Недоступна локальная сеть микротика. В чем может быть причина?

Question

maks-andreev @maks-andreev

Недоступна локальная сеть микротика. В чем может быть причина?

На VPS-ке подняты L2TP и OVPN сервера. На микротике поднят L2TP клиент. Домашний ПК - клиент OVPN. С микротика пинги до впн клиента идут. С впн клиента пингуется только интерфейс L2TP микротика, пинги до локальной сети микротика не идут. Что не так?
Список интерфейсов на сервере

eth0 - смотрит в интернет
tun0 - Openvpn туннель 10.10.10.0/24
ppp0 - l2tp туннель 10.10.11.2-10.10.11.6

Маршруты на сервере.

netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         55.83.62.1      0.0.0.0         UG        0 0          0 eth0
55.83.62.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.10.10.0      0.0.0.0         255.255.255.0   U         0 0          0 tun0
10.10.11.2      0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
10.10.12.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0

iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 14 packets, 1777 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     3148  427K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        9  5114 ACCEPT     all  --  *      *       10.10.11.0/29        0.0.0.0/0           
3        1    84 ACCEPT     all  --  *      *       0.0.0.0/0            10.10.11.0/29      
4        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU
5        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID

Chain OUTPUT (policy ACCEPT 14 packets, 1620 bytes)
num   pkts bytes target     prot opt in     out     source               destination

ip_forward = 1
Маршруты на клиенте OVPN

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.10.11.0      10.10.10.1      255.255.255.0   UG    0      0        0 tun0
10.10.12.0      0.0.0.0         255.255.255.0   UH    0      0        0 tun0

Трассировка с впн клиента до локальной сети микротика

~$ traceroute 10.10.12.24
traceroute to 10.10.12.24 (10.10.12.24), 30 hops max, 60 byte packets
 1  10.10.10.1 (10.10.10.1)  47.490 ms  94.475 ms  94.491 ms
 2  10.10.11.2 (10.10.11.2)  141.637 ms  141.668 ms  141.670 ms
 3  * * *
 4  * * *

Маршруты на микротике.

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                         64.83.21.1                1
 1 ADC  64.83.21.0/22      64.83.21.12    eth1                      0
 2 X S  10.10.10.0/24                     l2tp-out1                 1
 3 ADC  10.10.11.1/32     10.10.11.2      l2tp-out1                 0
 4 ADC  10.10.12.0/24     10.10.12.1      bridge-local              0

Вопрос задан более трёх лет назад
1180 просмотров

2 комментария

Подписаться 2 Оценить 2 комментария

Николай @URL

Можно посмотреть /ip firewall filter print

Написано более трёх лет назад

maks-andreev @maks-andreev Автор вопроса

Николай:

Flags: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward 

 1    ;;; drop ssh brute forcers
      chain=input action=drop protocol=tcp src-address-list=ssh_blacklist log=no log-prefix="" 

 2    ;;; record https brute forcers
      chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=443 log=yes 
      log-prefix=" --- HTTPS ATTEMPT --- " 

 3    ;;; record ssh brute forcers
      chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=22 log=yes 
      log-prefix=" --- SSH ATTEMPT --- " 

 4    ;;; record http brute forcers
      chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=80 log=yes 
      log-prefix=" --- HTTP ATTEMPT --- "  

 5    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 6    ;;; default configuration
      chain=input action=accept connection-state=established,related log=no log-prefix="" 

 7    ;;; default configuration
      chain=input action=drop in-interface=eth1 log=no log-prefix="" 
 
 8    ;;; default configuration
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

 9    ;;; default configuration
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 

10    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

11    ;;; default configuration
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=eth1 log=no log-prefix="" 

12    ;;; Deny invalid connections
      chain=input action=drop connection-state=invalid log=no log-prefix=""

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

1 комментарий

3 комментария

maks-andreev @maks-andreev Автор вопроса

С клиента нет.

