PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Question

[Alex_Buzz]

Здравствуйте! Столкнулся с такой проблемой:
Создал PPTP тунель между двумя Микротиками:

Mikrotik A c "Белым IP" установлен в главном офисе, используется как шлюз для пользователей, на нем же поднят VPN PPTP Server.
Конфигурация такая:
LAN: 192.168.0.0/24
PPP>Interface>PPTP Server Binding:
user1 (для примера)
PPP>Secrets:
Name: user1
Local adress: 192.168.200.1
Remote adress: 192.168.200.2
Добавлена маршрутизация:
IP>Routes:
Dst.Adress: 192.168.1.0/24
Gateway: 192.168.200.2

Mikrotik B c "Белым IP" установлен в филиале, используется как шлюз для пользователей, на нем же настроен VPN PPTP Client.
Конфигурация такая:
LAN: 192.168.1.0/24
PPP>Interface>PPTP Client:
user1
Добавлена маршрутизация:
IP>Routes:
Dst.Adress: 192.168.0.0/24
Gateway: 192.168.200.1

Подключение устанавливается. Однако не проходит ping из сети ..1.0 в сеть ..0.0, вернее проходит только от Mikrotik A до Mikrotik B. наоборот - timeout... из локалки в локалку, так же timeout...
Помогите разобраться, пожалуйста...

Answer 1

[Кирилл Васильев]

пару тысяч раз я слышал подобное, в 99% был виноват виндовый фаервол, который по умолчанию разрешает подключатся только с адресов тойже сети.
не забывайте что фаервол надо настроить в винде, а не отключить

Comments

[Alex_Buzz]

Я, конечно, проверю файрвол на своем сервере. На первом этапе я взял профиль подключения для Mikrotik B/C и настроил клиента на Windows, так вот это работало.

[Alex_Buzz]

Прошу прощения за свой скепсис, виндовый фаервол был бОльшей частью проблемы.

Answer 2

[Александр Корюкин]

/ip firewall export
в студию

Comments

[Alex_Buzz]

/ip firewall filter
add chain=input comment="accept remote winbox" disabled=yes in-interface=ether1-WAN port=8291,80 protocol=tcp
add chain=input comment="accept PPTP tunels" dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input comment="accept l2tp tunels" port=1701,500,4500 protocol=udp
add chain=input protocol=ipsec-esp
add action=drop chain=input comment="drop invalid connections" connection-state=invalid
add chain=input comment="allow related connections" connection-state=related
add chain=input comment="allow established connections" connection-state=established
add chain=input in-interface=!ether1-WAN src-address=192.168.0.0/24
add chain=output comment="accept everything to internet" out-interface=ether1-WAN
add chain=output comment="accept everything to non internet" out-interface=!ether1-WAN
add chain=output comment="accept everything"
add action=drop chain=forward comment="drop invalid connections" connection-state=invalid
add chain=forward comment="allow already established connections" connection-state=established
add chain=forward comment="allow related connections" connection-state=related
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=input comment="drop everything else"
/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade out-interface=ether1-WAN

[Александр Корюкин]

Попробуйте в правилах NAT на обоих роутерах указать src. address - внутреннюю сеть для каждого роутера, а out. interface не указывать вообще.

[Alex_Buzz]

Александр Корюкин:
Mikrotik B
/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade out-interface=pppoe-out1
add action=masquerade chain=srcnat src-address=192.168.0.0/24

Теперь так выглядит. Пинга до сети 192.168.0.0 нет..
А если IP адреса внутри туннеля ввести в подсеть 192.168.0.0/24?

[Александр Корюкин]

add action=masquerade chain=srcnat comment=Masquerade out-interface=pppoe-out1

А вот это зачем?

[Александр Корюкин]

На Mikrotik A нужно:

/ip firewall nat
add action=masquerade chain=srcnat comment=Wan src-address=192.168.0.0/24

На Mikrotik B:

/ip firewall nat
add action=masquerade chain=srcnat comment=Wan src-address=192.168.1.0/24

[Alex_Buzz]

Александр Корюкин:

add action=masquerade chain=srcnat comment=Masquerade out-interface=pppoe-out1

А вот это зачем?

Это нат для выхода в интернет, если я все правильно понял.

Т.е. остальные правила НАТ не нужны?

[Александр Корюкин]

Alex_Buzz: да. только то, что я написал. если не указать внешний интерфейс в правиле НАТ, микротик сам разберётся, куда ему отправлять пакет. Например по правилам маршрутизации. 192.168.1.0/24 пойдёт в VPN, а всё остальное в ether1-wan.

