Недоступна локальная сеть микротика. В чем может быть причина?

Question

maks-andreev @maks-andreev

Недоступна локальная сеть микротика. В чем может быть причина?

На VPS-ке подняты L2TP и OVPN сервера. На микротике поднят L2TP клиент. Домашний ПК - клиент OVPN. С микротика пинги до впн клиента идут. С впн клиента пингуется только интерфейс L2TP микротика, пинги до локальной сети микротика не идут. Что не так?
Список интерфейсов на сервере

eth0 - смотрит в интернет
tun0 - Openvpn туннель 10.10.10.0/24
ppp0 - l2tp туннель 10.10.11.2-10.10.11.6

Маршруты на сервере.

netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         55.83.62.1      0.0.0.0         UG        0 0          0 eth0
55.83.62.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.10.10.0      0.0.0.0         255.255.255.0   U         0 0          0 tun0
10.10.11.2      0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
10.10.12.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0

iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 14 packets, 1777 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     3148  427K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        9  5114 ACCEPT     all  --  *      *       10.10.11.0/29        0.0.0.0/0           
3        1    84 ACCEPT     all  --  *      *       0.0.0.0/0            10.10.11.0/29      
4        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU
5        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID

Chain OUTPUT (policy ACCEPT 14 packets, 1620 bytes)
num   pkts bytes target     prot opt in     out     source               destination

ip_forward = 1
Маршруты на клиенте OVPN

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.10.11.0      10.10.10.1      255.255.255.0   UG    0      0        0 tun0
10.10.12.0      0.0.0.0         255.255.255.0   UH    0      0        0 tun0

Трассировка с впн клиента до локальной сети микротика

~$ traceroute 10.10.12.24
traceroute to 10.10.12.24 (10.10.12.24), 30 hops max, 60 byte packets
 1  10.10.10.1 (10.10.10.1)  47.490 ms  94.475 ms  94.491 ms
 2  10.10.11.2 (10.10.11.2)  141.637 ms  141.668 ms  141.670 ms
 3  * * *
 4  * * *

Маршруты на микротике.

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                         64.83.21.1                1
 1 ADC  64.83.21.0/22      64.83.21.12    eth1                      0
 2 X S  10.10.10.0/24                     l2tp-out1                 1
 3 ADC  10.10.11.1/32     10.10.11.2      l2tp-out1                 0
 4 ADC  10.10.12.0/24     10.10.12.1      bridge-local              0

Вопрос задан более трёх лет назад
1162 просмотра

2 комментария

Подписаться 2 Оценить 2 комментария

Николай @URL

Можно посмотреть /ip firewall filter print

Написано более трёх лет назад

maks-andreev @maks-andreev Автор вопроса

Николай:

Flags: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward 

 1    ;;; drop ssh brute forcers
      chain=input action=drop protocol=tcp src-address-list=ssh_blacklist log=no log-prefix="" 

 2    ;;; record https brute forcers
      chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=443 log=yes 
      log-prefix=" --- HTTPS ATTEMPT --- " 

 3    ;;; record ssh brute forcers
      chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=22 log=yes 
      log-prefix=" --- SSH ATTEMPT --- " 

 4    ;;; record http brute forcers
      chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=80 log=yes 
      log-prefix=" --- HTTP ATTEMPT --- "  

 5    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 6    ;;; default configuration
      chain=input action=accept connection-state=established,related log=no log-prefix="" 

 7    ;;; default configuration
      chain=input action=drop in-interface=eth1 log=no log-prefix="" 
 
 8    ;;; default configuration
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

 9    ;;; default configuration
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 

10    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

11    ;;; default configuration
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=eth1 log=no log-prefix="" 

12    ;;; Deny invalid connections
      chain=input action=drop connection-state=invalid log=no log-prefix=""

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

1 комментарий

3 комментария

maks-andreev @maks-andreev Автор вопроса

С клиента нет.

