Есть два микротика мк1 и мк2. ---мк1 имеет внешний ip адрес допустим 1.1.1.1 находится в локальной сети 2.2.2.0/24 имеет внутренний адрес 2.2.2.1 на нем запущен сервер OpenVPN, который поднимает сеть 1.1.2.0/24 в этой сети он имеет ip-адрес 1.1.2.1 ---мк2, не имеет внешнего адреса, подключается по OpenVPN к мк1 на ip адрес 1.1.1.1, в сети OpenVPN получает ip-адрес 1.1.2.3 сам находится в локальной сети 3.3.3.0/24 имеет внутренний адрес 3.3.3.1 в этой же сети есть два устройства 3.3.3.4 и 3.3.3.5. --И вот тут проблема я из сети 2.2.2.0 с помощью команды ping вижу 3.3.3.4, а вот 3.3.3.5 не вижу. в firewall настройки общие ко всей сети, отдельно разрешений для ip:3.3.3.4 или отдельно запретов для ip:3.3.3.5 никаких нет. --Бридж сконфигурирован стандартно: 2 порт мастер, остальные его slave, кроме 1-го порта, он wan. При команде tracert из сети 2.2.2.0/24 : Трассировка маршрута к 3.3.3.4 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 2.2.2.1 2 6 ms 6 ms 6 ms 1.1.2.3 3 7 ms 7 ms 6 ms 3.3.3.4 Трассировка завершена. C:\Users\lesovoiro>tracert 3.3.3.5 Трассировка маршрута к 3.3.3.5 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 2.2.2.1 2 6 ms 6 ms 6 ms 1.1.2.3 3 * * * Превышен интервал ожидания для запроса. Получается что вроде маршрут известен и все должно работать, но не работает. запрос с моей сети уходит в удаленную сеть, а там на микротике не может из сети OpenVPN в физическую достучаться. В физической сети всего около 30 ip адресов, 10 статических, остальные по dhcp. и вот в этих 10 статических и есть три ip-адреса, которые ведут себя как 3.3.3.5, включая и его. Кто что скажет по этому поводу?
Конфиг: [admin@R_neft9] > export compact # apr/06/2017 13:09:52 by RouterOS 6.37.3 # software id = 482B-5QW1 # /interface bridge add admin-mac=E4:8D:8C:4F:9D:A7 auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether2 ] name=ether2-master set [ find default-name=ether3 ] master-port=ether2-master set [ find default-name=ether4 ] master-port=ether2-master set [ find default-name=ether5 ] master-port=ether2-master /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \ password=00000 use-peer-dns=yes user=0000 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \ ssid=Avicenna wireless-protocol=802.11 /ip neighbor discovery set ether1 discover=no set bridge comment=defconf /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\ dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=3f9a6b3e1c \ wpa2-pre-shared-key=3f9a6b3e1c /ip pool add name=dhcp ranges=10.0.20.21-10.0.20.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge lease-time=1h10m name=\ defconf /interface sstp-client add authentication=mschap2 certificate=neft9.crt_0 connect-to=1.1.1.1 \ name=abk_sstp password=0000 profile=default-encryption user=000 /interface ovpn-client add certificate=000.crt_0 cipher=aes128 connect-to=1.1.1.1 mac-address=\ 02:F1:5A:EC:EB:FC name=000 password=00000 profile=default-encryption user=\ 0000 /interface bridge port add bridge=bridge comment=defconf interface=ether2-master add bridge=bridge comment=defconf interface=wlan1 /ip address add address=10.0.20.1/24 comment=defconf interface=ether2-master network=\ 10.0.20.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=10.0.20.0/24 comment=defconf dns-server=192.168.3.245 gateway=\ 10.0.20.1 netmask=24 /ip dns set allow-remote-requests=yes servers=192.168.3.245 /ip dns static add address=10.0.20.1 name=router /ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward dst-port="" protocol=udp src-address=\ 192.168.3.5 src-port="" add action=accept chain=forward comment="defconf: accept established,related" \ connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=\ invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=pppoe-out1 add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established,related add action=drop chain=input in-interface=pppoe-out1 /ip firewall nat add action=netmap chain=dstnat dst-port=00000 protocol=tcp to-addresses=\ 10.0.20.3 to-ports=50000 add action=netmap chain=dstnat disabled=yes dst-port=0000 protocol=tcp \ to-addresses=10.0.20.9 to-ports=0000 add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\ pppoe-out1 /ip firewall service-port set sip disabled=yes /ip route add distance=1 dst-address=10.0.10.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.11.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.12.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.13.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.14.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.15.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.16.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.17.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.18.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.19.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.21.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.22.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.23.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.24.0/24 gateway=192.168.100.1 add distance=1 dst-address=10.0.25.0/24 gateway=192.168.100.1 add distance=1 dst-address=192.168.3.0/24 gateway=192.168.100.1 add distance=1 dst-address=192.168.88.0/24 gateway=192.168.100.1 add distance=1 dst-address=192.168.89.0/24 gateway=192.168.100.1 /ip service set www disabled=yes /system clock set time-zone-name=Asia/Yekaterinburg /system identity set name=R_00 /system ntp client set enabled=yes primary-ntp=192.168.3.245 secondary-ntp=0.0.0.0 /system routerboard settings set protected-routerboot=disabled /tool mac-server set [ find default=yes ] disabled=yes add interface=bridge /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=bridge
это управляемый свитч, на нем только ip и маска сети, нет не шлюза не файрвола. Да и с локальной то сети я него захожу и вижу его, какая то беда в микротике, толко вот какая
Wireshark на 3.3.3.5 и пингуйте его с высокой долей вероятности это фаервол на 3.3.3.5 если до других узлов в той же сети пинг есть а до него нет, то это фаервол еще можно в торче посмотреть на LAN интерфейсе, уходят ли icmp пакеты на 3.3.3.5
Это свитч 3Com4500, firewall у него нет, acl не настроены, а вот настроек шлюза нет, получается он не знает куда отвечать что ли. не понял что за
Если у свитча есть IP, то и настройки шлюза есть, не говорите ерунды! Скорее всего, у него в разделе "routing" правильный маршрут прописать нужно
Я не ерунду говорю, я ТУПЛЮ очень и очень жестко, спасибо тебе, добрый человек, что указываешь на недостатки наши. Все работает, вопрос решен.