Должны идти пакеты

В счетчики обоих правил

Потом спускай input правило по одному вниз и смотри когда счетчик input остановится

#mtctce #packetflow #debug

Создай правило chain preroute in-interface=lan dst-addr=wan адрес роутера action passthru, поднимай на самый верх, смотри счетчики пакетов

Есть пакетики

Вот и супер. Спускай вниз по одному

Как только пакетики перестанут ходить - клонируй это правило в chain=forward

И размести рядом

В форварде должны пойти пакеты

Ну и потом клонируй правило с уточнением wan интерфейса, через который могут улетать пакеты

Таким образом найдешь маршрут, куда уезжают твои пакеты.

Потом спускай input правило по одному вниз и смотри когда счетчик input остановится

Поставил по очереди последним. Везде идут

Смотри таблицу packet flow

Если затыков нет даже в самом низу mangle, значит уткнулся в firewall

Таким образом найдешь маршрут, куда уезжают твои пакеты.

Дошел до конца. Никуда не уезжают!

Чтобы быстро и наверняка убедиться - отключи все input правила на файрволле

Если трафик пошел - значит настраивай файр

Кстати, тебе еще бы проделать аналогичный дебаг в mangle output и mangle POSTROUTE цепочках

Чтобы убедиться, что роутер отвечает в нужный интерфейс

Chain postroute src-addr=wan_ip out-interface = lan action passthru

Если затыков нет даже в самом низу mangle, значит уткнулся в firewall

/ip firewall filter add action=accept chain=input connection-state=established,related add action=drop chain=input connection-state=invalid add action=accept chain=forward connection-state=established,related add action=drop chain=forward connection-state=invalid add action=accept chain=input protocol=icmp add action=accept chain=input protocol=igmp add action=accept chain=input protocol=ipsec-esp add action=accept chain=input port=500,4500 protocol=udp add action=drop chain=input disabled=yes dst-port=1701 protocol=udp src-address-list=BadGuys add action=add-src-to-address-list address-list=BadGuys address-list-timeout=1w chain=input connection-state=new disabled=yes dst-port=1701 protocol=udp src-address-list=l2tp_stage3 add action=add-src-to-address-list address-list=l2tp_stage3 address-list-timeout=2m chain=input connection-state=new disabled=yes dst-port=1701 protocol=udp src-address-list=l2tp_stage2 add action=add-src-to-address-list address-list=l2tp_stage2 address-list-timeout=2m chain=input connection-state=new disabled=yes dst-port=1701 protocol=udp src-address-list=l2tp_stage1 add action=add-src-to-address-list address-list=l2tp_stage1 address-list-timeout=2m chain=input connection-state=new disabled=yes dst-port=1701 protocol=udp add action=accept chain=input port=1701 protocol=udp add action=drop chain=input disabled=yes dst-port=1723 protocol=tcp src-address-list=BadGuys add action=add-src-to-address-list address-list=BadGuys address-list-timeout=1w chain=input connection-state=new disabled=yes dst-port=1723 protocol=tcp src-address-list=pptp_stage3 add action=add-src-to-address-list address-list=pptp_stage3 address-list-timeout=2m chain=input connection-state=new disabled=yes dst-port=1723 protocol=tcp src-address-list=pptp_stage2 add action=add-src-to-address-list address-list=pptp_stage2 address-list-timeout=2m chain=input connection-state=new disabled=yes dst-port=1723 protocol=tcp src-address-list=pptp_stage1 add action=add-src-to-address-list address-list=pptp_stage1 address-list-timeout=2m chain=input connection-state=new disabled=yes dst-port=1723 protocol=tcp add action=accept chain=input port=1723 protocol=tcp add action=accept chain=forward dst-port=1234 protocol=udp add action=drop chain=input port=22 protocol=tcp src-address-list=BadGuys add action=add-src-to-address-list address-list=BadGuys address-list-timeout=1w chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=20m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=20m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=20m chain=input connection-state=new dst-port=22 protocol=tcp add action=accept chain=input port=22 protocol=tcp add action=add-src-to-address-list address-list=BadGuys address-list-timeout=1d chain=forward connection-limit=30,32 dst-port=25 limit=50,5 protocol=tcp src-address=!192.168.0.197 add action=drop chain=forward dst-port=25 protocol=tcp src-address-list=BadGuys add action=drop chain=forward dst-address-list=!local src-address-list=BlockInet add action=drop chain=forward out-interface=!all-ppp src-address-list=BlockInetBC add action=drop chain=forward dst-address-list=!local dst-port=!53 protocol=udp src-address-list=p2p add action=drop chain=forward connection-mark=TeamViewer_conn add action=accept chain=forward dst-address=192.168.1.0/24 port=445 protocol=tcp src-address=192.168.0.55 add action=accept chain=forward dst-address=192.168.0.55 port=445 protocol=tcp src-address=192.168.1.0/24 add action=drop chain=forward port=445 protocol=tcp add action=drop chain=forward port=1024-1035 protocol=tcp add action=drop chain=input in-interface-list=external

/ip firewall filter add action=accept chain=input comment="web access" dst-port=5051,8291 \ protocol=tcp add action=accept chain=input comment="SSH access" dst-port=2225 protocol=tcp \ src-address-list="Pushe IP" add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN

поглядите торчем на порту в сторону циски на данный порт запросы идут?

