The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Не работает самба через бридж микротика"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Каналообразующее оборудование, Модемы)
Изначальное сообщение [ Отслеживать ]

"Не работает самба через бридж микротика"  +/
Сообщение от green (??), 17-Июл-18, 14:34 
Добрый день всем!

Помогите советом: пришёл в контору работать. Сделана сеть в разных зданиях на разных улицах, объединена микротиками через EoIP в режиме бриджа. Но пароль от микротиков утерян во мраке времён. В "головном" офисе есть самба. По команде "сверху" пришлось сбрасывать микротик и восстанавливать конфигурацию. В принципе, всё поднялось - интернет бегает, но вот на сервер самбы из сегмента сети за микротиком зайти никак не могу. Ни по smb, ни по ssh. Пакетики на самбе вижу как входящие, так и исходящие; на микротике - тоже. Но на клиенте адреса самба-сервера в списке арп-ов нет. :( Где-то что-то я не доделал. : К сожалению, опыта работы с микротиками нет - есть некоторое понимание происходящего на базе знаний по линуксу, но местами микротики специфичные. :(

Список правил на микротике (возможно что-то лишнее):

/ip firewall filter add action=accept chain=output comment="eoip to main office" dst-address=xx.xx.46.58 out-interface=WAN protocol=gre src-address=xx.xx.251.158
/ip firewall filter add action=accept chain=input comment="winbox access" dst-port=8291 protocol=tcp
/ip firewall filter add action=accept chain=input comment="web access" dst-port=80 in-interface=!WAN protocol=tcp
/ip firewall filter add action=reject chain=input comment="SSH for secure shell" in-interface=WAN protocol=tcp reject-with=icmp-network-unreachable src-port=22
/ip firewall filter add action=accept chain=input dst-port=22 protocol=tcp
/ip firewall filter add action=accept chain=input comment="Accept established connections" connection-state=established
/ip firewall filter add action=accept chain=input comment="Accept related connections" connection-state=related
/ip firewall filter add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
/ip firewall filter add action=accept chain=input comment=ping protocol=icmp
/ip firewall filter add action=accept chain=forward comment="local net" src-address=10.40.10.0/24
/ip firewall filter add action=drop chain=input comment="Drop everything else"
/ip firewall nat add action=masquerade chain=srcnat out-interface=WAN
/ip firewall nat add action=netmap chain=dstnat comment=DVR dst-address=xx.xx.251.158 dst-port=64080 in-interface=WAN protocol=tcp to-addresses=10.40.10.200 to-ports=80

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не работает самба через бридж микротика"  +/
Сообщение от green (??), 17-Июл-18, 15:08 
Поправка (после перезагрузки шлюза) arp-таблица на клиенте заполнена правильно, но доступа к серверу самбы, всё равно, по внутренней сети нет. Хотя пинг проходит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не работает самба через бридж микротика"  +/
Сообщение от green (??), 18-Июл-18, 16:31 
Сам себе и отвечаю - надо было разрешить GRE между наружными адресами.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Не работает самба через бридж микротика"  +/
Сообщение от green (??), 18-Июл-18, 17:25 
И вот ещё нашёл очень полезное добавление в копилку для конфигурации МТ:
/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no
Из-за правила "Drop invalid connections", Микротик отбрасывает большие tcp-пакеты с установленным SYN, что губительно сказывается на https (а сейчас всё больше сайтов переходит на него). Благодаря этому правилу размер больших tcp-пакетов "меняется" на 1360 и волосы становятся мягкими и пушистыми.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Не работает самба через бридж микротика"  +/
Сообщение от Del (?), 19-Июл-18, 05:29 
> И вот ещё нашёл очень полезное добавление в копилку для конфигурации МТ:
> 
/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 
> action=change-mss new-mss=1360 disabled=no
Из-за правила "Drop invalid connections",
> Микротик отбрасывает большие tcp-пакеты с установленным SYN, что губительно сказывается
> на https (а сейчас всё больше сайтов переходит на него). Благодаря
> этому правилу размер больших tcp-пакетов "меняется" на 1360 и волосы становятся
> мягкими и пушистыми.

Не так. Раз у вас ГРЕ туннель, то появляются дополнительные заголовки. Потому большие пакеты больше не проходят, так как по пути роутеры не фрагментируют трафик. Это правило позволяет согласовать маленькое поле МСС при инициализации TCP соединения, тогда две стороны отправляют пакеты меньшей порции, ессно работает только для TCP. В настоящих роутерах для этого есть ip tcp adjust mss

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Не работает самба через бридж микротика"  +/
Сообщение от green (??), 19-Июл-18, 08:11 
>> И вот ещё нашёл очень полезное добавление в копилку для конфигурации МТ:
>> 
/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 
>> action=change-mss new-mss=1360 disabled=no
Из-за правила "Drop invalid connections",
>> Микротик отбрасывает большие tcp-пакеты с установленным SYN, что губительно сказывается
>> на https (а сейчас всё больше сайтов переходит на него). Благодаря
>> этому правилу размер больших tcp-пакетов "меняется" на 1360 и волосы становятся
>> мягкими и пушистыми.
> Не так. Раз у вас ГРЕ туннель, то появляются дополнительные заголовки. Потому
> большие пакеты больше не проходят, так как по пути роутеры не
> фрагментируют трафик.

Не согласен с вашим мнением по двум причинам:
1. https не бегает у меня через туннель - он бежит напрямую в канал к провайдеру и доп.заголовкам неоткуда взяться. GRE у меня (и работает без tcp mss) только для внутреннего трафика.
2. Источник, где я нашёл это правило, не приводил свою конфигурацию сети, но поделился советом как пофиксить ситуацию с неоткрытием некоторых сайтов. Я напоролся на то, что некоторые сайты, очень необходимые моим сотрудникам для отчётов по работе не открывались совсем, хотя mailru, и многие другие https-ресурсы работали нормально. Так что эта "проблема" есть в природе, связь её с GRE и другими реализациями VPN неочевидна/не доказана, и решение её, увы, не лежит на поверхности. :(

> Это правило позволяет согласовать маленькое поле МСС при инициализации
> TCP соединения, тогда две стороны отправляют пакеты меньшей порции, ессно работает
> только для TCP. В настоящих роутерах для этого есть ip tcp adjust mss

Я ещё wiki.mikrotik-a не прочитал, поэтому сильно спорить не буду. Правило мне реально помогло и я себе его отметил в рецепты "must have". Вероятно, в цисках ip tcp adjust mss есть, но мне пока не довелось поработать с оборудованием этого уважаемого производителя. А остальные "двортерьеры" типа ZyXel, D-Link, TP-Link, *WRT, коих в реальной жизни огромное количество, как-то согласовывают mss без дополнительных телодвижений.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру