faq обучение настройка
Текущее время: Пн ноя 19, 2018 00:28

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Чт май 31, 2018 14:28 
Не в сети

Зарегистрирован: Пт янв 23, 2009 14:08
Сообщений: 20
Добрый день всем!
Есть две локальные сети, соединенные через интернет каналом.
В одной из них (справа на рисунке 192.168.0.0/24) два роутера. У всех клиентов шлюзом по умолчанию назначен 192.168.0.1 (DFL-860E)
Второй роутер (192.168.0.2) обеспечивает канал до сети 192.168.5.0/24
Необходимо настроить перемаршрутизацию в сеть 192.168.5.0/24 через роутер 192.168.0.2

Правило маршрутизации на DFL-860Е прописано и работает корректно. Фаервол отрабатывает правильно при подключениях из сети 192.168.0.0/24 в сеть 192.168.5.0/24
На втором роутере маршрутизация и фаервол отрабатывает правильно.
Проблемы появляются при попытках подключиться из сети 192.168.5.0/24 к любому устройству, кроме самой DFL.
В логах варнинги 600012 и 600013 no_new_conn_for_this_packet и сброс соединения.
Описание варнингов:
Цитата:
"Функция State inspector не установила новое соединение для данного TCP-пакета, так как комбинация флагов TCP неверная. Новое TCP-соединение может быть открыто только для пакетов с флагом SYN TCP, установленным как only TCP."

Технически так и происходит: SYN идут мимо DFL-ки со второго роутера.

Вопрос: как заставить DFL не обрабатывать такие соединения. Изменения правила фаервола с Allow на Forward fast результата не дает.
Версия прошивки DFL-860E - 11.04.01.11-30428


Вложения:
net-test.jpg
net-test.jpg [ 15.31 KiB | Просмотров: 395 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт май 31, 2018 18:35 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8779
Откуда: Москва
Маршруты то прописаны?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 01, 2018 08:48 
Не в сети

Зарегистрирован: Пт янв 23, 2009 14:08
Сообщений: 20
Маршрутизация настроена правильно на всех устройствах. Из сети 192.168.0.0/24 сеть 192.168.5.0/24 отлично видится. Из 192.168.5.0/24 пакеты доходят до целей, но назад не возвращаются.
Проблема похоже в DFLном фаерволе, который сбрасывает транзитные соединения без SYN-пакета.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 01, 2018 10:01 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7107
Откуда: Екатеринбург
А может поступить проще?

Выход в пятую сеть сделать через один из существующих или созданных (VLAN) интерфейсов?

Т.е. в правой части схемы обойтись одни рутером 192.168.0.1.

Какие модели всех трех рутеров?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 01, 2018 10:41 
Не в сети

Зарегистрирован: Пт янв 23, 2009 14:08
Сообщений: 20
Цитата:
Выход в пятую сеть сделать через один из существующих или созданных (VLAN) интерфейсов?
Т.е. в правой части схемы обойтись одни рутером 192.168.0.1


На самом деле сеть гораздо сложнее - я рисовал упрощенно. Пятая сеть - это больше десятка маршрутизируемых на основе OSPF сетей. Роутер 192.168.0.2 обеспечивает маршрутизацию в/из эти сети.
Сеть 192.168.0.0/24, их роутер, а также соседние с ними сети не готовы к OSPF. Вот и приходится извращаться.

Модели:
192.168.0.1 - DFL-860E
192.168.0.2 - Mikrotik CCR
Остальное - зоопарк из микротов, DFLек, линуховых машин и т.п.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 01, 2018 11:02 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7107
Откуда: Екатеринбург
Обычно на DFL в таких случаях все решает правило

FastFwd lan lannet lan <сеть_5> all-services.

Видимо, получается, что причина в MikroTik.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 01, 2018 11:57 
Не в сети

Зарегистрирован: Пт янв 23, 2009 14:08
Сообщений: 20
Правило есть и оно прекрасно отрабатывает, но из сети 192.168.0.0/24 в сеть 192.168.5.0/24
Не работает если запрос идет из 192.168.5.0/24
На скрине логов 192.168.х.х - пингуемый из 192.168.5.0/24 комп, а 10.1.х.х - куда должен вернуться пинг.

На микротике видно, что пакет уходит к адресату, но нет ответа, который должен пройти через DFL.