[Alex_Buzz]

Александр Корюкин: ОК, сделал как вы сказали, по прежнему timeout...

[Ziptar]

Таблицу маршрутов MT B в студию, пожалуйста.

[Alex_Buzz]

Константин Антонов:

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.73.***.***             0
 1 ADC  10.73.***.****/32    46.147.***.***   pppoe-out1              0
 2 A S  192.168.0.0/24                     pptp-out-msk              1
 3 ADC  192.168.1.0/24     192.168.1.1     rov.local.bridge          0
 4 ADC  192.168.200.1/32   192.168.200.2   pptp-out-msk              0

[Ziptar]

Alex_Buzz:
2 A S 192.168.0.0/24 pptp-out-msk 1
должен ссылаться не на интерфейс, а на его ip, т.е. 192.168.200.1; иначе нат работать не будет

[Ziptar]

Alex_Buzz: не точно выразился - не на ip интерфейса, а на ip его гейта.

[Alex_Buzz]

Константин Антонов:

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.73.***.**              0
 1 ADC  10.73.***.**/32    46.147.**.***   pppoe-out1                0
 2 A S  192.168.0.0/24                     192.168.200.1             1
 3 ADC  192.168.1.0/24     192.168.1.1     rov.local.bridge          0
 4 ADC  192.168.200.1/32   192.168.200.2   pptp-out-msk              0

Timeout...

[Ziptar]

Alex_Buzz:
Чисто на всякий случай - фаервол на первом роутере не режет входящий icmp?

[Ziptar]

Alex_Buzz:
Вот вижу я в приведённом листинге правил фаервола последнее правило, дропающее все <прочие> входящие подключения, но не вижу перед ним что-либо, разрешающее входящий icmp

[Ziptar]

Alex_Buzz:
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp

Вы создаёте дополнительные цепочки, но не задаёте для них правила... зачем?

[Alex_Buzz]

Константин Антонов:

/ip firewall filter
add chain=input comment="accept remote winbox" disabled=yes in-interface=ether1-WAN port=8291,80 protocol=tcp
add chain=input in-interface=<pptp-pptp_rov-1> protocol=icmp

Добавил это правило, начали ходить пинги между маршрутизаторами, внутрь сетей пинга нет...
Цепочки для файервола появились из скрипта, который нашел где-то в интернете. Мне пока не хватает знаний для самостоятельной и осмысленной настройки файервола...
Эти правила я отключил. странно то, что я полностью отключал файервол и пинги все равно не ходили..

[Ziptar]

Alex_Buzz:
Гугл -> мануал по iptables
+
https://habrahabr.ru/post/188718/
QoS Вам пока не нужен, но в статье подробно разжёвано как что куда и откуда ходит внутри микротика.

А пока попробуйте временно отключить
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp

А лучше дайте ссылку на скрипт... может он помимо фильтра ещё и в мангл лезет...

[Alex_Buzz]

Константин Антонов: Вот скрипт файрвола:

/ip firewall filter

# INPUT
add chain=input connection-state=invalid action=drop comment="drop invalid connections"  
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"

# ext input

# local input
add chain=input src-address=192.168.0.1/24 action=accept in-interface=!ether1-WAN
# drop all other input
add chain=input action=drop comment="drop everything else"

# OUTPUT
add chain=output action=accept out-interface=ether1-WAN comment="accept everything to internet"
add chain=output action=accept out-interface=!ether1-WAN comment="accept everything to non internet"
add chain=output action=accept comment="accept everything"

# FORWARD
add chain=forward connection-state=invalid action=drop comment="drop invalid connections"  
add chain=forward connection-state=established action=accept comment="allow already established connections"  
add chain=forward connection-state=related action=accept comment="allow related connections"
	
add chain=forward src-address=0.0.0.0/8 action=drop  
add chain=forward dst-address=0.0.0.0/8 action=drop  
add chain=forward src-address=127.0.0.0/8 action=drop 
add chain=forward dst-address=127.0.0.0/8 action=drop 
add chain=forward src-address=224.0.0.0/3 action=drop 
add chain=forward dst-address=224.0.0.0/3 action=drop

# (1) jumping
add chain=forward protocol=tcp action=jump jump-target=tcp  
add chain=forward protocol=udp action=jump jump-target=udp  
add chain=forward protocol=icmp action=jump jump-target=icmp

# (3) accept forward from local to internet
add chain=forward action=accept in-interface=!ether1-WAN out-interface=ether1-gateway \
   comment="accept from local to internet"

# (4) drop all other forward
add chain=forward action=drop comment="drop everything else"

# (2) deny some types common types
add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"

add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"

add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad"
add chain=icmp action=drop comment="deny all other types"

# (5) drop all other forward
add chain=forward action=drop comment="drop (2) everything else"

В мангле только динамически созданные правила...

