[ --ja-- @ 03.11.2013. 19:34 ] @
Ovako, imam problem koji me muči već par dana.

Situacija je bila ovakva:

[Mikrotik router]~~~wireless link~~~[ubuntu pc router]~~~Ad-hoc wireless link~~~[WifiWare PC router]

Na [ubuntu pc router] nalazi se WAN priključak, i na njemu je bio odrađen NAT.

Za routiranje se koristi OSPF. Stvar je radila dosta stabilno sve dok [ubuntu pc router] nije počeo otkazivati (disk na izdisaju). Prošli vikend sam ga izbacio i umjesto njega stavio RB433UL. Pošto MT ne podržava Ad-hoc wireless mode, na link prema [WifiWare PC router] sam postavio AP u Ad-hoc modu.

Sad je situacija ovakva:
[Mikrotik router]~~~wireless link~~~[Mikrotik router 2]---lan kabal---[Edimax AP u Ad-hoc modu]~~~Ad-hoc wireless link~~~[WifiWare PC router]

[Mikrotik router 2] i dalje radi NAT prema van.

Ono što se događa je da na [Mikrotik router 2] postoji kompletna route tabela i čini se ispravna, kao i na [WifiWare PC router].
Problem je što sa [Mikrotik router 2] mogu normalno pingati adrese mrežnih interfejsa sa [WifiWare PC router], dok ping u suprotnom smjeru ne funkcionira, tj. [WifiWare PC router] može pingati samo adresu mrežnog interfejsa od [Mikrotik router 2] koja se nalazi direktno na tom (Ad-hoc) linku.

[Mikrotik router] i [Mikrotik router 2] normalno komuniciraju i pingaju jedan drugoga. Sa [Mikrotik router] ne mogu pingati [WifiWare PC router], iako se adrese nalaze u njegovoj route tabeli.

Route tabela [Mikrotik router] izgleda ovako:
Code:
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          10.12.216.1               1
 1 ADo  10.0.8.0/24                        10.12.216.1             110
 2 ADo  10.0.253.56/29                     10.12.216.1             110
 3 ADo  10.0.253.88/29                     10.12.216.1             110
 4 ADo  10.0.254.56/29                     10.12.216.1             110
 5 ADC  10.12.7.0/24       10.12.7.1       wlan2                     0
 6 ADo  10.12.12.0/24                      10.12.216.1             110
 7 ADC  10.12.16.0/24      10.12.16.1      virtual-tw16              0
 8 ADC  10.12.116.0/24     10.12.116.1     ether1                    0
 9 ADC  10.12.216.0/24     10.12.216.2     wlan1                     0
10 ADC  255.255.255.255/32 10.12.0.16      loopback                  0
[admin@MikroTik] > 


Route tabela [Mikrotik router 2] izgleda ovako:
Code:
[admin@kafeni] > ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          10.1.12.2                 1
 1 ADo  10.0.8.0/24                        10.0.253.90             110
 2 ADo  10.0.253.56/29                     10.0.253.90             110
 3 ADC  10.0.253.88/29     10.0.253.89     link-tw8                  0
 4 ADo  10.0.254.56/29                     10.0.253.90             110
 5 ADC  10.1.12.0/24       10.1.12.1       kucni-lan-bridge          0
 6 ADo  10.12.7.0/24                       10.12.216.2             110
 7 ADC  10.12.12.0/24      10.12.12.1      AP                        0
 8 ADo  10.12.16.0/24                      10.12.216.2             110
 9 ADC  10.12.24.0/24      10.12.24.1      link-ranko                0
10 ADC  10.12.112.0/24     10.12.112.1     pustara                   0
11 ADo  10.12.116.0/24                     10.12.216.2             110
12 ADC  10.12.216.0/24     10.12.216.1     link-tw16                 0
13 ADC  10.12.253.253/32   10.12.253.254   pptp-marko-vpn            0
14 ADC  255.255.255.255/32 10.12.0.12      loopback                  0


Route tabela na [WifiWare PC router] izgleda ovako:
Code:
root@crni:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.253.88     0.0.0.0         255.255.255.248 U     0      0        0 ra1
10.0.253.56     0.0.0.0         255.255.255.248 U     0      0        0 ra0
10.0.254.56     0.0.0.0         255.255.255.248 U     0      0        0 eth0
10.12.7.0       10.0.253.89     255.255.255.0   UG    30     0        0 ra1
10.12.116.0     10.0.253.89     255.255.255.0   UG    30     0        0 ra1
10.12.16.0      10.0.253.89     255.255.255.0   UG    30     0        0 ra1
10.12.216.0     10.0.253.89     255.255.255.0   UG    20     0        0 ra1
10.12.12.0      10.0.253.89     255.255.255.0   UG    20     0        0 ra1
10.0.8.0        0.0.0.0         255.255.255.0   U     0      0        0 ath0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         10.0.253.89     0.0.0.0         UG    1      0        0 ra1


Firewall je na [WifiWare PC router] prazan (default policy accept), a na [Mikrotik router 2] postoji samo masquerade rule u nat chain-u.

