Почему пакеты между двумя сетями микротик начинают ходить только после включения маскарадинга?

Question

[gogie]

На новом mikrotik создал две сети, одна из них на сервере openvpn, другая на бридже, добавил в filtering правило accept forwarding для доступа из ВПН сети к сети бриджа, это не дало никакого эффекта, до тех пор пока я не добавил правило masquerade для этих сетей, тогда пакеты пошли, затем я правило masquerade выключил но пакеты продолжили идти. И так вопрос, как это работает? Если они кастомизировали сетевой стек linux, почему это не работает как в linux? Откуда такое странное поведение? Дело в том что кроме этого бриджа у меня есть ещё несколько и они работают по такой же схеме, из ВПН сервера люди коннектятся в сети этих бриджей, только они завелись без плясок, при создании правил в filtering типа accept forward src 10.0.10.0/24 dst 192.168.20.0/24 всё заработало сразу, никаких маскарадов никаких инпутов. Объясните пж, есть тут кто разбирается? Модель 1009 никаких хардварных свичей. Хочу заметить что на роутере нет vlan и ещё при включении правила accept forwarding для сетей 10.0.10.0 и 192.168.20.0 из сети 10.0.10.0 не пингуется микротик 192.168.20.1, хотя всё что в этой сети есть за микротом доступно. Как это работает?

Answer 1

[Юрий MikroTik]

Значит не настроена маршрутизация. Поведение правильное.
Маскарад работает с соединениями и далее после выключения маскарада все работает пока это соединение не оборвется.

Разреши еще установленные и связанные соединения 1 правилом

/ip firewall filter
add action=accept chain=forward comment="accept est, rel, untr" connection-state=established,related,untracked

Comments

[gogie]

При выключении маскарада пакеты перестают натиться, то есть если я сейчас подключаюсь к серверу 192.168.20.35, на сервере мой адрес отображается не 192.168.20.1, а 10.0.10.7 . И после отключения маскарада я запускал и прекращал несколько пингов, промежутки между запусками были разные, самый большой около часа, я тестировал не только icmp, ещё ssh https. С тех пор прошли сутки, за эти сутки никто не пользовался соединением, но всё продолжает работать, как по вашему, соединение до сих держится?

[gogie]

И ещё вопрос, о какой маршрутизации идёт речь? У меня ещё два бриджа настроено по такой же схеме, только сети у них 192.168.0.0/24 и 192.168.10.0/24, динамической маршрутизации никакой нет, они завелись сразу, как только я добавил в filtering правило accept forward src 10.0.10.0/24 dst 192.168.0.0/24 ну и второе такое же, по аналогии.

[Юрий MikroTik]

gogie, конфигурацию опубликуй

[gogie]

