Mikrotik UDP masquerade?

Question

[Юрий Витковский]

Доброго времени суток.

Обращаюсь к Вам, так как сам уже не знаю в какую сторону искать решение. Ситуация следующая. Есть офис, в котором поднят PPTP сервер. Есть несколько удаленных точек, на которых стоят маршрутизаторы Mikrotik, основной задачей которых является поднятие PPTP соединения в офис и пересылка через туннель определенный UDP трафик. Работает вроде бы все корректно, UDP трафик заворачивается в туннель, и нормально доходит до нашего сервера. Но есть одна проблема: приходящие пакеты имеют неправильный адрес отправителя. Т.е. часть пакетов вообще не маскарадятся (в src-address стоит адрес локальной сети Mikrotik'a), часть пакетов маскарадяться WAN адресом (в src-address стоит адрес полученный от провайдера), и часть пакетов приходят с правильным адресом. Так как часть сервисов, работающий в офисе шлют ответный трафик, на адрес отправителя пакета, то часть ответов не уходит назад в туннель, и не доходят до удаленных точек.

Для наглядности привожу настройки одного из маршрутизаторов:

[admin@MikroTik] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                            
 0   192.168.5.1/24     192.168.5.0     lan-master                                                                                                                                           
 1 D 172.28.44.44/24    172.28.44.0     wan                                                                                                                                                  
 2 D 192.168.1.176/32   192.168.1.50    pptp-office

[admin@MikroTik] /ip route> print    
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  79.134.0.224/28                    172.28.44.1              10
 1 ADS  172.16.0.0/12                      172.28.44.1              10
 2 ADC  172.28.44.0/24     172.28.44.44    wan                       0
 3 ADS  192.168.0.0/16                     172.28.44.1              10
 4 A S  192.168.1.0/24                     pptp-office               3
 6 ADC  192.168.1.50/32    192.168.1.176   pptp-office               0
 7 ADC  192.168.5.0/24     192.168.5.1     lan-master                0

[admin@MikroTik] /ip firewall nat> print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat action=masquerade out-interface=pptp-office

tcpdump'ом на PPTP сервере я вижу вот такой трафик:

admin@vpn:~$ tcpdump -qni ppp1
12:05:05.654126 IP 172.28.44.44.1004 > 192.168.1.214.1004: UDP, length 4
12:05:05.654178 IP 172.28.44.44.1004 > 192.168.1.43.1004: UDP, length 4
12:05:05.679792 IP 172.28.44.44.1004 > 192.168.1.214.1004: UDP, length 2
12:05:05.680007 IP 172.28.44.44.1004 > 192.168.1.43.1004: UDP, length 2
12:05:05.683508 IP 172.28.44.44.1005 > 192.168.1.214.1005: UDP, length 4
12:05:05.683547 IP 172.28.44.44.1005 > 192.168.1.43.1005: UDP, length 4
12:05:05.701710 IP 172.28.44.44.1005 > 192.168.1.214.1005: UDP, length 4
12:05:05.701742 IP 172.28.44.44.1005 > 192.168.1.43.1005: UDP, length 4
12:05:05.721987 IP 172.28.44.44.1005 > 192.168.1.214.1005: UDP, length 4
12:05:05.722116 IP 172.28.44.44.1005 > 192.168.1.43.1005: UDP, length 4
12:05:05.727862 IP 192.168.1.176.4002 > 192.168.1.214.4002: UDP, length 4
12:05:05.727898 IP 192.168.1.176.4002 > 192.168.1.43.4002: UDP, length 4
12:05:05.730461 IP 192.168.1.176.4002 > 192.168.1.214.4002: UDP, length 32
12:05:05.730496 IP 192.168.1.176.4002 > 192.168.1.43.4002: UDP, length 32
12:05:05.733296 IP 192.168.1.176.4002 > 192.168.1.214.4002: UDP, length 32
12:05:05.733328 IP 192.168.1.176.4002 > 192.168.1.43.4002: UDP, length 32

Вот такой вот трафик идет с другой точки. Там тоже стоит Mikrotik с аналогичной конфигурацией (сеть 192.168.13.0/24 является локальной со стороны Mikrokika, т.е. здесь часть трафика вообще не маскарадится):

admin@vpn:~$ tcpdump -qni ppp5
12:09:35.056017 IP 192.168.1.179.4004 > 192.168.1.214.4004: UDP, length 14
12:09:35.056051 IP 192.168.1.179.4004 > 192.168.1.43.4004: UDP, length 14
12:09:35.098550 IP 192.168.13.254.1025 > 192.168.1.214.6666: UDP, length 4
12:09:35.098589 IP 192.168.13.254.1025 > 192.168.1.215.6666: UDP, length 4
12:09:35.115159 IP 192.168.13.254.1025 > 192.168.1.214.6666: UDP, length 4
12:09:35.115196 IP 192.168.13.254.1025 > 192.168.1.215.6666: UDP, length 4
12:09:35.144055 IP 192.168.13.254.1025 > 192.168.1.214.6666: UDP, length 4
12:09:35.144091 IP 192.168.13.254.1025 > 192.168.1.215.6666: UDP, length 4
12:09:35.159975 IP 192.168.13.254.1025 > 192.168.1.214.6666: UDP, length 4
12:09:35.160008 IP 192.168.13.254.1025 > 192.168.1.215.6666: UDP, length 4
12:09:35.164412 IP 192.168.13.78.1003 > 192.168.1.214.1003: UDP, length 4
12:09:35.164446 IP 192.168.13.78.1003 > 192.168.1.215.1003: UDP, length 4

UPD: Примерная схема сети

Answer 1

[Юрий Витковский]

Проблема оказалась глюком самого Mikrotik'а. Поменяли порт по которому велась UDP рассылка, на другой, и все заработало. Вернули прежний порт - продолжило работать как надо.

Answer 2

[athacker]

Адресный план в вашей сети непонятен. Нарисуйте картинку из двух роутеров с их локальными подсетями, и распишите адресацию -- подсети и адреса на конкретных интерфейсах, и приложите сюда, это упростит анализ конфигурации. Вот примерно в таком виде: www.cisco.com/E-Learning/bulk/public/cln/store/top...

Comments

[Юрий Витковский]

Обновил вопрос, добавил схемку

[athacker]

У вас в туннеле подсеть 192.168.1.0/24, и в локалке, судя по IP-адресам, подсеть 192.168.1.0/24, из-за этого у PPTP-сервера едет крыша, и он не знает, как обрабатывать пакеты из этой подсети -- то ли слать их в туннель, то ли слать их в локалку. Так что спецэффекты возможны очень разные. Назначьте в туннеле IP-адреса из другой подсети, например, 192.168.2.0/24, и правильно распишите маршрутизацию.

[Юрий Витковский]

В том то и беда что проблема не в PPTP сервере. Даже если подправить сеть вот так https://drive.google.com/file/d/0B2YBRIQAZQQhb3N2N... проблема останется: в заголовке UDP пакета будет значится не правильный адрес отправителя, вместо ожидаемого 192.168.1.176 мы получаем 172.28.44.44

[athacker]

Так вы проделали это в реальности? Или нет?

[Юрий Витковский]

Да пробовал и такой вариант. Как я уже отписался помогла только смена номера UDP порта. Только после этого стали приходить пакеты с правильными заголовками.