Почему пакеты дропаются правилом forward drop invalid?

Question

[RainerFord]

Приветствую

Ситуация следующая: Имеется сеть 192.168.31.0/24 с роутером Mikrotik (192.168.31.1) во главе.
К Микротику также подключен WAN порт роутера Keenetic (192.168.31.253 172.31.31.1), раздающий клиентам адреса в сети 172.31.31.0/24
На Микротике прописан маршрут таким образом, чтобы клиенты сети 192.168.31.0/24 имели доступ к сети 172.31.31.0/24
На Кинетике специально никаких маршрутов не прописывалось. Только были добавлены правила фаервола^



Клиенты сети 172.31.31.0/24 по умолчанию также имеют доступ к сети 192.168.31.0/24

Что получаем в итоге: С доступом из сети 192.168.31.0/24 в сеть 172.31.31.0/24 никаких проблем нет.
В обратном случае пакеты спотыкаются о правило фаервола Микротика add action=drop chain=forward connection-state=invalid.
В логах творится вот такое безобразие(пример попытки доступа в веб-морду принтера, имеющего адрес 192.168.31.10 с ПК, имеющего адрес 172.31.31.152):



правила accept forward при connection established и related перед правилом дропа естественно присутствуют. Подскажите пожалуйста, в какую сторону копать?
Пробовал (больше от безысходности) на Кинетике прописывать маршрут до сети 192.168.31.0/24 через шлюз 192.168.31.253 - эффекта никакого

Answer 1

[agpecam]

У вас асимметричная маршрутизация - принтер идет к 172.31.31.152 через микротик, а 172.31.31.152 идет к принтеру непосредственно с WAN кинетика. Поэтому микротик видит какие-то левые SYN,ACK. Левые потому, что он не видел изначального SYN и, следовательно, SYN,ACKи не принадлежат к какому либо существующему соединению и они invalid

Answer 2

[AUser0]

Дропнутые пакеты на Mikrotik имеют статус не established (установленное) или related (относящееся к...), а new (новое соединение). Но вы их не пропускаете? Вот они и дропаются.

Answer 3

[Артем Кайбагоров]

Видимо проблема в том, что на кинетике настроен src-nat, который меняет адрес источника на адрес wan интерфейса при прохождении пакетов в сторону wan. При этом мы видим, что обратный пакет от принтера к компьютеру в качестве src address использует адрес компа, а не адрес wan интерфейса кинетика, с которого пришел запрос, поэтому Mikrotik считает его invalid.
Нужно внимательно проверить конфигурацию обоих устройств.

Comments

[RainerFord]

Очень на то похоже. В пользу включенного NAT также говорит тот факт, что на кинетике не прописан маршрут в сеть Микротика и, тем не менее, из сетки 172.31.31.0/24 все равно есть доступ в сеть 192.168.31.0/24. Однако, вроде как NAT на Кинетике я отключал. Спасибо за информацию. Попробую ещё раз проверить.