Stvarno ne razumijem u čemu je problem, ako netko ima bilo kakvu ideju, molim pomoć...

Pozdrav,
Marko
[ nino1987 @ 04.11.2013. 09:44 ] @
Kako ti WifiWare PC router nije u OSPF, moras da dodas staticike router npr. dst address=10.0.0.0/8 gateway=ip adresa Mikrotik router 2 , ako sam dobro shvatio..
[ --ja-- @ 04.11.2013. 17:41 ] @
Citat:
nino1987: Kako ti WifiWare PC router nije u OSPF, moras da dodas staticike router npr. dst address=10.0.0.0/8 gateway=ip adresa Mikrotik router 2 , ako sam dobro shvatio..


Ali je. Na wifiware se vrti Quagga i ospf daemon normalno radi... Mreže na WifiWare PC router su 10.0.8.0/24, 10.0.254.56/29, 10.0.253.56/29 i link prema Mikrotik 2 je na 10.0.253.88/29. Sve su ove rute vidljive na svim routerima u mreži...
[ nino1987 @ 04.11.2013. 19:49 ] @
Da nemas onda samo defaultno blokiran ICMP u dolazu na WifiWare PC?
[ --ja-- @ 04.11.2013. 19:55 ] @
Ne, WifiWare prima dolazni ping sa Mikrotik 2 routera na sve svoje adrese. Problem je ping u suprotnom smjeru (sa WifiWare prema bilo čemu osim prema 10.0.253.89). Također Mikrotik 1 (onaj najlijeviji) ne može pingati WifiWare.

Nigdje nije postavljen nikakav firewall trenutno, i default policy je ACCEPT.
[ BigFoot @ 04.11.2013. 20:17 ] @
Daj IP adrese linkova, primere pingova, sa koje adrese koju pinguješ, koju ne možeš, daj eksport firewall pravila (filter, nat). Najbolje ako možeš nacrtaj neki grafik i označi IP adrese, tipa ovog u prilogu:

[ --ja-- @ 04.11.2013. 21:13 ] @
Evo skombinirao sam nešto nabrzinu. Kraj svakog routera nalazi se naziv interfejsa i pripadajuća ip adresa. Route tabele nisam ponovno pisao pošto su vidljive u prvom postu.


Firewall ovako izgleda:
Code:
[admin@kafeni] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
 0   chain=input action=drop src-address=64.234.41.13
[admin@kafeni] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
 0   chain=srcnat action=masquerade out-interface=kucni-lan-bridge
[admin@kafeni] > /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic

Code:

root@crni:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Gore što piše kucni-lan-bridge, tu su bridgeani interferjs WAN i još jedan ethernet port, zaboravih to dodati na sliku, ali to nije ni bitno... Onaj drop u firewallu na mikrotiku sam dodao mislim jučer, netko je radio login bruteforce napad...
[ BigFoot @ 04.11.2013. 21:33 ] @
Rekao bih da Edimax AP radi NAT-ovanje i nemoguće je pingovati bilo šta levo od njega, sa slike.
[ --ja-- @ 04.11.2013. 21:42 ] @
Da je tako onda ne bi bio dostupan bilo sa linuxa ili sa mikrotika. Ako pogledaš sliku, i sa mikrotika i sa linuxa mogu pingata edimaxa (10.0.253.91). Također, preko nat-a ne bi prošao broadcast promet, prema tome i rute se ne bi prenijele između mikrotika i linuxa, a ipak se prenose.

Da se razumijemo, i ja sumnjam da je problem u edimaxu, samo mi se ne čini da je do NAT-a, jer ga on ne radi (mislim da ni ne podržava čak, ne znam napamet koji je model na potražim manual na netu...)
[ BigFoot @ 04.11.2013. 22:16 ] @
Rute koje imaš sa: root@crni:~# route -n nisu OSPF. Daj traceroute sa MT1 do WifiWare (10.0.253.90).
[ --ja-- @ 04.11.2013. 22:38 ] @
Code:
[admin@kafeni] > /tool traceroute 10.0.8.1
 # ADDRESS                                 RT1   RT2   RT3   STATUS                             
 1 10.0.8.1                                2ms   2ms   2ms                                      

