Когато правя ping от публичен адрес към 7.7.7.7 (Микротик ether1-gateway) очаквам да получа отговор, но не получвам. Въобще всчкаква комуникация към 7.7.7.7 нямам. Изходящия трафик трябва да изллезе през 172.16.10.1 (Cisco), а от там през 6.6.6.6 към ISP. Помислих си, че нещо се обърква с NAT-а в Cisco-то, но не е в това причината.
Още няколко теста, които направих:
traceroute 10.10.10.10 src-address=7.7.7.7
# ADDRESS RT1 RT2 RT3 STATUS
1 172.16.10.1 5ms 5ms 5ms
2 0.0.0.0 0ms 0ms 0ms
3 0.0.0.0 0ms 0ms 0ms
. . .
Слушам със снифера в МикротикОС за ICMP echo request от 10.10.10.10 и получавам, но отговор няма - обяснимо от горния trace, но защо?
Опитах
debug ip packet ACL
ACL:
permit ip host 7.7.7.7 host 10.10.10.10.
- Няма изход, което е странно, поради това, че при trace получавам отговор от 172.16.10.1, т.е за да имаме TTL exceeded, трбва да е стигнал GRE пакет и да е декапсулиран. Предполагам debug командата не сработва в тази ситуация.
Друго:
Вдигам loopback на Cisco-то с адрес 10.10.10.10 - вече имам отговор.
Проблемът най-вероятно ще се окаже друг - ISP-то филтрира трафик. За debug - бях забравил да изключа fast switching-а.
Въпрос
zpa0
Здравейте,
Имам следната ситуация:
MikrotikOS 5.2 Cisco IOS 12.4
GRE interface GRE Interface (IPSec protected)
172.16.10.2/30 172.16.10.1/30 (nat inside)
ether1-gateway Fast1 (nat outside)
7.7.7.7 6.6.6.6
ether2-local-master Fast2 (nat inside)
10.0.1.0/24 10.0.2.0/24
default route via 172.16.10.1
Когато правя ping от публичен адрес към 7.7.7.7 (Микротик ether1-gateway) очаквам да получа отговор, но не получвам. Въобще всчкаква комуникация към 7.7.7.7 нямам. Изходящия трафик трябва да изллезе през 172.16.10.1 (Cisco), а от там през 6.6.6.6 към ISP. Помислих си, че нещо се обърква с NAT-а в Cisco-то, но не е в това причината.
Още няколко теста, които направих:
traceroute 10.10.10.10 src-address=7.7.7.7
# ADDRESS RT1 RT2 RT3 STATUS
1 172.16.10.1 5ms 5ms 5ms
2 0.0.0.0 0ms 0ms 0ms
3 0.0.0.0 0ms 0ms 0ms
. . .
Слушам със снифера в МикротикОС за ICMP echo request от 10.10.10.10 и получавам, но отговор няма - обяснимо от горния trace, но защо?
Опитах
debug ip packet ACL
ACL:
permit ip host 7.7.7.7 host 10.10.10.10.
- Няма изход, което е странно, поради това, че при trace получавам отговор от 172.16.10.1, т.е за да имаме TTL exceeded, трбва да е стигнал GRE пакет и да е декапсулиран. Предполагам debug командата не сработва в тази ситуация.
Друго:
Вдигам loopback на Cisco-то с адрес 10.10.10.10 - вече имам отговор.
Проблемът най-вероятно ще се окаже друг - ISP-то филтрира трафик. За debug - бях забравил да изключа fast switching-а.
Адрес на коментара
Сподели в други сайтове
2 отговори на този въпрос
Recommended Posts
Създайте нов акаунт или се впишете, за да коментирате
За да коментирате, трябва да имате регистрация
Създайте акаунт
Присъединете се към нашата общност. Регистрацията става бързо!
Регистрация на нов акаунтВход
Имате акаунт? Впишете се оттук.
Вписване