0  D chain=forward action=change-mss new-mss=1410 passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1411-65535 
      log=no log-prefix="" 

 1  D chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1361-65535 log=no 
      log-prefix=""

[Alex_Buzz]

Константин Антонов: И, да, те самые цепочки я отключил...
Если по умолчанию политика Mikrotikа все разрешать, то почему нет пинга при полностью отключено файрволе?

[Ziptar]

Alex_Buzz:
В скрипте есть много больше, чем Вы указали в первом комментарии.
На счёт вопроса - я бы на вашем месте забэкапил конфиги, грохнул их, и настроил с нуля, разбераяя по пунктам pptp, nat и firewall.
На игры в угадайку мы больше времени можем потратить :)

[Ziptar]

Alex_Buzz:
Всё не так страшно и не так сложно, как кажется на первый взгляд - сам всё это года три назад всего проходил :) Тогда доков по тикам было значительно меньше в рунете.

[Alex_Buzz]

Константин Антонов: Да, действительно в скрипте больше правил чем я указал, однако установились именно те, которые я показывал. Мне уже приходило в голову все сломать и заново построить, но мне бы все-таки не хотелось этого делать поскольку МТ А выступает еще в роли VPN L2TP сервера для удаленной работы менеджеров, а работают они почти всегда.
Конечно, если не получиться найти решение, то так и придется все поднимать с нуля, но мне бы хотелось этого избежать.

[Ziptar]

Alex_Buzz:
Тогдла, опять же, бэкап конфигов, сносите все правила фильтра и настраиваете только его. Можно по этому скрипту, но разбирая каждую его строчку.
Наиболее вероятно, что бОльшая его часть вам просто не нужна, но в любом случае полезно.
//я, в частности, вынес для себя тот факт, что при большом количестве правил использование jump-target дико удобно :)

Answer 3

[Gregory]

а если на интерфейсе ether2 выставить параметр ARP : proxy-arp ?

Comments

[Alex_Buzz]

proxy-arp выставлен на локальных бриджах. Этого должно быть достаточно, вроде.

[alegzz]

вообще не в тему, proxy-arp для не того

Answer 4

[alegzz]

я так и не понял
add action=masquerade chain=srcnat comment=Masquerade out-interface=pppoe-out1 - есть такое правило или нет?

Comments

[Alex_Buzz]

Теперь нет. Вернее есть, но отключено. Сейчас так:
Mikrotik A:
/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=ether1-WAN
add action=masquerade chain=srcnat comment=wan src-address=192.168.0.0/24

Mikrotik B:
/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade disabled=yes \
out-interface=pppoe-out1
add action=masquerade chain=srcnat comment=wan src-address=192.168.2.0/24

[alegzz]

add action=masquerade chain=srcnat comment=wan src-address=192.168.0.0/24
 add action=masquerade chain=srcnat comment=wan src-address=192.168.2.0/24

что это? o_O вы вообще понимаете, что A, прежде чем отправить пакет в сеть 192.168.1.0/24 меняет адрес в пакете на 192.168.2.1? а при ответе, Б поменял адрес на 192.168.2.2? ну вот они и поговорили друг с другом, что вы еще хотите?

[Alex_Buzz]

alegzz:
Прошу прощения, скопировал и не поправил... это настройки с третьего маршрутизатора (Mikrotik C), у него конечно своя подсеть 192.168.2.0/24. Он так же будет подключаться как клиент к МТ А. Я решил его пока не упоминать что бы попробовать пока на связке МТ А - МТ В.

[alegzz]

Alex_Buzz: так в итоге, вы можете дать текущие настройки роутеров без вашего вмешательства в вывод? из первого комментария Александра Корюкину с настройками все ок, но чем дальше в лес, тем больше ощущение, что вы правите конфиг перед тем, как нам показать и проверяете экстрасенсорные способности

[Alex_Buzz]

alegzz: Могу конечно. Мне важно не то что бы вы мне сказали как сделать, но и понять самому как это все работает и как корректно все это настраивать. Для начала, я решил настроить все на МТ А - МТ В. Если вы настаиваете, то вот:

Mikrotik A VPN PPTP Server.
Конфигурация:
LAN: 192.168.0.0/24
PPP>Interface>PPTP Server Binding:
user1 (для примера)
PPP>Secrets:
Name: user1
Local adress: 192.168.200.1
Remote adress: 192.168.200.2

b>PPP>Interface>PPTP Server Binding:
user2 (для примера)
PPP>Secrets:
Name: user2
Local adress: 192.168.200.1
Remote adress: 192.168.200.3

