vladkic
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую, вас форумчане!
Как всегда у меня задачка с подвывертом!)
Возникла проблема с настройкой микротика - Необходимо реализовать задачку:
Необходимо настроить возможность доступа снаружи во внутреннюю сеть на порт ssh одного сервера внутри сети.
на микротике выполнил настройку dst-nat:
--------------------------------------------------------------------------------------------------------------------
add action=netmap chain=dstnat dst-address=x.x.x.x dst-port=2022 in-interface=ether1 \
protocol=tcp to-addresses=172.16.10.225 to-ports=22
--------------------------------------------------------------------------------------------------------------------
telnetом снаружи через командную строку подключаюсь к серверу на порт ssh, но путик ни в какую подключаться
не хочет - очень долго думает потом отваливается. Думаю проблема как-то связана с вланами и мту.
ниже приведен tcpdump сервера к которому пытаюсь удаленно подключиться снаружи:
a.a.a.53 - хост снаружи
b.b.b.225 - сервер ssh
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb0, link-type EN10MB (Ethernet), capture size 65535 bytes
00:35:40.588744 IP a.a.a.53.52114 > b.b.b.225.22: Flags [S], seq 4224705059, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:35:40.588752 IP b.b.b.225.22 > a.a.a.53.52114: Flags [S.], seq 2751856459, ack 4224705060, win 65535, options [mss 1460,nop,wscale 6,sackOK,eol], length 0
00:35:40.590997 IP a.a.a.53.52114 > b.b.b.225.22: Flags [.], ack 1, win 16660, length 0
00:35:40.595865 IP b.b.b.225.22 > a.a.a.53.52114: Flags [P.], seq 1:50, ack 1, win 1026, length 49
00:35:40.600725 IP a.a.a.53.52114 > b.b.b.225.22: Flags [P.], seq 1:29, ack 50, win 16647, length 28
00:35:40.601066 IP a.a.a.53.52114 > b.b.b.225.22: Flags [P.], seq 29:701, ack 50, win 16647, length 672
00:35:40.601069 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], ack 701, win 1016, length 0
00:35:40.601214 IP b.b.b.225.22 > a.a.a.53.52114: Flags [P.], seq 50:1698, ack 701, win 1016, length 1648
00:35:40.603569 IP a.a.a.53.52114 > b.b.b.225.22: Flags [.], ack 50, win 16647, options [nop,nop,sack 1 {1510:1698}], length 0
00:35:40.830638 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:35:41.090638 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:35:41.410639 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:35:41.850637 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:35:42.530639 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:35:43.690638 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:35:45.810638 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:35:49.850637 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:35:57.730637 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:35:58.543638 IP b.b.b.225.22 > a.a.a.53.51783: Flags [R.], seq 4230061493, ack 2995680958, win 1026, length 0
00:35:59.906638 IP b.b.b.225.22 > a.a.a.53.51864: Flags [.], seq 3141858694:3141860154, ack 4220817363, win 1026, length 1460
00:36:13.290636 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:36:28.850635 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:36:44.410634 IP b.b.b.225.22 > a.a.a.53.52114: Flags [.], seq 50:1510, ack 701, win 1026, length 1460
00:36:59.970633 IP b.b.b.225.22 > a.a.a.53.52114: Flags [R.], seq 1698, ack 701, win 1026, length 0
00:36:59.974650 IP a.a.a.53.52114 > b.b.b.225.22: Flags [.], ack 50, win 16647, options [nop,nop,sack 1 {1510:1698}], length 0
00:36:59.974656 IP b.b.b.225.22 > a.a.a.53.52114: Flags [R], seq 2751856509, win 0, length 0
--------------------------------------------------------------------------------------------------------------------
до этого на микротике было реализовано:
был создан VLAN на 2 и 12 интерфейсах в транке, который позволяет пользователю выходить в интернет,
после реализации VLAN остро стала необходимость изменения MTU поскольку inet у пользователей отказался
работать. Сделал на интерфейсе ether1 который смотрит в инет изменение MTU, экспериментально подогнал
значение MTU после чего проблема с пользователями инета потеряла актуальность - заработало.
Гуру помогите разобраться с микротиком, напрямую подрубаюсь к серверу - путик работает!
|
