Когато правя ping от публичен адрес към 7.7.7.7 (Микротик ether1-gateway) очаквам да получа отговор, но не получвам. Въобще всчкаква комуникация към 7.7.7.7 нямам. Изходящия трафик трябва да изллезе през 172.16.10.1 (Cisco), а от там през 6.6.6.6 към ISP. Помислих си, че нещо се обърква с NAT-а в Cisco-то, но не е в това причината.
Още няколко теста, които направих:
traceroute 10.10.10.10 src-address=7.7.7.7
# ADDRESS RT1 RT2 RT3 STATUS
1 172.16.10.1 5ms 5ms 5ms
2 0.0.0.0 0ms 0ms 0ms
3 0.0.0.0 0ms 0ms 0ms
. . .
Слушам със снифера в МикротикОС за ICMP echo request от 10.10.10.10 и получавам, но отговор няма - обяснимо от горния trace, но защо?
Опитах
debug ip packet ACL
ACL:
permit ip host 7.7.7.7 host 10.10.10.10.
- Няма изход, което е странно, поради това, че при trace получавам отговор от 172.16.10.1, т.е за да имаме TTL exceeded, трбва да е стигнал GRE пакет и да е декапсулиран. Предполагам debug командата не сработва в тази ситуация.
Друго:
Вдигам loopback на Cisco-то с адрес 10.10.10.10 - вече имам отговор.
Проблемът най-вероятно ще се окаже друг - ISP-то филтрира трафик. За debug - бях забравил да изключа fast switching-а.
Question
zpa0
Здравейте,
Имам следната ситуация:
MikrotikOS 5.2 Cisco IOS 12.4
GRE interface GRE Interface (IPSec protected)
172.16.10.2/30 172.16.10.1/30 (nat inside)
ether1-gateway Fast1 (nat outside)
7.7.7.7 6.6.6.6
ether2-local-master Fast2 (nat inside)
10.0.1.0/24 10.0.2.0/24
default route via 172.16.10.1
Когато правя ping от публичен адрес към 7.7.7.7 (Микротик ether1-gateway) очаквам да получа отговор, но не получвам. Въобще всчкаква комуникация към 7.7.7.7 нямам. Изходящия трафик трябва да изллезе през 172.16.10.1 (Cisco), а от там през 6.6.6.6 към ISP. Помислих си, че нещо се обърква с NAT-а в Cisco-то, но не е в това причината.
Още няколко теста, които направих:
traceroute 10.10.10.10 src-address=7.7.7.7
# ADDRESS RT1 RT2 RT3 STATUS
1 172.16.10.1 5ms 5ms 5ms
2 0.0.0.0 0ms 0ms 0ms
3 0.0.0.0 0ms 0ms 0ms
. . .
Слушам със снифера в МикротикОС за ICMP echo request от 10.10.10.10 и получавам, но отговор няма - обяснимо от горния trace, но защо?
Опитах
debug ip packet ACL
ACL:
permit ip host 7.7.7.7 host 10.10.10.10.
- Няма изход, което е странно, поради това, че при trace получавам отговор от 172.16.10.1, т.е за да имаме TTL exceeded, трбва да е стигнал GRE пакет и да е декапсулиран. Предполагам debug командата не сработва в тази ситуация.
Друго:
Вдигам loopback на Cisco-то с адрес 10.10.10.10 - вече имам отговор.
Проблемът най-вероятно ще се окаже друг - ISP-то филтрира трафик. За debug - бях забравил да изключа fast switching-а.
Link to comment
Share on other sites
2 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now