Здравствуйте! Имеется три сети, связанные через VPN. Роутеры "1" и "2" - RB951Ui-2HnD, "3" - RB951G-2HnD, прошивки последние (6.35.1). Роутер "1" выступает в качестве L2TP и PPTP-сервера. Роутер "2" подключен к роутеру "1" по L2TP. Роутер "3" подключен по L2TP к интернету (билайн), поверх него PPTP-подключение к роутеру "1". В сетях "1" и "2" имеется дополнительные файерволы (всё разрешено). Маршруты на сети прописаны, из любой сети пингуется любой хост в другой сети. Для включения компьютера в сети "1" - 192.168.55.0 посылаю "magic packet" на адрес 192.168.55.255 (т.н. WoL). Это я могу сделать находясь в любой сети. Аналогично с сетью "2" - 192.168.21.0. Другими словами, компьютеры в сетях "1" и "2" я могу включить находясь в любой сети, в том числе и из сети "3". Но вот комп в сети "3" - 192.168.9.0 я могу включить только находясь в этой же сети! Не могу понять, почему роутер в сети "3" режет этот трафик на вход? Если на нем в файервол добавить правило: chain=forward action=accept protocol=udp dst-port=7,9 log=yes то судя по логу, правило не отрабатывает. Если: chain=input action=accept protocol=udp dst-port=7,9 log=yes то видно, что пакет в правило попадает, но всё равно дальше файервола не проходит. Помогите разобраться
Подозреваю что на роутере-3 MTU надо на PPTP интерфейсе уменьшить с учетом того, что он через L2TP идет.
Добрый вечер, Илья! Спасибо за отклик! Попробовал уменьшить MTU до 1300 - не помогло ( Похоже, нашел закономерность, почему пакет не проходит в третью сеть - там отсутствует "транзитная сеть" (как в 1-ой и 2-ой сети - сеть перед файерволом). Попробовал пустить пакет из сети "2" на адрес 172.16.55.255 (это сеть перед файерволом) - аналогично! Пакет "проглотил" роутер. Если из сети "2" отправить пакет на адрес 172.16.55.255, то он попадает в цепочку "input", а если на адрес 192.168.55.255 - то в цепочку "forward" Но, почему-то, я не могу принудительно разрешить этот трафик на роутере. Правило есть, и видно, что пакет проходит через него, но роутер все равно его глушит. Илья, как вы считаете, что тут можно сделать?
Не думаю что вы правы. Транзитная сеть у вас таки есть. Просто она /32 Значит этот адрес принадлежит маршрутизатору. Или роутер не знает как доставить пакет на этот адрес. Посмотрите, у вас там в NAT не напутано?
Возможно, я плохо объяснил. Компьютер в сети "3" подключен в порт микротика. Компьютеры в сети "1" и "2" подключены к файерволу "Kerio Control" (комп с двумя сетевыми картами - первая карта в сеть, вторая в порт пикротика). Вот между второй картой Kerio и микротиком - "транзитная" сеть. Да, это понятно, что адрес принадлежит маршрутизатору. Везде говорят, что маршрутизатор режет широковещательный трафик. Вопрос - как заставить его не резать? Посмотрел еще раз более тщательно - нет, ничего не напутано. Пинги и трассировка к любому узлу из любой сети проходят.
Посмотрел мануал по настройке BCP bridging - а в чем там фишка? Я должен все локальные интерфейсы в одной сети сделать?
Даже не знаю. Ну как вариант. Ловить на микротике обращение по портам 7 и 9 UDP, заносить такое обращение в Address-list. Написать скрипт. Если в адрес-листе что-нибудь есть то выполнить tool wol interface=ether1 mac=11:22:33:44:55:66
Илья, огромная благодарность! Я и не знал, что в микротике есть wol. Это именно то, что мне нужно! Меня вполне устраивает отправка magic-пакета вручную с роутера. Блин, и как это я в мануале проморгал... И ведь когда-то искал там wol, а надо было wake on lan смотреть... Вот блин! рука-лицо...