Вложения:
Безымянный1.jpg
Безымянный1.jpg [ 38.4 KiB | Просмотров: 347 ]
Безымянный.jpg
Безымянный.jpg [ 27.79 KiB | Просмотров: 347 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт июн 01, 2018 17:46 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8779
Откуда: Москва
Так правильно, шлюз по умолчанию на микротике кто?
Трассу в студию

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс июн 03, 2018 15:22 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7107
Откуда: Екатеринбург
Если дело в MikroTik, то это тема не этого форума.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июн 04, 2018 09:06 
Не в сети

Зарегистрирован: Пт янв 23, 2009 14:08
Сообщений: 20
Цитата:
Так правильно, шлюз по умолчанию на микротике кто?
Трассу в студию

Микротик сам себе шлюз
Трассировка, если на виндовой машине прописать route add 192.168.5.0 mask 255.255.255.0 192.168.0.2 metric 50
Цитата:
C:\>tracert 192.168.0.115
Трассировка маршрута к 192.168.0.115 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.5.1
2 26 ms 26 ms 26 ms 192.168.251.62
3 26 ms 26 ms 26 ms 192.168.0.115
Трассировка завершена.

где 192.168.251.62 - интерфейс GRE на микротике 192.168.0.2

Если маршруты на виндовой машине не прописывать, то получаем
Цитата:
C:\>tracert 192.168.0.3
Трассировка маршрута к 192.168.0.115 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.5.1
2 26 ms 26 ms 26 ms 192.168.251.62
3 * * * Превышен интервал ожидания для запроса
4 * * * Превышен интервал ожидания для запроса


Цитата:
Если дело в MikroTik, то это тема не этого форума.

В логах DFL-ки четко отображаются ошибки почему не работает обратные соединения. Это проблема DFL.

На микротах и линуховых машинах есть возможность проверять или не проверять флаги SYN - SYN/ACK - ACK
В моем случае пакет с SYN проходит через микрот напрямую на клиента, клиент отправляет SYN/ACK через DFL (шлюз по умолчанию), которая согласно правилам маршрутизации должна перебросить пакет на микрот, НО DFL сбрасывает этот пакет, т.к. не было пакета с SYN через неё.
Как заставить DFL не делать этого?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июн 04, 2018 09:46 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7107
Откуда: Екатеринбург
Хорошо.

Будет ли нормально работать связь из 5-й сети в 0-ю, если на компе назначения из 0-й сети прописать верный маршрут в сеть 5 через шлюз MikroTik?

Поскольку тогда комп назначения из 0-й сети будет адресоваться в 5-ю сеть минуя DFL.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июн 04, 2018 10:22 
Не в сети

Зарегистрирован: Пт янв 23, 2009 14:08
Сообщений: 20
Цитата:
Будет ли нормально работать связь из 5-й сети в 0-ю, если на компе назначения из 0-й сети прописать верный маршрут в сеть 5 через шлюз MikroTik?

Работает. См. выше трассировку при прописанном маршруте.
Если не прописывать, то спотыкается на DFLке.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июн 04, 2018 11:08 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7107
Откуда: Екатеринбург
Лучше начать с руководства DFL по логам, Что там рекомендуется на ругательство DFL на SYN?

можно заглянуть в System - Advanced Settings - TCP Settings

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июн 04, 2018 12:09 
Не в сети

Зарегистрирован: Пт янв 23, 2009 14:08
Сообщений: 20
Судя по оф. документации такое поведение прибито железными гвоздями и обойти не получится.
Цитата:
In some instances where the Rules section determines that a packet should be allowed through,
the stateful inspection mechanism may subsequently decide that the packet cannot open a new
connection. One example of this is a TCP packet that, although allowed by the Rules section and
not being part of an established connection, has its SYN flag off. Such packets can never open
new connections. In addition, new connections can never be opened by ICMP messages other
than ICMP ECHO (Ping). This setting determines if NetDefendOS is to log the occurrence of such
packets.


Да и в NetDefendOS_11_04_01_Log_Reference_Guide действия пользователя указаны как None.

DFL хорошая железка, но иногда радует своими тараканами...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн июн 04, 2018 12:58 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7107
Откуда: Екатеринбург
Ну если всем клиентам автоматически раздавать маршрут, то это обходится.

И, видимо, это единственный возможный костыль, если не менять топологию.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 16 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 22


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB