Reachable на роутере что это

Reachable на роутере что это

Есть микротик(RB951G-2HnD, RouterOS 6.37.3, 192.168.42.1), получает интернет от БиЛайн по IPoE(DHCP, без дополнительных заморочек, default-route-distance=50), локалка 192.168.42.0/24.
Внутри локальной сети, по адресу 192.168.42.253 имеется pfSense, который работает динамическим пиром для подключения к удалённой сети(192.168.4.0/24) по IPSec(работает из-за НАТ-а).
С микротика 192.168.42.253 доступен(пингуется обычно и arp-пингом с br_lan).

Так как микротик работает "основным" роутером в сети(и шлюзом по-умолчанию для устройств в локальной сети), решил маршрут до удалённой сети прописать на нём.
В Windows всё просто: route add 192.168.4.0 mask 255.255.255.0 192.168.42.253. С компьютеров сети при локальном прописывании маршрута через pfSense связь с 192.168.4.0/24 работает.
Если судить по манам и морю статей, в микротике тоже всё просто, хоть из WinBox(IP => Routes), хоть из консоли: ip route add dst-address=192.168.4.0/24 gateway=192.168.42.253

Вот только почему-то маршрут получается unreachable, и соответственно не активный. В результате попытки пингования уходят на шлюз провайдера(дефолтовый маршрут для 0.0.0.0).
Пробовал включать проверку доступности шлюза(arp/ping), пофиг — gateway-status unreachable, и роутим вместо pfSens-а на шлюз провайдера.

Добавлял в начало правил файрвола:
add action=accept chain=forward
add action=accept chain=input
add action=accept chain=output

Шлюз не обнаруживается.
Активная таблица маршрутизации:
[user@RB951G-2HnD] > ip route print detail
Flags: X — disabled, A — active, D — dynamic, C — connect, S — static, r — rip, b — bgp, o — ospf, m — mme, B — blackhole, U — unreachable, P — prohibit
0 ADS dst-address=0.0.0.0/0 gateway=95.27.136.1 gateway-status=95.27.136.1 reachable via WAN distance=50 scope=30 target-scope=10 vrf-interface=WAN
1 S dst-address=192.168.4.0/24 gateway=192.168.42.253 gateway-status=192.168.42.253 unreachable distance=1 scope=30 target-scope=10
2 A S dst-address=192.168.42.0/24 gateway=br_lan gateway-status=br_lan reachable distance=1 scope=30 target-scope=10
3 A S dst-address=192.168.44.0/24 gateway=br_lan gateway-status=br_lan reachable distance=1 scope=30 target-scope=10
4 ADC dst-address=95.27.136.0/21 pref-src=95.27.142.111 gateway=WAN gateway-status=WAN reachable distance=0 scope=10
5 ADC dst-address=255.255.255.0/32 pref-src=192.168.42.1 gateway=br_lan gateway-status=br_lan reachable distance=0 scope=10

Пробовал гуглить, но все разбираются с глобальными проблемами вроде роутинга между сегментами на разных портах, и балансировкой при нескольких провайдерах. Такого простого случая как "нужно задать шлюз внутри локалки" не нагуглил.
Так как на работающем в той же сети MikroTik mAP 2hnd(работает как точка доступа, настройки сети получает по DHCP + CapsMan, порты в свиче + мост на WiFi, никаких правил Firewall/NAT) маршрут нормально добавляется и работает, похоже что тут очередной неочевидный(для меня) нюанс микротика всплыл — почему хост с микротика доступен, но при выборе его шлюзом для статического маршрута он "недостижим"? Что препятствует нормальной работе маршрута на роутере, и как это побороть(отключить проверку доступности шлюза, например)?

Читайте также:  Как отключить автономный режим в яндекс браузере

P.S. Оба микротика настраивал вручную после полного сброса, на обоих устройствах RouterOS 6.37.3. Пока единственная идея, это сделать полный сброс роутера и настраивать всё с нуля, параллельно проверяя работоспособность маршрута(чтобы выяснить какая настройка его поломает), но заняться этим смогу только в выходные.
P.P.S. Полный конфиг в вопрос не влезает — pastebin.com/tj4rpeUX

_____________
Добавлено: ошибка крылась в неверной интерпретации мною интерфейса Winbox, и отсутствием проверки на этот счёт вводимых данных со стороны Winbox — роутер получил адрес с маской /32, и это мешало ему использовать адрес шлюза который не попадал в "подсеть" /32. Огромная благодарность Илье Демьянову(@turbidit) за помощь в локализации этой ошибки. @2016-12-05 20:52MSK

Фактически инструкция универсальная и применить её можно к любым сервисам и сайтам, на сколько у вас фантазии хватит. Давайте разбираться в настройке. Для начала нам потребуется VPN — платный или бесплатный, тут на ваш вкус. Я его взял с сервиса VPNGate, но вы вольны выбирать его самостоятельно. Нам подойдет любой, работающий по протоколу PPTP или L2TP.
Допустим, VPN-сервис мы нашли, теперь нужно настроить Микротик.
1. Запиливаем так называемый адрес-лист, чтобы было удобнее работать с правилами — нужно будет создать правило для всего листа, а не множество для каждого из пулов.

2. Создаем правило, по которому на пакеты с адресом источника из сети роутера (смотрите, какая сеть именно у вас) и назначения из созданного адрес-листа, будет навешиваться соответствующая марка.

3. Создаем VPN-подключение, это может быть PPTP или L2TP-интерфейс, в зависимости от сервера. В своем примере я использую L2TP.

После создания нужно проверить статус подключения. Идем в Interfaces и проверяем новоиспеченный L2TP-клиент, он должен быть Status: connected.

4. Настраиваем маскарадинг, это нужно для того, чтобы пользователи локальной сети могли использовать наш VPN. Если вы делаете все эти настройки для внутренних нужд роутера, то этот пункт не понадобится. Например, вы хотите, чтобы сервис мониторинга The Dude слал сообщения через Telegram-бота.

5. Осталось настроить маршрутизацию для пакетиков, которые мы промаркировали во втором пункте. Проверьте, что маркеры везде указаны одинаковые.

Отлично! Теперь проверим доступность доменов сервиса телеграм.

Что делать, если не взлетело? Ну, для начала проверьте настройки маскарадинга в NAT, тамошнее правило не должно ругаться на недоступность VPN. Теперь идем в IP > Routes, наш маршрут должен отображаться как freevpn reachable. Если тут всё в порядке, то загляните в NAT, не нарушен ли порядок правил, а также проверьте настройку фильтров.
По дефолту Микротик уже имеет набор правил в IP > Firewall >Filter Rules, они создаются при первичном запуске, если вы не посылали мастера настройки в пешее путешествие. Так вот, если всё оставить как есть, не создавать новых бриджей и всего такого прочего, то маршрутизация через VPN заведется без проблем.
Но продвинутые юзвери настраивают маршрутизатор с нуля. В основном, конечно, по готовым статьям. Обычно при этом создается бридж между локальными интерфейсами и фильтрация на конкретных интерфейсах. И для них маршрутизация через VPN без бубна не стартанет. А бубен создаем в IP > Firewall > Filter Rules:

Читайте также:  Как включить подсветку на клавиатуре macbook air

Тут нужна ремарочка.
bridge1 — это название моста в вашей локалке, с тем же успехом он может называться bridge, bridge-lan и вообще как угодно.
freevpn — тут всё понятно, это наше PPTP/L2TP-подключение.
192.168.88.0/24 — дефолтная подсеть, у вас она может быть другой.
Чтобы правила заработали, поднимите их выше настроенных action=drop, иначе роутер зарубит их, когда увидит, что дроп приоритетнее.
В принципе на этом всё. Способ этот, как я уже говорил, универсальный, и его можно использовать в т.ч. для обхода блокировок прочих ресурсов.скачать dle 12.0

Задача:

Осуществить возможность пробуждения (Wake on Lan) из интернета удаленного
компьютера, находящегося дома за роутером марки D-Link (DIR-300, DIR-320).

Решение:

Использование команды ip, имеющейся в стандартных сборках BusyBox’a в роутерах D-Link.

Предисловие:

Дома стоит роутер D-Link DIR-320/NRU ревизии B1, а до этого был DIR-300/NRU
ревизии B5, для которых (на данный момент) нет альтернативных готовых прошивок
(в том числе и горячо всеми любимой DD-WRT). На роутере стоит BusyBox 1.12.