идут

Я эту жесть читать не буду

Разреши весь инпут трафик и подмини правило на самый верх

идут

в обе стороны?

в смыле трафик в торче в обе стороны бегает?

мне кажется только в сторону циски

мне кажется только в сторону циски

ну так вам должно быть видно в обе стороны или в одну

Chain postroute src-addr=wan_ip out-interface = lan action passthru

Поднимай на самый верх и спускай вниз

Chain postroute src-addr=wan_ip out-interface = lan action passthru

output не создавал, а на postrouting нет пакетов.

Вооот

Создавай output

ну так вам должно быть видно в обе стороны или в одну

в обратку пакетов нету

а при пинге с микротика - весело бегают.

output не создавал, а на postrouting нет пакетов.

Аналогичное правило, но без указания out-interface

Аналогичное правило, но без указания out-interface

без out interface пошли пакеты

без out interface пошли пакеты

В какой цепочке? Preroute?

без out interface пошли пакеты

Попробуй укажи out iface = wan

В какой цепочке? Preroute?

Всмысле на правиле с postroute видны пакетики

Всмысле на правиле с postroute видны пакетики

Мы близки к концу - роутер отвечает не в тот интерфейс. Найди интерфейс, в который отвечает роутер перебором интерфейсов по порядку вероятности ?

Найдешь куда отвечает роутер - дальше разбирайся с роут марками

Мы близки к концу - роутер отвечает не в тот интерфейс. Найди интерфейс, в который отвечает роутер перебором интерфейсов по порядку вероятности ?

Я правила с этим провайдером поднял в самый верх

Порядок имеет важное значение

Я тоже накосячил с порядком правил в презентации

Порядок должен быть строго по презентации

Найдешь куда отвечает роутер - дальше разбирайся с роут марками

Как найти? Я поднял все правила в mangle связанные с этим провайдером на верх. И если я правильно понимаю, после всех правил для этого провайдера на postroute отлавливаются пакеты, значит ни одно из правил не сработало.

Блин, да шо вы как дети то? обнулите щетчики и пингуйте. будет ясно какие правила отлавливают пинг из локалки(а не должны). Я думал вы уже давно нашли корень зла ?. Спокойно своей фигней занимался. а вы всё мучаете животинку ?.

Я тебе же написал

Порядок должен быть строго по презентации

Он строго по презентации. Я сделал только для одного провайдера. для остальных у меня старые мои правила, с такой же проблемой. я взял правила по презентации и перетащил их в самый верх. Все равно тот же результат(

Перебирай chain=postroute out-interface=iface1,iface2,ifaceN src-address = wan_ip action passthru

Перебирай в том месте, где остановились пакеты при указании out-iface=lan

Блин, да шо вы как дети то? обнулите щетчики и пингуйте. будет ясно какие правила отлавливают пинг из локалки(а не должны). Я думал вы уже давно нашли корень зла ?. Спокойно своей фигней занимался. а вы всё мучаете животинку ?.

Да это и так видно (и сейчас обнулил), тоже самое, пакеты не попадают ни под одно из правил в mangle? которые я присылал (сделанные по презентации)

без out interface пошли пакеты

Вот на этом месте

Вот на этом месте

out-interface попробовал все. Пакеты идут только на интервейсе провайдера, куда и должны идти.\

То есть мой локальный адрес в адрес листе выходить через билайн и на out interface билайна я вижу как идут эти пакетики.

Но как правило передвигаю по очереди в самый низ, то пакетики по прежнему ходят!

out-interface попробовал все. Пакеты идут только на интервейсе провайдера, куда и должны идти.\

Уверен, что ответные пакеты из лан в роутер должны возвращаться в интерфейс провайдера?

Уверен, что ответные пакеты из лан в роутер должны возвращаться в интерфейс провайдера?

