Что не так с маршрутизацией Mikrotik?

Question

[Дмитрий Добрышин]

Есть сеть:
Роутер микротик, через который есть доступ в интернет и всё, что напрямую подключено к нему, получает этот доступ. Сеть 192.168.10.0/24 И второй микротик, на котором организованы несколько сетей (192.168.1.0/24, 192.168.11.0/24, 192.168.99.0/24, 10.254.0.0/16). Второй микротик подключён к первому, и получил от него IP адрес 192.168.10.49.
Почему так сделано, не спрашивайте. Подрядчик, с которым заключали договор вместо использования сети первого микротика установил дополнительное оборудование и сейчас, имея только удалённый доступ через первый микротик пытаюсь реанимировать сеть подрядчика.

Конфигурация маршрутов первого микротика:

.    Dst. Address     Gateway                        Distance  Pref. Source
AS   0.0.0.0/0        10.2.0.1 reachable ether1      1
DAC  10.2.0.0./19     ether1 reacable                0         10.2.7.136
AS   192.168.1.0/24   192.168.0.49 reachable bridge  1
DAC  192.168.10.0/24  bridge reachable               0         192.168.10.1
AS   192.168.11.0/24  192.168.0.49 reachable bridge  1
AS   192.168.99.0/24  192.168.0.49 reachable bridge  1

Маршрутизация второго микротика:

.    Dst. Address     Gateway                         Distance  Pref. Source
DS   0.0.0.0/0        192.168.10.1 unreachable        1
DAC  10.254.0.0/16    vlan102 reachable               0         10.254.0.1
DAC  192.168.1.0/24   vlan100 reachable               0         192.168.1.1
AS   192.168.10.0/24  ether6 reachable                1
DAC  192.168.11.0/24  vlan101 reacable                0         192.168.11.1
DAC  192.168.99.0/24  vlan99 reachable                0         192.168.99.1

Так вот, вопрос - почему первый маршрут через GW 192.168.10.1 (DS 0.0.0.0/0 192.168.10.1 unreachable 1), который получен автоматически и не доступен для изменения, не работает? В то же время, из терминала второго микротика всё оборудование сети 192.168.10.0/24 пингуется, в том числе 192.168.10.1. Всё участники сетей второго микротика из сети первого микротика так же доступны. Что я упустил?

Ах, да. NAT.
Первый микротик:

0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none

Второй микротик:

Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether6 log=no log-prefix=""

1 chain=srcnat action=src-nat to-addresses=192.168.1.1
src-address=192.168.99.0/24 dst-address=192.168.1.0/24 log=no
log-prefix=""

2 chain=srcnat action=src-nat to-addresses=192.168.1.1
src-address=192.168.11.0/24 dst-address=192.168.1.0/24 log=no
log-prefix=""

Upd. Мне необходимо выпустить все подсети второго микротика в интернет. То есть сделать активным маршрут DS 0.0.0.0/0 192.168.10.1. Снести вланы к сожалению нельзя из-за уже настроенного на них оборудования и хорошо между собой функционирующего.

Answer 1

[АртемЪ]

Ну какие могут быть маршруты, если у вас там NAT?
Если нужна маршрутизация - не прячьте сети за NAT.

Comments

[Дмитрий Добрышин]

Скажите, как, не разрушив существующую конфигурацию сетей, убрать только NAT или сделать его прозрачным в обе стороны? В фаерволе второго микротика стоят только правила allow на все направления.

[АртемЪ]

Дмитрий Добрышин, Варианта два - либо вы используете второй микротик как свитч и объединяете сети - если вам нужна одна сеть.
Либо вы используете второй микротик как маршрутизатор, но не используете NAT, а просто прописываете маршруты между двумя сетями. Только надо следить, чтобы адресация не пересекалась.

[Дмитрий Добрышин]

АртемЪ, эх. В том то и дело, что объединить сети не могу, там в разных вланах настроенное оборудование, которое дистанционно перенастроить не представляется возможным, только непосредственно тыкать кнопочки на месте, а ехать очень-очень далеко (точнее ехать вообще не получится и там на месте никто не будет что-то делать).
Адреса сетей на двух микротиках разные. Они точно не будут пересекаться. Вот я и спрашиваю как убрать NAT? Просто задизейблить все правила? Я после этого не потеряю к нему доступ из сети первого микротика? Просто если потеряю, то исправить это уже никто не сможет.

[АртемЪ]

Дмитрий Добрышин,

Я после этого не потеряю к нему доступ из сети первого микротика?

Про SafeMode не слышали?

[Fenrir89]

Дмитрий Добрышин,

Просто задизейблить все правила? Я после этого не потеряю к нему доступ из сети первого микротика? Просто если потеряю, то исправить это уже никто не сможет.

Для этого существует safe mode, но лучше почитайте как он работает

[Дмитрий Добрышин]

АртемЪ, слышал, но вы не ответили. Убрав все правила NAT, я его отключу или нет?

[Дмитрий Добрышин]

АртемЪ, собственно уже проверил, отключение всех правил NAT не убирает NAT и пинги по прежнему не идут на 8.8.8.8 и маршрут 0.0.0.0/0 через 192.168.10.1 не активен

[АртемЪ]

Дмитрий Добрышин,

собственно уже проверил, отключение всех правил NAT не убирает NAT

Отключает.
Собственно NAT это правила фаервола, которые производят манипуляции с пакетами.
Отключили правила - NAT не работает.