spoiler

# 2025-08-15 10:08:33 by RouterOS 7.19.2
# software id = 7AAX-JC1B
#
# model = CCR1009-7G-1C-1S+
# serial number = 7AEC07B12FC2
/interface bridge
add name=lan-am
add name=lan-co
add name=lan-gc
add name=wan-bridge
/interface ethernet
set [ find default-name=ether1 ] advertise="10M-baseT-half,10M-baseT-full,100M\
    -baseT-half,100M-baseT-full,1G-baseT-half,1G-baseT-full"
set [ find default-name=ether2 ] advertise="10M-baseT-half,10M-baseT-full,100M\
    -baseT-half,100M-baseT-full,1G-baseT-half,1G-baseT-full"
set [ find default-name=ether3 ] advertise="10M-baseT-half,10M-baseT-full,100M\
    -baseT-half,100M-baseT-full,1G-baseT-half,1G-baseT-full"
set [ find default-name=ether4 ] advertise=1G-baseT-half,1G-baseT-full
set [ find default-name=ether5 ] advertise="10M-baseT-half,10M-baseT-full,100M\
    -baseT-half,100M-baseT-full,1G-baseT-half,1G-baseT-full"
set [ find default-name=ether6 ] advertise="10M-baseT-half,10M-baseT-full,100M\
    -baseT-half,100M-baseT-full,1G-baseT-half,1G-baseT-full"
set [ find default-name=ether7 ] advertise="10M-baseT-half,10M-baseT-full,100M\
    -baseT-half,100M-baseT-full,1G-baseT-half,1G-baseT-full"
/interface list
add name=lan
/ip pool
add name=gc_pool0 ranges=172.30.0.50-172.30.0.150
add name=gc_vpn_pool ranges=10.0.10.2-10.0.10.50
add name=co_pool0 ranges=172.40.0.50-172.40.0.150
add name=co_vpn_pool ranges=10.0.20.2-10.0.20.50
add name=am_pool0 ranges=172.50.0.50-172.50.0.150
/ip dhcp-server
add address-pool=gc_pool0 interface=lan-gc lease-time=10m name=gc
add address-pool=co_pool0 interface=lan-co lease-time=10m name=co
add address-pool=am_pool0 interface=lan-am lease-time=10m name=am
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
add local-address=10.0.10.1 name=gc_ovpn only-one=no remote-address=\
    gc_vpn_pool
add local-address=10.0.20.1 name=co_ovpn remote-address=co_vpn_pool
/interface bridge port
add bridge=lan-gc interface=ether1
add bridge=lan-gc interface=ether2
add bridge=lan-gc interface=ether3
add bridge=lan-am interface=ether4
add bridge=lan-co interface=ether5
add bridge=lan-co interface=ether6
add bridge=wan-bridge interface=combo1 unknown-multicast-flood=no \
    unknown-unicast-flood=no
/interface list member
add interface=lan-gc list=lan
add interface=ether7 list=lan
/interface ovpn-server server
add auth=sha256 certificate=ovpn_server cipher=aes256-cbc default-profile=\
    gc_ovpn disabled=no mac-address=FE:5E:26:71:AD:5A name=ovpn-server1 \
    user-auth-method=mschap2
/ip address
add address=172.30.0.1/24 interface=lan-gc network=172.30.0.0
add address=192.168.145.50/24 interface=ether7 network=192.168.145.0
add address=x.x.x.50/30 comment="gc DNAT & WAN" interface=wan-bridge \
    network=x.x.x.48
add address=172.40.0.1/24 interface=lan-co network=172.40.0.0
add address=y.y.y.34/29 comment="gc DNAT" interface=wan-bridge \
    network=y.y.y.32
add address=y.y.y.35/29 comment="gc DNAT" interface=wan-bridge \
    network=y.y.y.32
add address=y.y.y.36/29 comment="Ip for OpenVPN" interface=wan-bridge \
    network=y.y.y.32
add address=172.50.0.1/24 interface=lan-am network=172.50.0.0
/ip dhcp-server lease
add address=172.30.0.148 client-id=1:fc:34:97:a5:ce:11 comment=\
    "BMC: 03" mac-address=FC:34:97:A5:CE:11 server=gc
add address=172.30.0.138 client-id=1:58:11:22:b6:56:a1 comment=\
    "BMC: 69" mac-address=58:11:22:B6:56:A1 server=gc
add address=172.30.0.146 client-id=1:e8:9c:25:3d:c3:c0 comment=\
    "BMC: 5.03" mac-address=E8:9C:25:3D:C3:C0 server=gc
add address=172.30.0.136 client-id=1:fc:34:97:a5:ce:12 mac-address=\
    FC:34:97:A5:CE:12 server=gc
add address=172.30.0.135 client-id=1:58:11:22:b6:56:a0 mac-address=\
    58:11:22:B6:56:A0 server=gc
add address=172.30.0.132 client-id=1:e8:9c:25:3d:c3:bd mac-address=\
    E8:9C:25:3D:C3:BD server=gc
add address=172.40.0.149 client-id=1:fc:34:97:a5:cc:a5 comment=\
    "BMC: 6.03" mac-address=FC:34:97:A5:CC:A5 server=co
add address=172.40.0.143 client-id=\
    ff:66:41:af:e6:0:2:0:0:ab:11:c5:ed:d6:61:1:7c:e6:69 disabled=yes \
    mac-address=FC:34:97:A5:CC:A4 server=co
add address=172.50.0.149 client-id=1:bc:fc:e7:4f:ad:71 mac-address=\
    BC:FC:E7:4F:AD:71 server=am