Нет

Пакеты, пришедшие с лан в роутер должны возвращаться обратно в лан

И если тебе это не очевидно, то тут ошибка на понимание структуры

Сделай так, чтобы пакеты,идущие из лан туда же и возвращались

Самое простое - запилить на голом лабораторном роутере в вакууме эту презенташку

А не химичить на продакшне

out-interface попробовал все. Пакеты идут только на интервейсе провайдера, куда и должны идти.\

да не должны они там идти. не должны, ибо входят в ЛАН, роутер их просматривает и выплевывает назад в ЛАН(в теории). на физическом инт. прова они не должны появляться(пусть там и адрес назначен который пингуешь, но физический трафик туда не идет).

ERROR: S client not available

И может кто объяснит про loopback, сделал ровно как в презентации, но ничего не понял

И может кто объяснит про loopback, сделал ровно как в презентации, но ничего не понял

Запили с чистого листа все строго по инструкции

раз идут в ВАН значит идут по дефолтному роуту. значит нет подходящего маршрута на соурс. адрес в запросах(он же ДСТ. адрес в ответах)

И может кто объяснит про loopback, сделал ровно как в презентации, но ничего не понял

а ты не делай то чего не понимаешь(я без наездов). лучше ПОЙМИ принцип работы, а потом делай.

да не должны они там идти. не должны, ибо входят в ЛАН, роутер их просматривает и выплевывает назад в ЛАН(в теории). на физическом инт. прова они не должны появляться(пусть там и адрес назначен который пингуешь, но физический трафик туда не идет).

Так если не должны, как они туда попадают?

раз идут в ВАН значит идут по дефолтному роуту. значит нет подходящего маршрута на соурс. адрес в запросах(он же ДСТ. адрес в ответах)

Там не под дефолтному, после роут марка

а кто сказал что при пингах ИЗ ЛОКАЛКИ что то должно попадать на физ. интерфейс ВАН?

а ты не делай то чего не понимаешь(я без наездов). лучше ПОЙМИ принцип работы, а потом делай.

Вот я и пытаюсь спросить у ГУРУ))

Там не под дефолтному, после роут марка

дефолтный для той таблицы маршрутизации.

Роут марк направляет ответный трафик не в тот интерфейс

вопрос - почему оно попадает в маркированую таблицу? тут корень проблемы. Я так и не увидел почему. Ведь в правилах есть ин-интерфейс. так что трафик с локалки на дст. адрес ВАН не должен был бы захватываться

add action=mark-routing chain=prerouting dst-address-list=!local new-routing-mark=beeline_routing passthrough=no src-address-list=via_beeline

Вот я и пытаюсь спросить у ГУРУ))

тебе что весь курс по микротику пересказать? ?. Я к чему - задавай КОНКРЕТНЫЕ вопросы - парни будут давать конкретные ответы. Я бы подсказал, но не гуру, боюсь надавать глупых советов

add action=mark-routing chain=prerouting dst-address-list=!local new-routing-mark=beeline_routing passthrough=no src-address-list=via_beeline

что в том адреслисте виа_билайн?

https://wiki.mikrotik.com/wiki/Manual:PCC - это читал?

что в том адреслисте виа_билайн?

В нем мой локальный ip

В нем мой локальный ip

нахрена?

Вот я и пытаюсь спросить у ГУРУ))

Запили на стенде с чистого листа строго по порядку презентации. У меня все заработало. Даже ipsec. Закрыли тему.

нахрена?

Через adres list выпускаю через определенного провайдера.

Салам, односельчане! Кто в текущем релизе igmp snooping успешно нажал?

/stat@combot

combot.org/chat/-1001062683398

я

Через adres list выпускаю через определенного провайдера.

add action=mark-routing chain=output connection-mark=beeline_conn new-routing-mark=beeline_routing passthrough=no

я

Красава! Ставлю галку теряю иптв. Иптв прилетает eoip -ом прямо в мост. Где поковырять?

Запили на стенде с чистого листа строго по порядку презентации. У меня все заработало. Даже ipsec. Закрыли тему.

У меня все работает, кроме обращения на свои внешние адреса (при чем на все три) из локалки.

У меня все работает, кроме обращения на свои внешние адреса (при чем на все три) из локалки.

Не все работает. Repeat

@Prihod, смотри два правила

add action=mark-routing chain=prerouting dst-address-list=!local new-routing-mark=beeline_routing passthrough=no src-address-list=via_beeline add action=mark-routing chain=output connection-mark=beeline_conn new-routing-mark=beeline_routing passthrough=no тут твоя ошибка

Красава! Ставлю галку теряю иптв. Иптв прилетает eoip -ом прямо в мост. Где поковырять?

Вероятно где то теряются IGMP

add action=mark-routing chain=prerouting dst-address-list=!local new-routing-mark=beeline_routing passthrough=no src-address-list=via_beeline add action=mark-routing chain=output connection-mark=beeline_conn new-routing-mark=beeline_routing passthrough=no тут твоя ошибка

Секунду, переварю немного...