и пинги по прежнему не идут на 8.8.8.8 и маршрут 0.0.0.0/0 через 192.168.10.1 не активен

Ну тут может быть две причины - либо нет маршрутов, либо фаервол не пускает.
Проверьте еще раз маршруты, проверьте наличие разрешающих правил на фаерволе для входящего и исходящего трафика.

[АртемЪ]

А по поводу SafeMode - без него никогда не настраиваю удаленные роутеры. Ибо ошибки бывают, а ездить за сотни километров нет желания.

[Дмитрий Добрышин]

АртемЪ, уж даже и не знаю:



Запрещающих правил нет. Самый первый маршрут не активен. Я бы не спрашивал, если бы было всё просто.

[Fenrir89]

Дмитрий Добрышин,

0.0.0.0/0 192.168.10.1 не активен

Потому что активен 192.168.10.0/24 ether6 и все пакеты летят в него так как маска 24 меньше 0, сделай tracert до 8.8.8.8, и похоже что проблема в отсутствии маршрута из бриджа в инет на первом
Поробуй маршрут 0.0.0.0/0 10.2.0.1 на втором прописать, поидее он через nexthop должен понять сам что и куда

[Fenrir89]

Дмитрий Добрышин,

10.2.0.0./19

точка конце адреса опечатка?

[Дмитрий Добрышин]

Fenrir89, да, опечатка. Тот маршрут получен автоматически от провайдера.

[Дмитрий Добрышин]

Fenrir89,

Потому что активен 192.168.10.0/24 ether6 и все пакеты летят в него так как маска 24 меньше 0,

Было бы здорово, если бы летели, тогда бы находился адрес 192.168.10.1 (первый микротик) и всё бы улетало в интернет.

сделай tracert до 8.8.8.8, и похоже что проблема в отсутствии маршрута из бриджа в инет на первом
Поробуй маршрут 0.0.0.0/0 10.2.0.1 на втором прописать, поидее он через nexthop должен понять сам что и куда

С первого всё, что подключено, имеет доступ в интернет. Иначе бы я не мог подключиться к тому компьютеру.
Вот трассировка с компьютера, к которому я имею доступ.

>tracert 8.8.8.8

Трассировка маршрута к dns.google [8.8.8.8]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  router.lan [192.168.10.1]
  2    <1 мс     1 ms     1 ms  10.2.0.1
  3    <1 мс     1 ms    <1 мс  192.168.254.252
  4    <1 мс    <1 мс    <1 мс  h-109-95-77-204.st-net.ru [109.95.77.204]
  5     1 ms     1 ms     1 ms  h-194-143-151-1.st-net.ru [194.143.151.1]
  6    19 ms     *        2 ms  108.170.250.146
  7     *        *        *     Превышен интервал ожидания для запроса.
  8    20 ms    19 ms    19 ms  108.170.235.204
  9    17 ms    17 ms    17 ms  172.253.79.237
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21    17 ms    17 ms    17 ms  dns.google [8.8.8.8]

А это трассировка со второго роутера:

> /tool traceroute 8.8.8.8
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST
 1                                  100%    1 timeout
 2                                  100%    1 timeout
 3                                  100%    1 timeout

Добавил, ничего не изменилось.
Теперь два маршрута не активные

[Дмитрий Добрышин]

Fenrir89,

Потому что активен 192.168.10.0/24 ether6 и все пакеты летят в него так как маска 24 меньше 0, сделай tracert до 8.8.8.8, и похоже что проблема в отсутствии маршрута из бриджа в инет на первом

Провёл эксперимент. При трассировке 8.8.8.8, на первый не приходит ни одного пакета вообще. В то же время, при трассировке 192.168.10.1, пакеты стабильно приходят на первый микротик.

Трассировка 192.168.10.1:


Трассировка 8.8.8.8:

[Дмитрий Добрышин]

Всем спасибо! проблема решена. Оказалось, что на втором почему-то ether6 не участвовал в bridge

Answer 2

[Fenrir89]

Маршрутизация в микротике берет совпадения по наименьшей маске, поэтому маршрут /0 имеет наименьший приоритет,
и все улетает в nat

1 chain=srcnat action=src-nat to-addresses=192.168.1.1
src-address=192.168.99.0/24 dst-address=192.168.1.0/24 log=no
log-prefix=""

2 chain=srcnat action=src-nat to-addresses=192.168.1.1
src-address=192.168.11.0/24 dst-address=192.168.1.0/24 log=no
log-prefix=""

Второе правило работать не будет, точнее будет(думал про dst nat), но зачем если оно и так оттуда пришло зачем что-то менять, только ресурсы на обработку пакетов тратить
И зачем они вообще для внутренней сети, по идее и маскарадинг не нужен

Comments

[Дмитрий Добрышин]

Я пробовал эти правила задизейблить, но ничего не изменилось.
Я понимаю, что это лишнее, но так сделал подрядчик, а я не могу прибыть на тот объект и переделать по другому. Есть на этих выходных доступ к одному компьютеру, с которого у меня есть доступ к этим двум микротикам и всё. Остальное оборудование, подключённое ко второму микротику сейчас доступно, но настраивать его возможно только вручную, нажимая на кнопочки на аппаратах.