Проблема состояла в том, что встроенное в веб-интерфейс средство переброса
пакетов не позволяют переадресацию в широковещательный канал — broadcast
(x.x.x.255), а хитровыделанный D-Link обновляет arp-таблицу каждые 15-30
секунд, так что непосредственно в выключенный длительное время компьютер Magic
Packet тоже не перебросить. Тайваньские ребята решили отказаться от компиляции
arp, sudo и прочих печенюшек в BusyBox, поскольку iptables тоже не позволяет
POSTROUTING на широковещательный канал.

Решение после недели напряженного поиска было найдено случайно на ныне
почившем форуме сборки линукса для старых компьютеров под роутер.

Для начала настройте BIOS вашей материнской платы (в разделе настроек питания
есть пункт о пробуждении из выключенного состояния) и вашей сетевой карты (уже
из операционной системы в свойствах карты). Для проверки выключите компьютер и
посмотрите, если индикация сетевого разъема мигает, значит все в порядке.

Читайте также:  В микшере громкости нет браузера

1. Подключаемся telnet-ом к роутеру (логин и пароль те же, что и для веб-интерфейса):

2. Если компьютер в данный момент присоединен к роутеру, то ищем его mac-адрес, набираем:

3. Поскольку в данный момент уже уже есть запись для нашего mac-адреса, то мы
не добавляем, а просто изменяем текущую:

4. Смотрим результат, снова набираем:

После этого уже заходим на веб-интерфейс нашего роутера и в разделе "межсетевой
экран" в пункте "Виртуальные серверы" добавляем проброс 9 (или 7, в зависимости
от вашей сетевой карты) порта роутера на порт ip вашего компьютера.

Послесловие:

Совет: настройте через веб-интрефейс роутера DHCP для mac’а вашего компьютера
статический IP (по умолчанию DIR-300(320)/NRU выдает их в диапазоне от
192.168.0.2 — 192.168.0.100)

так же есть еще и вот такая инструкция

D-Link DIR-300 — удаленное включение компьютера

Должен поделиться опытом.
Встала задача: удаленно включать сервер.

Теория проста: посылать из любого интернета «магический» (Wake On Lan) udp-пакет на IP-адрес DLink’a, работающего в режиме «роутер». А DLink должен переправить в сеть широковещательный пакет и «разбудить» комп с заданным MAC-адресом.

Практика оказалась кровавее:
1) заходим в админку DIR-300: http://192.168.1.1 (имя admin, пароль по умолчанию пустой)
2) переходим в рубрику «ADVANCED-Port forwarding»
3) включаем новое правило: имя «WOL», все порты — 4009, протокол «udp», IP-адрес «192.168.1.255»
4) жмем «Save settings» и ВНЕЗАПНО «Invalid IP address !»
5) вводим в адресную строку браузера java-патч:

(этим мы временно отключаем*** проверку адресов. )
жмем Enter в конце этого текста, он исчезает
6) снова жмем «Save settings», ждем 5 сек и.. СЛАВА ВСЕВЫШНЕМУ! Настройки сохраняются!

Ну а дальше дело техники.
== На сервере делаем так:

Уезжаем в Мухосранск.
== В Мухосранске на ноутбуке делаем так:

где последние два значения — внешний IP роутера и MAC сервера.

После чего, если повезет, сервер включается 😉

*** Если у вас другая модель D-Link, то функцию java-скрипта, проверяющего broadcast адрес, можно поглядеть в браузере «Просмотр HTML кода» на странице «ADVANCED PORT FORWARDING RULES». Например, можно было бы дать такой более жесткий хак:

Ссылка на основную публикацию
Bosch wfb 1070 инструкция
Информация об устройстве: тип устройства: стиральная машина производитель: Bosch модель: WFB 1070 ссылка для скачивания: ниже ↓ ↓ ↓ На...
Avaya m3904 инструкция на русском
Страница скачивания руководства по обслуживанию Nortel Networks Meridian M3904 Размер: 2,98 MB Добавлено: 2013-12-07 14:57:36 Количество страниц: 146 Скачивание руководства...
Bosch wfb 1070 инструкция
Информация об устройстве: тип устройства: стиральная машина производитель: Bosch модель: WFB 1070 ссылка для скачивания: ниже ↓ ↓ ↓ На...
Lk a550 60 схема
Акустическая система (тип - 2.1, сабвуфер + стерео) с поддержкой воспроизведения mp3 файлов с карт памяти SD и USB-флэшэк, поступила...
Adblock detector