$ traceroute 10.10.12.1
traceroute to 10.10.12.1 (10.10.12.1), 30 hops max, 60 byte packets
 1  10.10.10.1 (10.10.10.1)  49.287 ms  211.249 ms  211.267 ms
 2  10.10.11.1 (10.10.11.1)  258.391 ms  258.425 ms  258.431 ms 
***
 30

Написано более трёх лет назад

alegzz @alegzz

увидел. но на микротике нужно включить маршрут до 10.10.10.0/24

Написано более трёх лет назад
maks-andreev @maks-andreev Автор вопроса

alegzz: Он включен. По запарке выложил маршруты с выключеным.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+1 ещё

Средний
Почему не запускается графический интерфейс kali linu?
- 1 подписчик
- 52 минуты назад
- 14 просмотров
1

ответ
Сетевое администрирование

+2 ещё

Средний
Как включить HBA на HP Array P420I (hp proliant dl380p gen8)?
- 2 подписчика
- 10 часов назад
- 65 просмотров
1

ответ
Компьютерные сети

+1 ещё

Средний
Чем мониторить arp на mikrotik?
- 3 подписчика
- 13 часов назад
- 138 просмотров
2

ответа
Компьютерные сети

+1 ещё

Простой
Почему роутер openwrt не видит клиента со статическим ip?
- 1 подписчик
- 13 часов назад
- 58 просмотров
3

ответа
Linux

+3 ещё

Средний
Как регистры SOC отображаются на память Linux?
- 1 подписчик
- 17 часов назад
- 83 просмотра
1

ответ
Компьютерные сети

Простой
Как обойти ограничение мобильного провайдера на максимальный файл?
- 1 подписчик
- вчера
- 153 просмотра
3

ответа
Компьютерные сети

Средний
Почему по вечерам снижается скорость загрузки с VPS?
- 4 подписчика
- вчера
- 455 просмотров
1

ответ
Linux

+2 ещё

Средний
Возможно написать аналог bash на PowerShell?
- 2 подписчика
- вчера
- 256 просмотров
6

ответов
Компьютерные сети

+3 ещё

Простой
Как вывести время последнего онлайна хоста в Zabbix?
- 2 подписчика
- вчера
- 214 просмотров
2

ответа
Linux

+1 ещё

Простой
Как в Linux ограничить юзеру изменение панелей и тд?
- 1 подписчик
- 19 нояб.
- 106 просмотров
5

ответов
Показать ещё Загружается…

Системный администратор Astra Linux

Гринатом • Новосибирск

До 60 000 ₽

Системный инженер (Windows/Astra Linux)

Гринатом • Новосибирск

До 57 000 ₽

Ведущий инженер Linux

Интер РАО – Управление сервисами • Москва

от 180 000 ₽

Перерисовать логотип в векторе

22 нояб. 2024, в 00:55

500 руб./за проект

Разработка алгоритма на python (Data engineering)

21 нояб. 2024, в 23:30

300000 руб./за проект

Верстка Flutter + API

21 нояб. 2024, в 22:21

3000 руб./в час

Николай:
Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=forward 1 ;;; drop ssh brute forcers chain=input action=drop protocol=tcp src-address-list=ssh_blacklist log=no log-prefix="" 2 ;;; record https brute forcers chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=443 log=yes log-prefix=" --- HTTPS ATTEMPT --- " 3 ;;; record ssh brute forcers chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=22 log=yes log-prefix=" --- SSH ATTEMPT --- " 4 ;;; record http brute forcers chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=80 log=yes log-prefix=" --- HTTP ATTEMPT --- " 5 ;;; default configuration chain=input action=accept protocol=icmp log=no log-prefix="" 6 ;;; default configuration chain=input action=accept connection-state=established,related log=no log-prefix="" 7 ;;; default configuration chain=input action=drop in-interface=eth1 log=no log-prefix="" 8 ;;; default configuration chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 9 ;;; default configuration chain=forward action=accept connection-state=established,related log=no log-prefix="" 10 ;;; default configuration chain=forward action=drop connection-state=invalid log=no log-prefix="" 11 ;;; default configuration chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=eth1 log=no log-prefix="" 12 ;;; Deny invalid connections chain=input action=drop connection-state=invalid log=no log-prefix=""

Answer 1 · 2016-10-08 10:14:08

Если локальная сеть в микротике за нат-ом, то на нем должен быть разрешен форвардинг пакетов, ну и должен быть маршрут на сервере в локальную сеть микротика, с прописаным шлюзом, а у вас он 0.0.0.0

Answer 2 · 2016-10-08 15:58:46

alegzz @alegzz

traceroute 10.10.12.1 проходит?

Ответ написан более трёх лет назад

3 комментария

Недоступна локальная сеть микротика. В чем может быть причина?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт