Топология г*вно но должно работать?

Question

[Maksim]

(ни каких NAT нету, фаерволлы выключены на микротике, в керио самое первое правило всем отовсюду все разрешено)

Имеется сеть описаная выше, в пакет трейсе все работает (пинги между сетями ходят).

В реальной же ситуации (с применением керио):
PC 10.0.150.163 может пинговать 192.168.88.252
PC 192.168.88.252 не пингует PC 10.0.150.163 (но wireshark показывает что запросы на 163 приходят)

Маршруты:

На керио стат. маршрут 192.168.88.0 255.255.255.0 10.0.150.156
На микротике нет маршрутов.

ШО НЕ ТАК?

UPD: 10.0.150.1 - Kerio
UPD: 10.0.150.45 - Asterisk (в сети с керио, не отмечен на схеме)

UPD2: Заметил странность

[admin@MikroTik] > ping 10.0.150.45 src-address=192.168.88.1
SEQ HOST SIZE TTL TIME STATUS
0 10.0.150.45 timeout
1 10.0.150.45 timeout
2 10.0.150.45 timeout
3 10.0.150.45 timeout
4 10.0.150.45 timeout
sent=5 received=0 packet-loss=100%

Теперь отправляю пару пингов с Астериска (с 150.45 до 88.1 - всегда работало, просто проверил) и останавливаю

Повторяю процедуру с микротика:
[admin@MikroTik] > ping 10.0.150.45 src-address=192.168.88.1
SEQ HOST SIZE TTL TIME STATUS
0 10.0.150.45 56 64 0ms
1 10.0.150.45 56 64 0ms
2 10.0.150.45 56 64 0ms
3 10.0.150.45 56 64 0ms
sent=4 received=4 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

Шайтан?

Answer 1

[Dmitry Tallmange]

PC 192.168.88.252 не пингует PC 10.0.150.163 (но wireshark показывает что запросы на 163 приходят)

Если wireshark показывает, что запросы приходят - значит пакеты доходят. Другое дело, что 10.0.150.163, возможно, не хочет на них отвечать?) Например, в виндах 7/8/10 по умолчанию хост не будет отвечать на входящий icmp запрос.

Comments

[Maksim]

ну в той же сети отвечает:)

тот же самый керио пингует этот комп ответы приходят, фаерволлы исключены на компах...все выключил

[Dmitry Tallmange]

Maksim: какая ОСЬ на 163? Выключить "все" можно только в линухе, в винде, как показывает практика, всегда остается какая-то "полезная" безопасность.

[Maksim]

Dmitry: видимо плохо читаете выше описаное, с этого же компа пинги в сторону микротиковской сети ходят, керио может его пинговать и получает ответы.

P.S. в сети с керио достаточно другого оборудования (и на линухе) тоже не пингуются :)

[Dmitry Tallmange]

Maksim: видимо я плохо вижу, но где на указанной схеме устройство "керио"?

[Maksim]

Dmitry: Пардон затерлось, 10.0.150.1 - это керио

[Dmitry Tallmange]

Машина 192.168.88.252 пингует керио?

[Maksim]

Dmitry: Да.

[Dmitry Tallmange]

Maksim: является ли керио шлюзом по умолчанию для всех машин в 10.0.150.0/24 ?

[Maksim]

Dmitry: [admin@MikroTik] > ping 10.0.150.1 src-address=10.0.150.156
SEQ HOST SIZE TTL TIME STATUS
0 10.0.150.1 56 128 0ms
sent=1 received=1 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

[admin@MikroTik] > ping 10.0.150.1 src-address=192.168.88.1
SEQ HOST SIZE TTL TIME STATUS
0 10.0.150.1 56 128 0ms
1 10.0.150.1 56 128 0ms
sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

[admin@MikroTik] > ping 10.0.150.163 src-address=10.0.150.156
SEQ HOST SIZE TTL TIME STATUS
0 10.0.150.163 56 128 1ms
1 10.0.150.163 56 128 0ms
sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms

[admin@MikroTik] > ping 10.0.150.163 src-address=192.168.88.1
SEQ HOST SIZE TTL TIME STATUS
0 10.0.150.163 timeout
1 10.0.150.163 timeout
sent=2 received=0 packet-loss=100%

[Maksim]

Dmitry: ну не знаю для всех ли, но для тех что пингую да :)

[Dmitry Tallmange]

Maksim: здорово) однако мой вопрос в силе) Знает ли кто-нибудь кроме керио о существовании удаленной сети 192.168.88.0/24? Дайте таблицу маршрутизации с 10.0.150.163

[Maksim]

Dmitry: вы издеваетесь? :)
в самом начале я написал что 163 может пинговать подсеть 88 - от сюда вывод что какой то основной шлюз там прописан (а прописан там 10.0.150.1). Понятное дело что если прописать вместо 150.1, 150.156 пакеты бегают (и это так они бегают) но суть же в другом :)

[Dmitry Tallmange]

Maksim: я всего лишь попросил таблицу маршрутизации, я не издеваюсь. Для того, чтобы решить проблему мне нужна конкретика)

[Maksim]

Dmitry: Лень до компа идти :)

Вот астерис с адресом 10.0.150.45

[root@pbx ~]# ping 192.168.88.252
PING 192.168.88.252 (192.168.88.252) 56(84) bytes of data.
From 10.0.150.1: icmp_seq=1 Redirect Host(New nexthop: 10.0.150.156)
64 bytes from 192.168.88.252: icmp_seq=1 ttl=127 time=1.15 ms
From 10.0.150.1: icmp_seq=2 Redirect Host(New nexthop: 10.0.150.156)
64 bytes from 192.168.88.252: icmp_seq=2 ttl=127 time=0.601 ms

[root@pbx ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.150.0 * 255.255.255.0 U 0 0 0 eth0
default 10.0.150.1 0.0.0.0 UG 0 0 0 eth0

Пинг на астериск так же не проходит (со стороны сети 88.0)

Answer 2

[Ivan]

UPD2: Заметил странность

По какой-то причине pbx не получает ICMP redirect от керио, когда с pbx уходит reply на сеть "88". Возможно дело в statefull режиме керио.
Покажите tcpdump -npvei eth0 icmp с pbx + arp -an, выполнив

[admin@MikroTik] > ping 10.0.150.45 src-address=192.168.88.1

и также не получив ответа.

[root@pbx ~]# ping 192.168.88.252
PING 192.168.88.252 (192.168.88.252) 56(84) bytes of data.
From 10.0.150.1: icmp_seq=1 Redirect Host(New nexthop: 10.0.150.156)
64 bytes from 192.168.88.252: icmp_seq=1 ttl=127 time=1.15 ms

PS.
Трафик у вас ходит мимо керио из-за ICMP redirect, отключите редирект, все равно flow будет ассиметричный, что не хорошо.

Comments

[Maksim]

Решил вопрос иначе, поставил новую версию Керио (с поддержкой VLAN) и на ВЛАН разрулил как нужно.