LINUX.ORG.RU
ФорумAdmin

Mikrotik. Частично не работает связь между офисами без NAT.

 ,


1

1

Добрый день.

Прошу помощи, сам уже не знаю в какую сторону копать.

Офисы подключаются через L2TP в Центральный офис (ЦО). Настроена маршрутизация и т.д. Без NAT не работает часть ресурсов, например, нельзя зайти на микротик за микротиком, веб морда DECT телефонов и т.д. Но пинги на те же DECT телефоны проходят, тот же VNC до компьютеров работает. Как только включаю masquerade без исключений, то все веб морды начинают прекрасно открываться. Если перед masquerade добавить правило Action-Accept, то тоже самое.

Вот кусок конфига:

Mikrotik в удаленном офисе
/ip address
add address=192.168.5.104/24 interface=L2TP - Адрес динамический.
/ip firewall filter
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept
established,related" connection-state=established,related
add action=accept chain=input comment=GRE protocol=gre
add action=drop chain=input comment="drop all from WAN" in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.0.0/16
add action=masquerade chain=srcnat
/ip route
add check-gateway=ping distance=4 dst-address=192.168.0.0/16 gateway=192.168.5.1
Mikrotik в ЦО
/ip address
add address=192.168.5.1/24 interface=L2TP - Адрес динамический.
/ip firewall filter
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=accept chain=input comment=GRE protocol=gre
add action=drop chain=input comment="drop all from WAN" in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.0.0/16
add action=masquerade chain=srcnat
/ip route
add check-gateway=ping distance=4 dst-address=192.168.104.0/24 gateway=192.168.5.104
Заранее спасибо.

Ответ на: комментарий от SevikL

Так это созданое в винбоксе правило с двумя установленными галочками, тем не менее полное отключение правил Firewall не к чему не приводит.

AlexeyK ()
Ответ на: комментарий от SevikL

SevikL

я бы эти запятые убрал, разнес в разные строки.

Как будто это на что-то влияет...

ravdinve ()

А следующие порты на WAN интерфейсах открыты: 500/UDP, 1701/UDP, 4500/UDP, ESP? Не увидел этого в правилах. В моем случае это как раз таки мешало прохождению траффика между узлами сети, правда в случае с IPSec.

ravdinve ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.