Добавлена маршрутизация:
Для Mikrotik B
IP>Routes:
Dst.Adress: 192.168.1.0/24
Gateway: 192.168.200.2

Для Mikrotik C
IP>Routes:
Dst.Adress: 192.168.2.0/24
Gateway: 192.168.200.3

Mikrotik B VPN PPTP Client.
Конфигурация такая:
LAN: 192.168.1.0/24
PPP>Interface>PPTP Client:
user1
Добавлена маршрутизация:
IP>Routes:
Dst.Adress: 192.168.0.0/24
Gateway: 192.168.200.1

Mikrotik C VPN PPTP Client.
Конфигурация такая:
LAN: 192.168.2.0/24
PPP>Interface>PPTP Client:
user2
Добавлена маршрутизация:
IP>Routes:
Dst.Adress: 192.168.0.0/24
Gateway: 192.168.200.1

Конфигурация Firewall идентична на всех трех устройствах, за исключением Mikrotik A, где разрешены PPTP.

[alegzz]

в целом, алгоритм такой:
1) разрешаем на шлюзах форвардинг (или по-умолчанию разрешено, и/или до первого подходящего запрета должно быть разрешающее правило).
2) прописываем маршрутизацию на шлюзах. маскарадинг при этом должен быть отключен (иначе смысл в маршрутизации теряется)

если с 192.168.200.1 успешный пинг до 192.168.200.2 (соответственно и наоборот), то вы что-то скрываете, тк из вышеприведенной схемы все ок

[Alex_Buzz]

alegzz:

если с 192.168.200.1 успешный пинг до 192.168.200.2 (соответственно и наоборот), то вы что-то скрываете, тк из вышеприведенной схемы все ок

От Mikrotik A (192.168.200.1) до Mikrotik B (192.168.200.2) пинг есть, а наоборот нет.

[alegzz]

ну вот выясните почему или показывайте неотредактированный конфиг

[Alex_Buzz]

alegzz: Что показать?

[alegzz]

/ip firewall export
А и Б
разрешите на А в таблице filter цепочки input пакеты на интерфейсе pptp и еще раз пропингуйте

[Alex_Buzz]

В пока недоступен, вот С

Mikrotik A

/ip firewall filter
add chain=input comment="accept remote winbox" disabled=yes in-interface=ether1-WAN port=8291,80 protocol=tc
add chain=input in-interface=<pptp-pptp_rov-1>
add chain=input comment="accept PPTP tunels" dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input comment="accept l2tp tunels" port=1701,500,4500 protocol=udp
add chain=input protocol=ipsec-esp
add action=drop chain=input comment="drop invalid connections" connection-state=invalid
add chain=input comment="allow related connections" connection-state=related
add chain=input comment="allow established connections" connection-state=established
add chain=input in-interface=!ether1-WAN src-address=192.168.0.0/24
add chain=output comment="accept everything to internet" out-interface=ether1-WAN
add chain=output comment="accept everything to non internet" out-interface=!ether1-WAN
add chain=output comment="accept everything"
add action=drop chain=forward comment="drop invalid connections" connection-state=invalid
add chain=forward comment="allow already established connections" connection-state=established
add chain=forward comment="allow related connections" connection-state=related
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=input comment="drop everything else"
/ip firewall nat
add action=masquerade chain=srcnat comment=wan src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=ether1-WAN

Mikrotik C

/ip firewall filter
add chain=input comment="accept remote Winbox" in-interface=pppoe-out1 port=8291 protocol=tcp
add chain=output comment="accept everything to internet" out-interface=ether1-WAN
add chain=output comment="accept everything to non internet" out-interface=!ether1-WAN
add chain=output comment="accept everything"
add action=drop chain=forward comment="drop invalid connections" connection-state=invalid
add chain=forward comment="allow already established connections" connection-state=established
add chain=forward comment="allow related connections" connection-state=related
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=wan src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=pppoe-out1

Input правило помогло. Пинг проходит до маршрутизатора, однако в сеть (192.168.0.0) пинг не проходить.

[Alex_Buzz]

alegzz:

1) разрешаем на шлюзах форвардинг (или по-умолчанию разрешено, и/или до первого подходящего запрета должно быть разрешающее правило).

А как это сделать?

