LINUX.ORG.RU
ФорумAdmin

mikrotik и две подсети - не работает ssh между подсетями

 , ,


0

1

Имеется два компьютера в разных подсетях: первый (1) имеет адрес 192.168.1.6, второй (2) 192.168.8.98. Оба воткнуты в неуправляемый коммутатор, который в свою очередь в порт микротика, а тот находится в составе bridge1. На микротике заданы адреса 192.168.1.1/24 и 192.168.8.1/24 на bridge1. На обеих машинах установлен линукс.

Проблема: при попытке подключиться с 2 на 1 по ssh (в принципе с любого адреса 192.168.8.0/24) получаю ошибку:

ssh_exchange_identification read connection reset by peer

При этом, если перезапустить сетевые интерфейсе на 2, то несколько раз подключается, но потом всё равно такая ошибка.

Видимо не хватает каких-то правил в микротике, но я уже не знаю куда копать.



Последнее исправление: ban_de_r0ss (всего исправлений: 1)

Он может слать icmp редирект хостам чтоб они общались напрямую (т.к. адреса на одном интерфейсе), что может быть источником проблем, уже не помню каких но было и я эти редиректы зафайрволивал на хосте чтоб всё норм работало в аналогичном случае.

Сделай tcpdump (с мак-адресами) на обоих хостах и посмотри кто что кому шлёт и что кому приходит.

firkax ★★★★★
()

на микротике еще надо src-nat делать из одной подсети в другую и наоборот.

типа такого:

/ip firewall nat add chain=srcnat action=src-nat protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.8.0/24 to-addresses=192.168.8.1

/ip firewall nat add chain=srcnat action=src-nat protocol=tcp src-address=192.168.8.0/24 dst-address=192.168.1.0/24 to-addresses=192.168.1.1

cylon17
()
Ответ на: комментарий от firkax

Зачем им нат?

у меня так работает через нат, только подсеток больше.

как-то можно настроить через локальные таблицы маршрутизации но у меня не получилось. когда несколько ip на одном интерфейсе там какая путаница происходит с ip на микоротике.

cylon17
()
Последнее исправление: cylon17 (всего исправлений: 1)
Ответ на: комментарий от firkax

tcp dump сервера (192.168.1.6)

когда подключается:

14:51:01.983030 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [S], seq 2335862782, win 64240, options [mss 1460,sackOK,TS val 2280012142 ecr 0,nop,wscale 7], length 0
14:51:01.983109 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [S.], seq 3881794925, ack 2335862783, win 65160, options [mss 1460,sackOK,TS val 2014964514 ecr 2280012142,nop,wscale 7], length 0
14:51:01.983401 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [.], ack 1, win 502, options [nop,nop,TS val 2280012142 ecr 2014964514], length 0
14:51:01.983574 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [P.], seq 1:53, ack 1, win 502, options [nop,nop,TS val 2280012143 ecr 2014964514], length 52
14:51:01.983586 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [.], ack 53, win 509, options [nop,nop,TS val 2014964514 ecr 2280012143], length 0
14:51:01.988489 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [P.], seq 1:43, ack 53, win 509, options [nop,nop,TS val 2014964519 ecr 2280012143], length 42
14:51:14.629875 IP 192.168.8.98.55008 > 192.168.1.6.22: Flags [R], seq 1964055423, win 0, length 0
14:51:01.988714 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [.], ack 43, win 502, options [nop,nop,TS val 2280012148 ecr 2014964519], length 0
14:51:01.989158 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [P.], seq 53:1589, ack 43, win 502, options [nop,nop,TS val 2280012148 ecr 2014964519], length 1536
14:51:01.989168 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [.], ack 1589, win 497, options [nop,nop,TS val 2014964520 ecr 2280012148], length 0
14:51:01.989289 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [P.], seq 43:1123, ack 1589, win 497, options [nop,nop,TS val 2014964520 ecr 2280012148], length 1080
14:51:01.989553 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [.], ack 1123, win 501, options [nop,nop,TS val 2280012149 ecr 2014964520], length 0
14:51:01.991016 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [P.], seq 1589:1637, ack 1123, win 501, options [nop,nop,TS val 2280012150 ecr 2014964520], length 48
14:51:01.991023 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [.], ack 1637, win 501, options [nop,nop,TS val 2014964522 ecr 2280012150], length 0
14:51:01.994030 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [P.], seq 1123:1631, ack 1637, win 501, options [nop,nop,TS val 2014964525 ecr 2280012150], length 508
14:51:01.994290 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [.], ack 1631, win 501, options [nop,nop,TS val 2280012153 ecr 2014964525], length 0
14:51:01.996117 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [P.], seq 1637:1653, ack 1631, win 501, options [nop,nop,TS val 2280012155 ecr 2014964525], length 16
14:51:01.996124 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [.], ack 1653, win 501, options [nop,nop,TS val 2014964527 ecr 2280012155], length 0
14:51:01.996318 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [P.], seq 1653:1697, ack 1631, win 501, options [nop,nop,TS val 2280012155 ecr 2014964527], length 44
14:51:01.996324 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [.], ack 1697, win 501, options [nop,nop,TS val 2014964527 ecr 2280012155], length 0
14:51:01.996350 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [P.], seq 1631:1675, ack 1697, win 501, options [nop,nop,TS val 2014964527 ecr 2280012155], length 44
14:51:01.996543 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [.], ack 1675, win 501, options [nop,nop,TS val 2280012156 ecr 2014964527], length 0
14:51:01.996581 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [P.], seq 1697:1765, ack 1675, win 501, options [nop,nop,TS val 2280012156 ecr 2014964527], length 68
14:51:01.996591 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [.], ack 1765, win 501, options [nop,nop,TS val 2014964527 ecr 2280012156], length 0
14:51:02.003417 IP 192.168.1.6.22 > 192.168.8.98.54994: Flags [P.], seq 1675:1727, ack 1765, win 501, options [nop,nop,TS val 2014964534 ecr 2280012156], length 52
14:51:02.003622 IP 192.168.8.98.54994 > 192.168.1.6.22: Flags [.], ack 1727, win 501, options [nop,nop,TS val 2280012163 ecr 2014964534], length 0

