Mikrotik: 2шлюза. Нет пинга между промаркированными локальными адресами. Как быть?

Question

[Алексей Русаков]

Имеется железка Mikrotik с двумя шлюзами в интернет.

Интерфейсы:
eth1-Provider1
eth2-Provider2
eth3-Local

Подсети (для удобства раздробил /24):
[admin@MikroTik] /ip pool> print detail
0 ranges=172.16.19.32/27
1 ranges=172.16.19.64/26
2 ranges=172.16.19.128/26
3 ranges=172.16.19.192/26

Маркировка:
[admin@MikroTik] /ip route rule> print detail
Flags: X - disabled, I - inactive
0 src-address=172.16.19.64/26 action=lookup table=out2
1 src-address=172.16.19.192/26 action=lookup table=out1
2 src-address=172.16.19.128/26 action=lookup table=out2
3 src-address=172.16.19.32/27 action=lookup table=out1

Два роута на провайдеров:
0 A S dst-address=0.0.0.0/0 pref-src=172.16.19.1 gateway=pppoe-out1
gateway-status=pppoe-out1 reachable distance=1 scope=30 target-scope=10
routing-mark=out1

1 A S dst-address=0.0.0.0/0 pref-src=172.16.19.1 gateway=pppoe-out2
gateway-status=pppoe-out2 reachable distance=1 scope=30 target-scope=10
routing-mark=out2

Пробросы на шлюзы провайдеров работают отлично, компы ходят куда надо. НО! Пинги между локальными подсетями не ходят. Если убрать роуты, то все норм. Доступны компы только из своей подсети. Если маркировку делаю персонально на каждый IP, то вообще ни до одного не достучатся в локалке, доступен только адрес микротика. Трассировка показывает что запрос уходит мимо микротика на провайдера.

Каким правилом победить? Нужно чтобы и в инет ходили на заданный шлюз, и доступность между компами была.

Answer 1

[satoo]

какие у микротика локальные адреса?
у локальных компов какая маска подсети и шлюз?
покажите

/ip route print
/ip address print

Comments

[Алексей Русаков]

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 172.16.19.1 pppoe-out1 1
1 A S 0.0.0.0/0 172.16.19.1 pppoe-out2 1
2 ADS 0.0.0.0/0 80.71.208.96 0
3 ADC 80.71.208.96/32 10.40.141.166 pppoe-out2 0
pppoe-out1
4 ADC 172.16.19.0/24 172.16.19.1 ether3-LAN1 0

[admin@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 172.16.19.1/24 172.16.19.0 ether3-LAN1
1 D 10.40.141.166/32 80.71.208.96 pppoe-out2
2 D 10.40.141.189/32 80.71.208.96 pppoe-out1

[satoo]

как я понял, у компов маска 24...
смотрите: у микротика есть маршрут до подсети 172.16.19.0/24, подсеть 172.16.19.64/26 это другая подсеть и он просто не знает куда ему отсылать. добавьте маршрут на дробленные подсети через интерфейс 3 и все должно заработать

[Дмитрий Шицков]

satoo: Компы в подсетях /26, роутер в сети /24
172.16.19.0/24 - это supernet для 172.16.19.64/26, роутер должен маршрутизировать эти подсети.

[Алексей Русаков]

Дмитрий Шицков: Он маршрутизирует только одну подсеть /26, а в остальные /26 не маршрутизирует. Т.е. каждая подсеть /26 общается только внутри себя. Если отключить роуты на провайдеров, то маршрутизация идет в любую подсеть. Но интернет шлюз получается тогда один на всех, на выбор микротика из двух.

[Алексей Русаков]

satoo: добавлял, не помогает. Если роуты на провайдеров отключаю, то маршруты идут по локалке. Но тогда и компы прут только через одного провайдера.

[satoo]

:) номера подсетей на пк и адрес шлюза на них же в студию

[satoo]

вы побили сеть на подсети, если взять 172.16.19.64/26, то:
Address: 172.16.19.64 AC.10.13.40 10101100.00010000.00010011.01 | 000000
Bitmask: 26 11111111.11111111.11111111.11 | 000000
Netmask: 255.255.255.192 FF.FF.FF.C0 11111111.11111111.11111111.11 | 000000
Wildcard: 0.0.0.63 00.00.00.3F 00000000.00000000.00000000.00 | 111111
Network: 172.16.19.64 AC.10.13.40 10101100.00010000.00010011.01 | 000000
HostMin: 172.16.19.65 AC.10.13.41 10101100.00010000.00010011.01 | 000001
HostMax: 172.16.19.126 AC.10.13.7E 10101100.00010000.00010011.01 | 111110
Broadcast: 172.16.19.127 AC.10.13.7F 10101100.00010000.00010011.01 | 111111
Hosts: 62

у вас же адрес шлюза 0 172.16.19.1/24 172.16.19.0 ether3-LAN1

[Алексей Русаков]

satoo: ну да, побил. и в пределах HostMin и HostMax /26 роуты идут. А между /26ми нет. Какое правило прописать чтобы пошли роуты между /26? Сейчас если маркировку отключить в /ip route rule то трафик бегает между /26.

тут еще в чем фикус, даже если не разбивать на подсети, а маркировать в /ip route rule каждый IP персонально, то между IP так же пинги не идут.

