса 192.168.88.0/24, тоже работает.

Ссылка

←	Сломался OpenVPN после обновления

Хочу странного - SmartOS

→

А трассировка где обрывается?
Другие внутренние подсети доступны?

~~alexnorton~~ ★
(14.12.15 12:02:08 MSK)

Маскарадинг включён?

roman77 ★★★★★
(14.12.15 12:04:47 MSK)

Ответ на: комментарий от alexnorton 14.12.15 12:02:08 MSK

Трассировка обрывается не начавшись, то есть в ней нет ни одного пройденного хоста, хотя нужный адрес в 2-х хопах.

Все внутри 192.168.88.0/24 доступно, ибо в 2-х коммутаторах без VLAN.

~~weare~~ ★★
(14.12.15 12:14:31 MSK) автор топика

Ответ на: комментарий от roman77 14.12.15 12:04:47 MSK

На внешних адресах настроен NAT, dst-nat и netmap.

~~weare~~ ★★
(14.12.15 12:15:17 MSK) автор топика

Ссылка

Ответ на: комментарий от weare 14.12.15 12:14:31 MSK

трассировку делаешь непосредственно с устройства? шлюз по умолчанию, я так понимаю, доступен? (шлюзом является тот самый микротик?) попробуй на самом микротике с source-адресом 88й подсети пропинговать внешние адреса. Если пингуются - дело в ACl, если нет - дело в маршрутизации.

~~alexnorton~~ ★
(14.12.15 12:41:13 MSK)

Ответ на: комментарий от alexnorton 14.12.15 12:41:13 MSK

как задать сорс?

[admin2@MikroTik CCR-1036-12G-4S-EM] > ping src=192.168.88.1 141.101.242.59
  SEQ HOST                                     SIZE TTL TIME  STATUS             
    0 141.101.242.59                             56  64 0ms  
    1 141.101.242.59                             56  64 0ms  
    2 141.101.242.59                             56  64 0ms  
    3 141.101.242.59                             56  64 0ms  
    4 141.101.242.59                             56  64 0ms  
    5 141.101.242.59                             56  64 0ms  
    sent=6 received=6 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

~~weare~~ ★★
(14.12.15 12:46:31 MSK) автор топика
Последнее исправление: weare 14.12.15 12:52:33 MSK (всего исправлений: 1)

Ответ на: комментарий от weare 14.12.15 12:46:31 MSK

http://wiki.mikrotik.com/wiki/Manual:Tools/Ping

RTFM /b/рат )))

~~alexnorton~~ ★
(14.12.15 12:52:56 MSK)

Ссылка

Ответ на: комментарий от weare 14.12.15 12:46:31 MSK

ура.

Соответственно, дело в ACL, раз на роутере этой подсети доступ открыт в интернет

~~alexnorton~~ ★
(14.12.15 12:53:51 MSK)

Ответ на: комментарий от alexnorton 14.12.15 12:53:51 MSK

Что еще показать, дайте наводку? Только с примерами команд желательно...)))

~~weare~~ ★★
(14.12.15 12:57:08 MSK) автор топика

Ответ на: комментарий от weare 14.12.15 12:57:08 MSK

Внешний айпи, логин и пароль ))) Шутка.
нужно проверять правила на этом интерфейсе, сравнить их с правилами для тех интерфейсов и подсетей, которые работают. Кроме того, какие сетевые настройки на машинах, подключенных в эту подсеть? там шлюз по умолчанию указан?

~~alexnorton~~ ★
(14.12.15 13:02:23 MSK)

Ответ на: комментарий от alexnorton 14.12.15 13:02:23 MSK

Как посмотреть правила на интерфейсе? Хоть какой раздел смотреть?

~~weare~~ ★★
(14.12.15 13:15:00 MSK) автор топика
Последнее исправление: weare 14.12.15 13:16:24 MSK (всего исправлений: 1)

Ответ на: комментарий от weare 14.12.15 13:15:00 MSK

Вообще это настраивается в Interfaces, IP-firewall, IP-routes. Кроме того, проверь все же настройки на машинах.

~~alexnorton~~ ★
(14.12.15 14:47:58 MSK)

Ссылка

Ответ на: комментарий от weare 14.12.15 13:15:00 MSK

Выложи конфиг в студию выполни в консоли mk

/export verbose file=qq

потом выложи этот файл на gist или pastebin. Только перед публикацией убери логины и пароли

olovo
(16.12.15 00:13:26 MSK)

Ответ на: комментарий от olovo 16.12.15 00:13:26 MSK

А почему нельзя выложить на ЛОР?

~~weare~~ ★★
(16.12.15 06:51:46 MSK) автор топика

Ответ на: комментарий от weare 16.12.15 06:51:46 MSK

Ты экспорт сделай,и поймешь. Если серьезно, то файл довольно объемный и людям читающим эту тему, будет очень не комфортно

olovo
(16.12.15 09:55:30 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сломался OpenVPN после обновления

Admin

Хочу странного - SmartOS

→

Похожие темы