когда не подключается

14:51:14.628951 IP 192.168.8.98.55008 > 192.168.1.6.22: Flags [S], seq 1964055370, win 64240, options [mss 1460,sackOK,TS val 2280024788 ecr 0,nop,wscale 7], length 0
14:51:14.629014 IP 192.168.1.6.22 > 192.168.8.98.55008: Flags [S.], seq 1459351786, ack 1964055371, win 65160, options [mss 1460,sackOK,TS val 2014977160 ecr 2280024788,nop,wscale 7], length 0
14:51:14.629223 IP 192.168.8.98.55008 > 192.168.1.6.22: Flags [.], ack 1, win 502, options [nop,nop,TS val 2280024788 ecr 2014977160], length 0
14:51:14.629394 IP 192.168.8.98.55008 > 192.168.1.6.22: Flags [P.], seq 1:53, ack 1, win 502, options [nop,nop,TS val 2280024788 ecr 2014977160], length 52
14:51:14.629415 IP 192.168.1.6.22 > 192.168.8.98.55008: Flags [.], ack 53, win 509, options [nop,nop,TS val 2014977160 ecr 2280024788], length 0
14:51:14.629875 IP 192.168.8.98.55008 > 192.168.1.6.22: Flags [R], seq 1964055423, win 0, length 0
14:51:14.834389 IP 192.168.8.98.55008 > 192.168.1.6.22: Flags [P.], seq 1:53, ack 1, win 502, options [nop,nop,TS val 2280024993 ecr 2014977160], length 52
14:51:14.834409 IP 192.168.1.6.22 > 192.168.8.98.55008: Flags [R], seq 1459351787, win 0, length 0

Единственное, что я могу тут сказать, что на сервер не отправляет какой-то пакет (6-я строка успешного подключения) и собственно на этом всё и обрывается.

ban_de_r0ss
() автор топика

Самое интересное, что оставить и ничего не трогать, то через несколько минут он один раз подключится. Ну или, как я писал выше, перезапустить сетевые интерфейсы

ban_de_r0ss
() автор топика
Ответ на: комментарий от cylon17

Это первое, что я сделал - результат тот же . Мне кажется, если бы дело было в этих правилах, то не работало бы совсем, а тут иногда работает, а иногда нет. Может быть вы ещё что-то настраивали для адекватной работы подсетей?

ban_de_r0ss
() автор топика
Ответ на: комментарий от ban_de_r0ss

у меня с src-nat работает, без него тоже работает случайно.

больше ничего нет, на бридж назначены адреса и src-nat когда нужен доступ между подсетями или компьютерами. прошивка у меня 6.48.6

cylon17
()
Ответ на: комментарий от ban_de_r0ss

У тебя в первом логе строчка из второго откуда-то взялась. И мак адреса не видно. Это опиця -e.

Если мои подозрения подтвердятся (сделай tcpdump -e) то итог такой:

Возможно проблема в линуксовой штуке которая отклоняет пакеты если они пришли не с того маршрута как тот куда бы он их слал (слать он хочет на роутер, а приходят напрямую по локалке из-за icmp редиректа). Это штуку можно в линуксе отключить, но я забыл как она называется. Либо отключай редирект.

firkax ★★★★★
()
Ответ на: комментарий от frob

А чё, на микротике нельзя настроить secondary IP на интерфейсе или там сабинтерфейсы завести, как на сиське? Это ж роутер-на-палочке, зачем ему бридж?

не совсем так для роутера-на-палочке нужен управляемый коммутатор и делать trunk порт c вланами на микротике, а тут он неуправляемый и оно не маршрутизирует через микротик как бы хотелось, рандомно работает как-то.

чтоб марушрутизировало всегда через микротик я делаю src-nat на микротике.

на циське думаю теже проблемы будут. хз если знаешь как такое на циске завести сюда тоже подойдет :)

cylon17
()