add address=172.50.0.148 client-id=\
    ff:63:4:5e:60:0:2:0:0:ab:11:95:6c:85:7c:49:1b:f3:b0 mac-address=\
    BC:FC:E7:4F:AD:6F server=am
/ip dhcp-server network
add address=172.30.0.0/24 dns-server=1.1.1.1 gateway=172.30.0.1
add address=172.40.0.0/24 dns-server=1.1.1.1 gateway=172.40.0.1
add address=172.50.0.0/24 dns-server=1.1.1.1 gateway=172.50.0.1
/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" \
    connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment=\
    "accept to local loopback" dst-address=127.0.0.1
add action=accept chain=input dst-address=192.168.145.50 dst-port=8291 \
    protocol=tcp
add action=accept chain=input dst-address=y.y.y.36 dst-port=1194 \
    protocol=tcp
add action=accept chain=forward dst-address=172.30.0.0/24 src-address=\
    10.0.0.0/24
add action=accept chain=forward dst-address=172.40.0.0/24 src-address=\
    10.0.10.0/24
add action=accept chain=forward dst-address=172.50.0.0/24 src-address=\
    10.0.10.0/24
add action=accept chain=forward in-interface=lan-gc out-interface=\
    wan-bridge
add action=accept chain=forward in-interface=all-ppp out-interface=wan-bridge
add action=accept chain=forward out-interface=ether7
add action=accept chain=input in-interface=ether7
add action=accept chain=forward dst-address=192.168.145.0/24 src-address=\
    172.30.0.0/24
add action=accept chain=forward dst-address=172.30.0.0/24 src-address=\
    192.168.145.0/24
add action=drop chain=input comment="drop all not coming from LAN" \
    in-interface-list=!lan
add action=fasttrack-connection chain=forward comment=fasttrack \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
    new in-interface=wan-bridge
add action=drop chain=forward connection-state=invalid dst-address=\
    172.40.0.0/24 src-address=10.0.10.0/24
add action=drop chain=forward dst-address=172.30.0.0/24 src-address=\
    10.0.20.0/24
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=wan-bridge \
    src-address=10.0.10.0
add action=masquerade chain=srcnat disabled=yes dst-address=172.50.0.0/24 \
    src-address=10.0.10.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.145.0/24 \
    src-address=172.30.0.0/24
add action=masquerade chain=srcnat out-interface=wan-bridge src-address=\
    172.30.0.0/24
add action=masquerade chain=srcnat out-interface=wan-bridge src-address=\
    172.40.0.0/24
add action=masquerade chain=srcnat out-interface=wan-bridge src-address=\
    172.50.0.0/24
add action=dst-nat chain=dstnat dst-address=x.x.x.50 to-addresses=\
    172.30.0.136
add action=dst-nat chain=dstnat dst-address=y.y.y.34 to-addresses=\
    172.30.0.132
add action=dst-nat chain=dstnat dst-address=y.y.y.35 to-addresses=\
    172.30.0.135
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip route
add gateway=wan-bridge
/lcd
set backlight-timeout=10m color-scheme=dark default-screen=stats
/ppp secret
add name=admin profile=ovpn service=ovpn
/system clock
set time-zone-name=Europe/Riga
/system logging
add disabled=yes topics=ovpn,pptp,ppp,info,account
/system ntp client
set enabled=yes
/system ntp client servers
add address=0.lv.pool.ntp.org
add address=1.lv.pool.ntp.org

[Юрий MikroTik]

gogie,

Над
add action=accept chain=forward dst-address=172.30.0.0/24 src-address=\
10.0.0.0/24

добавь

add action=accept chain=forward comment="accept est, rel, untr" connection-state=established,related,untracked

Более 1 бриджа на микроте - это уже колхоз. Делай 1 бридж, а на нем вланы

[gogie]

Сетью 10.0.0.0/24, мы не пользуемся, я забыл её удалить. Добавил в существующие forwarding правила галочки для established,related,untrackerd, но так как пакеты ходили и так, на уже созданных сетях проверить не получится, теперь буду ждать пока появится возможность повторить кейс при создании новой сети. Спасибо.

Остался только один вопрос - из сетки 10.0.10.0/24 недоступны гейтвеи других сетей, 172.30.0.0/24 172.40.0.0/24 и так далее, то есть всё что за микротом в этих сетях доступно, а сам gateway на микроте нет, например ping 172.30.0.1 не работает, а ping 172.30.0.35 впорядке. Добавление галочек в connection-state для правил forwarding ничего не дало. И когда я пингую 172.30.0.1 пакеты на микроте снифер не показывает. Куда деваются пакеты?