RR
/system scripts export = пусто
Size: a a a
2019 November 15
B
Люди, помогите!! Есть филиал (Ф)(поднят л2тп + IPSec) и главный офис (ГО - Керио Контрол). Между сетями Ф и ГО все прекрасно маршрутизируется. Как сделать, чтобы юзеры Ф ходили в инет через ГО? В Ф на выходе микротик, а в ГО на выходе Керио Контрол, при попытке с микротика пингануть 8.8.8.8, с лан интерфейса пинг не идет, а с Л2ТП - все ок, соответсвенно у юзеров Ф инет не работает
а подсети разные, верно понимаю?
KA
/system scripts export = пусто
если есть snat, то в исходяшке любой адрес клиента будет подменяться на ip роутера
B
Konstantin Andreev
если есть snat, то в исходяшке любой адрес клиента будет подменяться на ip роутера
snat куда?
ЮS
а подсети разные, верно понимаю?
в Ф и ГО - конечно
KA
во внешку я так понимаю из локалки
B
в Ф и ГО - конечно
тогда никак, только юзать прокси-сервер, как у меня.
если есть домен - через GPO всем прописать прокси и радоваться
если есть домен - через GPO всем прописать прокси и радоваться
KA
либо snat либо маскарад как подвид snat
KA
где замечен то icmp флуд до 127.0.0.1?
ЮS
тогда никак, только юзать прокси-сервер, как у меня.
если есть домен - через GPO всем прописать прокси и радоваться
если есть домен - через GPO всем прописать прокси и радоваться
если правильно понимаю, то проблема в керио?
B
чот некорректно настроил
B
если правильно понимаю, то проблема в керио?
нет, проблема в том, что у тебя L3, а не L2.
через L3 ты не сможешь поставить шлюзом роутер из другой подсети
Точнее сказать сможешь, но работать оно не будет
через L3 ты не сможешь поставить шлюзом роутер из другой подсети
Точнее сказать сможешь, но работать оно не будет
RR
Konstantin Andreev
где замечен то icmp флуд до 127.0.0.1?
RAW OUTPUT log
RAW PREROUTING log
RAW PREROUTING log
B
RAW OUTPUT log
RAW PREROUTING log
RAW PREROUTING log
RR
icmp
KA
А если на форвардинге дропнуть все до dst=127.0.0.1?
RR
буквально за полчаса дропнул уже пол гига пингов)
RR
Konstantin Andreev
А если на форвардинге дропнуть все до dst=127.0.0.1?
врятли тут форвардинг. тут тик сам себя пингует, тут Output чейн перетекает в input
VP
врятли тут форвардинг. тут тик сам себя пингует, тут Output чейн перетекает в input
Сам себя в RAW перероутинг не попадет. Либо Вы что-то путаете.
ЮS
нет, проблема в том, что у тебя L3, а не L2.
через L3 ты не сможешь поставить шлюзом роутер из другой подсети
Точнее сказать сможешь, но работать оно не будет
через L3 ты не сможешь поставить шлюзом роутер из другой подсети
Точнее сказать сможешь, но работать оно не будет
пакеты с юзеров Ф доходят до керио, в логе керио я вижу:
ALLOW "PING_OUT_ALLOW" packet from IPsec VPN client, proto:ICMP, len:60, 192.168.30.99 (юзер Ф) -> 8.8.8.8, type:8 code:0 id:1 seq:255 ttl:127
[15/Nov/2019 16:07:12] ALLOW "PING_OUT_ALLOW" packet to Optic, proto:ICMP, len:60, 82.209.х.х (внешний ИП ГО) -> 8.8.8.8, type:8 code:0 id:1 seq:255 ttl:126
[15/Nov/2019 16:07:12] ALLOW "PING_OUT_ALLOW" packet from Optic, proto:ICMP, len:60, 8.8.8.8 -> 82.209.х.х (внешний ИП ГО), type:0 code:0 id:1 seq:255 ttl:55
[15/Nov/2019 16:07:12] ALLOW "PING_OUT_ALLOW" packet to SLAV6, proto:ICMP, len:60, 8.8.8.8 -> 192.168.30.99, type:0 code:0 id:1 seq:255 ttl:54
ALLOW "PING_OUT_ALLOW" packet from IPsec VPN client, proto:ICMP, len:60, 192.168.30.99 (юзер Ф) -> 8.8.8.8, type:8 code:0 id:1 seq:255 ttl:127
[15/Nov/2019 16:07:12] ALLOW "PING_OUT_ALLOW" packet to Optic, proto:ICMP, len:60, 82.209.х.х (внешний ИП ГО) -> 8.8.8.8, type:8 code:0 id:1 seq:255 ttl:126
[15/Nov/2019 16:07:12] ALLOW "PING_OUT_ALLOW" packet from Optic, proto:ICMP, len:60, 8.8.8.8 -> 82.209.х.х (внешний ИП ГО), type:0 code:0 id:1 seq:255 ttl:55
[15/Nov/2019 16:07:12] ALLOW "PING_OUT_ALLOW" packet to SLAV6, proto:ICMP, len:60, 8.8.8.8 -> 192.168.30.99, type:0 code:0 id:1 seq:255 ttl:54