Форум
Блоги
Статьи
Интернет-магазин

У микротика VM время от времени неверное работает dnat.

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
У микротика VM время от времени неверное работает dnat., У микротика VM время от времени неверное работает dnat.
0
#1
09.06.2017 20:31:23
Привет гурам микротика :)
Тут рассматривал возможность замены железа в офисе на микротик, начали тестировать и нарисовалась проблема с работой dnat  в нем.
Особенность в том, что микротик гейт сети, и в отдельной подсети живет  squid на который микротик должен перекидывать  трафик.
Он перекидывает, но вот обратно не все так замечательно. Иногда все работает, потом в какой-то совершенно произвольный момент работать перестает.

Вайршарк показывает картину маслом .. Хост шлет запрос, на сквиде он есть, сквид отвечает, но   микротик "забывает" оттранслировать  в запросе сорс адрес и в итоге хость получает ак от "неизвестного" адреса и  конечно делает ресет. И это повторяется некоторое количество раз.. через время микротик "вспоминает" что надо транслировать ВСЕ и все снова работает....

Честно говоря я такой фигни не встречал и что делать уже не знаю...  пробовал версии 5.28  6.26 6.39.2 пробовал в dnat  и через  dst-nat и через netmap... Все одно.   гипевизоры vmware workstation 12 и hyper-v от 2008r2 .. с варей постабильнее вроде. С гипером вообще беда!
Уже в раздумье, брать ли железку или эти глюки норма ?
Изменено: Keldar - 09.06.2017 20:32:23
 
   Цитировать   Имя
0
#2
09.06.2017 20:50:11
Лицензия на фриварную routerbordOS имеет ряд ограничений: https://wiki.mikrotik.com/wiki/Manual:License
И одно из ограничений это лимит по скорости 1 мб (хотя в документации этого не вижу) возможно вы упираетесь в этот лимит и часть пакетов просто отбрасывается.
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
 
Цитировать   Имя
0
#3
11.06.2017 23:10:53
Цитата
admin пишет:
И одно из ограничений это лимит по скорости 1 мб (хотя в документации этого не вижу) возможно вы упираетесь в этот лимит и часть пакетов просто отбрасывается.

Это все чудесно, хотя возможно я много написал и вы не заметили...

Вайршарк показывает картину маслом .. Хост шлет запрос, на сквиде он есть, сквид отвечает, но микротик "забывает" оттранслировать в запросе сорс адрес и в итоге хость получает ак от "неизвестного" адреса и конечно делает ресет.

Тут нет никакого дропа пакетов. Просто нет обратного преобразования  пакетов после днат. При чем это происходит само  по себе и так де проходит. При этом  загрузки нет вообще никакой. Одиночные запросы.  
Как буду на работе могу прислать  картинку с вайршарка.  Там все супер наглядно.
 
Цитировать   Имя
0
#4
13.06.2017 11:30:08
никогда не сталкивался с подобным, единственное могу предположить вот что:

Причиной такого поведения является ошибка допускаемая при настройке Source NAT.
Обычно в инструкциях «микротик для чайников», NAT настраивают следующей командой:

/ip firewall nat add chain=srcnat action=masquerade out-interface=Public

И все будет работать пока у Вас один бродкаст домен. Но как только появляется дополнительная приватную подсеть за маршрутизатором вы рискуете получить нестабильную работу как было описано выше. Все потому что маршрутизатор начинает натить трафик даже если он идет на локальный адреса.



Это можно отключить добавив в правиле NAT явное исключение для ваших локальных адресов. Ниже команда на примере сети 10.0.0.0/8

/ip firewall nat add chain=srcnat action=masquerade out-interface=Public dst-address=!10.0.0.0/8
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
 
Цитировать   Имя
0
#5
14.06.2017 08:35:33
Добрый день. Нат у меня настроен именно так. Он прост как валенок. Да, у меня 1 домен и по сути разворот делается на LAN  интерфейсе. Сеть у меня конечно не того класса и адресации, но чем черт не шутит. можно попробовать.  Ведь самое удивительное, что 5 минут все ок, и потом оп, 1 минута хреново. Плавающая проблема с одной и той же парой адресов.   И судя по всему вы  таки где то обучались, приятно слышать человека знающего про броадкаст домены :)  А то в основном только школьники, а у них домен 1 ... максимум 2 ..
Приеду на работу попробую исключение поставить для прокси в снат цепочку. Спасибо за идею.
 
Цитировать   Имя
 
Страницы: 1
Ответить
BBCode   Правила
Форма ответов
Текст сообщения*
:) ;) :D 8-) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.