[Алексей Русаков]

satoo: а трассировка показывает что обращение из подсети 172.16.19.64/26 в 172.16.19.192/26 уходит в сторону провайдера. он соответственно не знает что это, и проход закрывается) Я то в принципе понимаю почему запросы в сторону провайдера лезут, но как их правильно направить между локальными подсетями? По сути как развернуть трафик у провайдера я понимаю, а как у себя на роутере не могу сообразить)

[satoo]

возможно пятница, но я не понимаю, как у тебя может идти траффик из твоей подсети 172.16.19.64/26 идти на микротик с адресом 172.16.19.1. Это как на подсети 192.168.1.0/24 шлюзом указать 192.168.10.1 (одна /16 подсеть работает, т.к. у тебя адрес шлюза в нее входит)

[satoo]

будем разбираться последовательно. возьмем любой пк из 172.16.19.64/26 подсети. какой у него адрес, маска и шлюз?

[Алексей Русаков]

satoo:
раздает адреса DHCP через радиус, с привязкой по MAC:
172.16.19.64
255.255.255.192
172.16.19.1

[Александр Романов]

Зачем колхоз с разными масками на компах и на шлюзе? Создайте адрес-лист в количестве 3х штук, загоните туда подсетки с /26 масками. А компам отдайте нормальную /24 подсеть. В мангле для маркировки используйте не сорс-адрес, а сорс-адрес-лист. Все проблемы.

[satoo]

Алексей Русаков: отлично. если в уме посчитать не можем (маска может быть хитрая или адрес) - заходим на любой сайт по запросу Ip calculator. вводим адрес сети, маску и что видим (см предыдущий пост):
HostMin: 172.16.19.65 (минимальный адрес сети)
HostMax: 172.16.19.126 (максимальный адрес сети)
у вас компьютер знает, что если ему надо переслать пакет на какие-то адреса из этого диапазона, то ему не надо прибегать к услугам маршрутизатора. а если выходит за диапазон - надо переслать маршрутизатору (например на шлюз по умолчанию).

далее...
у вас адрес маршрутизатора находится ЗА ПРЕДЕЛАМИ СЕТИ. компьютер никуда слать не должен. даже не должен пытаться. т.к. это бы выглядело, как я писал выше (на подсети 192.168.1.0/24 шлюзом указать 192.168.10.1)

далее... чтобы у вас все получилось надо дать адрес маршрутизатора из данной подсети. т.е., например, указать шлюзом 172.16.19.65 и, соответственно, на маршрутизаторе, на интерфейсе езер 3 соответственно тоже указать данный адрес и маску... после этого маршрутизатор хоть начнет получать пакеты от данного пк.

не даю готовое решение специально, чтоб думали, а не копипастили ;)

[satoo]

для интереса - попробуйте вручную задать такой адрес компа, маску и шлюз. винда ругнется, что шлюз находится "где-то-не-там"

[Александр Романов]

Либо вариант два (костыль):
Добавьте микротику на интерфейс айпи из каждой /26 подсети и сделайте его шлюзом для компов в каждой подсети. И всё, проблема решена без таблицы маршрутизации

[satoo]

Александр: он хотел траффик меж провайдеров правилом рулить, по-этому с таблицей маршрутизации ему придется столкнуться. а первая его ошибка - маска и адрес маршрутизатора не является костылем - это просто ошибка

[Дмитрий Шицков]

И почему так никто и не обратил внимания на то, что трафик к провайдеру не натится?)

[satoo]

Дмитрий Шицков:
во-первых здесь нет дампа правил фиревола, а пользователь говорил, что у него откуда-то работает
во-вторых а траффик двух из трех сетей до маршрутизатора вообще не попадает. :) тут надо решать последовательно.

[Алексей Русаков]

satoo: Александр: Дмитрий Шицков: Спасибо за советы, в понедельник буду на работе, поправлю. Отпишусь)
Дмитрий Шицков: кстати, трафик к провайдеру натится, правило прописано. Для адрес листа через маскарад.

[Алексей Русаков]

satoo: Короче сделал на раздачу DHCP маску /24 для всех. Пулы /27 оставил для групп Радиуса. Все теперь как надо работает, компы ходят в инет через нужный шлюз, и видят друг друга. Спасибо!

[Александр Романов]

Алексей Русаков: Пжалст )

Answer 2

[Кирилл Васильев]

Так поведение маршрутизатора правильно, вы как настроили он так и работает! =))
давайте смотреть

/ip route rule> print detail
0 src-address=172.16.19.64/26 action=lookup table=out2 
1 src-address=172.16.19.192/26 action=lookup table=out1 
2 src-address=172.16.19.128/26 action=lookup table=out2 
3 src-address=172.16.19.32/27 action=lookup table=out1

хост 172.16.19.65 хочет соединиться с 172.16.19.193, что произоёдет?
по вашей схеме
src-address=172.16.19.64/26 action=lookup table=out2
маршрутизатор будет искать маршрут для данного хоста в таблице out2, конкретно в таблице out2 есть маршрут 0.0.0.0/0 который будет использован в для данного трафика.
Соостветсвено вам либо в route rule сделать исключение и направить данный трафик в таблицу main
либо в mangle исключить маршрутизацию к сетям bogon

Answer 3

[Дмитрий Шицков]

Попробуйте дописать маршруты для каждой подсети. У вас по сути только 2 маршрута сейчас, и оба они - по умолчанию, куда и уходит весь трафик, в т.ч. локальный межсетевой.

И почему до провайдеров у вас роуты? Вы не натите трафик?
Возможен, наверно, альтернативный вариант - маркировать трафик (или сразу натить), направляющийся не в 172.16.19.0/24 фаерволом, а не правилами маршрутизации.