[admin@kafeni] > /tool traceroute 10.0.253.90
 # ADDRESS                                 RT1   RT2   RT3   STATUS                             
 1 10.0.253.90                             2ms   2ms   2ms                                      

[admin@kafeni] > /tool traceroute 10.0.254.56
 # ADDRESS                                 RT1   RT2   RT3   STATUS                             
 1 10.0.253.90                             4ms   3ms   2ms                                      

[admin@kafeni] > /tool traceroute 10.0.253.56
 # ADDRESS                                 RT1   RT2   RT3   STATUS                             
 1 10.0.253.90                             2ms   2ms   2ms                                      

[admin@kafeni] > 


Hm zanimljiva razlika između trace do 10.0.8.1 i ostalih... Ne znam ovo protumačiti...

Sad sam pokušao na mt dići metarouter OpenWRT, bridgevao sam ga sa ether na kojem je nakačen edimax ap, podesio routing ali isto se ponaša kao i MT. Očito edimax radi problem. Gledam u njegovo web sučelje, NAT se nigdje ne spominje, prilično jednostavne postavke ima. Razmišljam o tome da kroz njega provučem neki VPN tunel pa da makar nekako proradi...
[ nino1987 @ 05.11.2013. 14:47 ] @
Mozda nema nat.. ako ima mode=gateway onda radi nat.. .ako je mode=routing onda bi trebalo da radi sve..
[ --ja-- @ 05.11.2013. 17:57 ] @
Ma taj AP koliko vidim nema ništa korisno. Screenshotao sam sve stranice konfiguracije AP-a, slike su ovdje: http://imageshack.us/g/1/10382597/

Vidim da ima dvojbi oko toga je li na WifiWare dignut ospf. Nadam se da ovo pomaže:
Code:
root@crni:~# telnet localhost ospfd
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.

Hello, this is Quagga (version 0.98.6).
Copyright 1996-2005 Kunihiro Ishiguro, et al.


User Access Verification

Password:
ospfd> enable
Password:
ospfd# show ip ospf route
============ OSPF network routing table ============
N    10.0.8.0/24           [10] area: 0.0.0.0
                           directly attached to ath0
N    10.0.253.56/29        [10] area: 0.0.0.0
                           directly attached to ra0
N    10.0.253.88/29        [10] area: 0.0.0.0
                           directly attached to ra1
N    10.0.254.56/29        [10] area: 0.0.0.0
                           directly attached to eth0
N    10.12.7.0/24          [30] area: 0.0.0.0
                           via 10.0.253.89, ra1
N    10.12.12.0/24         [20] area: 0.0.0.0
                           via 10.0.253.89, ra1
N    10.12.16.0/24         [30] area: 0.0.0.0
                           via 10.0.253.89, ra1
N    10.12.24.0/24         [20] area: 0.0.0.0
                           via 10.0.253.89, ra1
N    10.12.116.0/24        [30] area: 0.0.0.0
                           via 10.0.253.89, ra1
N    10.12.216.0/24        [20] area: 0.0.0.0
                           via 10.0.253.89, ra1

============ OSPF router routing table =============

============ OSPF external routing table ===========

ospfd#
[ Mile-Lile @ 06.11.2013. 13:35 ] @
pročitam ovu temu na ddwrt http://www.dd-wrt.com/phpBB2/viewtopic.php?t=178275 i setim se ove teme sa es-a da ping ne prolazi...
piše čovek da je zbog ACK-a... e, sad vidim u onim tvojim slikama da u "fast roaming" stoji 0 a dozvoljene vrednosti su od 10-90?
Verovatno nije to ali čisto pogledaj...
[ --ja-- @ 11.11.2013. 22:14 ] @
Citat:
Mile-Lile: pročitam ovu temu na ddwrt http://www.dd-wrt.com/phpBB2/viewtopic.php?t=178275 i setim se ove teme sa es-a da ping ne prolazi...
piše čovek da je zbog ACK-a... e, sad vidim u onim tvojim slikama da u "fast roaming" stoji 0 a dozvoljene vrednosti su od 10-90?
Verovatno nije to ali čisto pogledaj...


Primjetio sam sitne razlike mijenjajući ovaj parametar, ali nikako nije proradilo. Na kraju sam riješio problem tako da sam umjesto WifiWare (koji je prastar, slack 10.2 ako se ne varam) instalirao Debiana, na njemu podigao OpenVPN server u bridge modu, i Mikrotikom se kačim na njega. Preko VPN tunela sve radi kako treba, vidjet ćemo koliko će biti stabilno...

Hvala svima na pomoći!