[alegzz]

на А уберите
add action=masquerade chain=srcnat comment=wan src-address=192.168.0.0/24
на С соответственно
add action=masquerade chain=srcnat comment=wan src-address=192.168.2.0/24

в микротике стандартная политика - все разрешать. меня смутили джампы на цепочки, которых нет - думал они вырезаны

[Alex_Buzz]

alegzz: alegzz: T.е. в NAT вообще ни одного правила не должно быть?
Джампы отключил

[alegzz]

Alex_Buzz: для локальных сетей - нет. если хотите NAT, так обращайтесь по адресам 192.168.201-203, а не 192.168.0.x.
да, если захотите роутинг между B и C, то нужно будет proxy arp включить на pptp интерфейсе на микротике А

[alegzz]

маскарадинг нужен для устройств, для которых нет маршрутизации к их ip адресам. тк в интернете не маршрутизируются пакеты на приватные адреса, то для интернета маскарадинг нужен.
add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=ether1-WAN
вот так правильно (разрешите правило)
add action=masquerade chain=srcnat comment=wan src-address=192.168.0.0/24
вот так неправильно, тк без указания интерфейса, адрес будет изменен и для всех пакетов от 192.168.0.0/24, в том числе и в сети 192.168.1-2.0/24

[Alex_Buzz]

alegzz: А как же выйти в интернет без правил NAT? Может я чего-то не понимаю...

[alegzz]

Alex_Buzz: я же вам написал.

add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=ether1-WAN

указывайте интерфейс (разрешите правило выше)

[Alex_Buzz]

alegzz: Сделал, пинга в локалку нет. Только роутеры пингуются

[alegzz]

так что сделали то?

[alegzz]

Alex_Buzz: ну и давайте /ip route print тогда уж на обоих роутерах

[Alex_Buzz]

alegzz:
Поставил маскардинг, как вы и говорили. Вот роутинг:
Mikrotik A

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          188.64.***.*              1
 1 ADC  188.64.***.*/24    188.64.***.**   ether1-WAN                0
 2 ADC  192.168.0.0/24     192.168.0.1     dm.local.bridge           0
 3 ADC  192.168.0.171/32   192.168.0.93    <l2tp-krr.offic...        0
 4 ADC  192.168.0.173/32   192.168.0.33    <l2tp-loginova-1>         0
 5 A S  192.168.1.0/24                     192.168.200.2             1
 6 A S  192.168.2.0/24                     192.168.200.3             1
 7   S  192.168.3.0/24                     pptp-in-zdorovie          1
 8 A S  192.168.11.0/24                    pptp-out-kemerovo         1
 9 ADC  192.168.20.30/32   192.168.20.31   pptp-out-kemerovo         0
10 ADC  192.168.200.2/32   192.168.200.1   <pptp-pptp_krr>           0
11 ADC  192.168.200.3/32   192.168.200.1   <pptp-pptp_rov-1>         0

Mikrotik C

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.73.***.**              0
 1 ADC  10.73.***.**/32    46.147.**.***   pppoe-out1                0
 2 A S  192.168.0.0/24                     192.168.200.1             1
 3 ADC  192.168.2.0/24     192.168.2.1     rov.local.bridge          0
 4 ADC  192.168.200.1/32   192.168.200.3   pptp-out-msk              0

[alegzz]

ну тогда отлавливайте пакеты сниффером на обоих роутерах и смотрите в каком месте пакет вошел и не вышел (или вышел и не вошел)

[Alex_Buzz]

Запустил снифер, запустил пинг с МТ С (192.168.0.2) на МТ А (192.168.0.1).
На МТ С
Пакеты ходят туда и обратно (rx и tx) src. port 55871 dst.port 5678
На МТ А
Также туда-обратно правда поля src. port и dst.port пустые.

запустил пинг с МТ С (192.168.0.2) на адрес внутри сети (192.168.0.100)
На МТ С
Пакеты идут в одну сторону (tx) поля, src. port 55871 dst.port 5678.
На МТ А
Пакеты идут в одну сторону (rx) поля, src. port и dst.port пустые.

еще проскакивает такой пакет:
На снифере МТ С
Исходящий (tx) src.adress 192.168.200.3 src.port 55871 dst.adress 255.255.255.255 dst.port 5678 size 140
На снифере МТ A
Входящий (rx) src.adress 192.168.200.3 src.port 55871 dst.adress 255.255.255.255 dst.port 5678 size 140

[Alex_Buzz]

Такое чувство что просто не работает маршрутизация...

[alegzz]

Alex_Buzz: почему 192.168.0.2 и 192.168.0.1? O_o

[Alex_Buzz]

alegzz: поторопился. 192.168.2.1 на 192.168.0.1, конечно же.