$ traceroute 10.10.12.1
traceroute to 10.10.12.1 (10.10.12.1), 30 hops max, 60 byte packets
 1  10.10.10.1 (10.10.10.1)  49.287 ms  211.249 ms  211.267 ms
 2  10.10.11.1 (10.10.11.1)  258.391 ms  258.425 ms  258.431 ms 
***
 30

Написано более трёх лет назад

alegzz @alegzz

увидел. но на микротике нужно включить маршрут до 10.10.10.0/24

Написано более трёх лет назад
maks-andreev @maks-andreev Автор вопроса

alegzz: Он включен. По запарке выложил маршруты с выключеным.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

Простой
Как грепнуть по двум строкам вместе?
- 1 подписчик
- 25 минут назад
- 21 просмотр
1

ответ
Linux

+2 ещё

Средний
Не вижу вводимые символы в консоли Debian 10?
- 1 подписчик
- 6 часов назад
- 89 просмотров
1

ответ
Linux

+1 ещё

Простой
Как создать свой образ Linux для размноживания на других АРМ?
- 1 подписчик
- 9 часов назад
- 115 просмотров
4

ответа
Компьютерные сети

+1 ещё

Простой
Кто из них является прикладным протоколом?
- 2 подписчика
- 19 часов назад
- 406 просмотров
1

ответ
Компьютерные сети

+2 ещё

Простой
Как пробросить RTSP видеопоток в другую подсеть?
- 1 подписчик
- 21 час назад
- 128 просмотров
1

ответ
Linux

Простой
Linux USB HID эмуляция на ПК — возможно?
- 1 подписчик
- 22 часа назад
- 94 просмотра
1

ответ
Linux

+1 ещё

Средний
Как сделать два VPN соединения параллельно?
- 2 подписчика
- 23 часа назад
- 372 просмотра
1

ответ
Linux

+1 ещё

Простой
Как установить linux на irbis nb656?
- 1 подписчик
- вчера
- 53 просмотра
0

ответов
Компьютерные сети

+2 ещё

Простой
Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?
- 2 подписчика
- вчера
- 293 просмотра
1

ответ
Mikrotik

Простой
Степень изношенности NAND-памяти Mikrotik?
- 1 подписчик
- вчера
- 157 просмотров
0

ответов
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Программист C/C++ embedded Linux

РТК Автоматика • Москва

от 170 000 до 250 000 ₽

Необходим фронтенд-разработчик - продукт по посуточной аренде

23 апр. 2024, в 14:58

1000 руб./в час

Разработка брендинга и рекламных баннеров для маркетплейса

23 апр. 2024, в 14:58

800 руб./в час

Создать сайт-конструктор по примеру

23 апр. 2024, в 14:44

10000 руб./за проект

Николай:
Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=forward 1 ;;; drop ssh brute forcers chain=input action=drop protocol=tcp src-address-list=ssh_blacklist log=no log-prefix="" 2 ;;; record https brute forcers chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=443 log=yes log-prefix=" --- HTTPS ATTEMPT --- " 3 ;;; record ssh brute forcers chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=22 log=yes log-prefix=" --- SSH ATTEMPT --- " 4 ;;; record http brute forcers chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=80 log=yes log-prefix=" --- HTTP ATTEMPT --- " 5 ;;; default configuration chain=input action=accept protocol=icmp log=no log-prefix="" 6 ;;; default configuration chain=input action=accept connection-state=established,related log=no log-prefix="" 7 ;;; default configuration chain=input action=drop in-interface=eth1 log=no log-prefix="" 8 ;;; default configuration chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 9 ;;; default configuration chain=forward action=accept connection-state=established,related log=no log-prefix="" 10 ;;; default configuration chain=forward action=drop connection-state=invalid log=no log-prefix="" 11 ;;; default configuration chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=eth1 log=no log-prefix="" 12 ;;; Deny invalid connections chain=input action=drop connection-state=invalid log=no log-prefix=""

Answer 1 · 2016-10-08 10:14:08

Если локальная сеть в микротике за нат-ом, то на нем должен быть разрешен форвардинг пакетов, ну и должен быть маршрут на сервере в локальную сеть микротика, с прописаным шлюзом, а у вас он 0.0.0.0

Answer 2 · 2016-10-08 15:58:46

alegzz @alegzz

traceroute 10.10.12.1 проходит?

Ответ написан более трёх лет назад

3 комментария

Недоступна локальная сеть микротика. В чем может быть причина?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт