В сети не видится оборудование без "передергивания" настройки ARP

Обсуждение ПО и его настройки
nvhleb
Сообщения: 8
Зарегистрирован: 13 ноя 2019, 14:18

Добрый день!

Оборудование в сеть подключено через общий бридж: Etherner, CAPsMAN 2 точки. Через какое-то время перестают проходить пинги. Если изменить настройку бриджа ARP между enabled и proxy-ARP на какое-то время все восстанавливается. Подскажите, в чем может быть причина такого поведения?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Пинги откуда-куда?
В одной подсети, в разных, наружу?


Telegram: @thexvo
nvhleb
Сообщения: 8
Зарегистрирован: 13 ноя 2019, 14:18

Пинги внутри локальной сети. Гарантированно не пингуется оборудование, разнесенное по разным элементам бриджа (например, между клиентами одной и другой точек CAPsMAN).


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В настройках capsman'а что-то касательно arp меняли?


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В общем, конфиг приложите, а то так по каждому вопросу можно долго гадать.


Telegram: @thexvo
nvhleb
Сообщения: 8
Зарегистрирован: 13 ноя 2019, 14:18

Прошу прощения за задержку. В аттаче конфигурация.
Вложения
config_backup_191118.rar
(2.37 КБ) 225 скачиваний


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Текст конфига в пост вставьте, плз.


Telegram: @thexvo
nvhleb
Сообщения: 8
Зарегистрирован: 13 ноя 2019, 14:18

# nov/18/2019 09:29:49 by RouterOS 6.45.3
# software id = ZHLJ-ITR3
#
# model = RouterBOARD 750 r2
# serial number = XZ
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce \
frequency=2442 name=channel7 tx-power=28
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce \
frequency=2412 name=channel1 tx-power=28
/interface bridge
add name=br1-lan
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-wan
set [ find default-name=ether2 ] name=ether2-lan
set [ find default-name=ether3 ] name=ether3-lan
set [ find default-name=ether4 ] name=ether4-lan
set [ find default-name=ether5 ] name=ether5-lan
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-wan max-mru=1480 \
max-mtu=1480 mrru=1600 name=tap1-wan password=XZ use-peer-dns=yes \
user=XZ
/interface l2tp-server
add name="VPN l2tp-in1" user=XZ
/caps-man datapath
add bridge=br1-lan name="LAN bridge"
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm,tkip group-encryption=\
aes-ccm name="WPA2 PSK std" passphrase=XZ
/caps-man configuration
add channel=channel7 datapath="LAN bridge" mode=ap multicast-helper=full \
name=NickAP rx-chains=0,1,2 security="WPA2 PSK std" ssid=XZ \
tx-chains=0,1,2
/caps-man interface
add channel=channel1 configuration=NickAP disabled=no l2mtu=1600 mac-address=\
74:4D:28:34:FF:E9 master-interface=none name="\CA\EE\F0\E8\E4\EE\F0" \
radio-mac=74:4D:28:34:FF:E9 radio-name=744D2834FFE9
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name="VPN L2TP client-to-site"
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-256,aes-192,aes-128,3des name=\
"VPN L2TP client-to-site"
/ip ipsec peer
# This entry is unreachable
add name="Peer L2TP client-to-site" passive=yes profile=\
"VPN L2TP client-to-site"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=\
"VPN L2TP client-to-site"
/ip pool
add name=dhcp-pc ranges=192.168.10.100-192.168.10.200
add name=vpn-pool ranges=192.168.10.201-192.168.10.210
/ip dhcp-server
add address-pool=dhcp-pc disabled=no interface=br1-lan lease-time=8m name=\
dhcp-pc
/ppp profile
add change-tcp-mss=yes dns-server=192.168.10.1 local-address=192.168.10.1 \
name="VPN l2tp client-to-site" only-one=yes remote-address=vpn-pool
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no interface=all \
signal-range=-71..120 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=NickAP name-format=\
identity
/interface bridge port
add bridge=br1-lan interface=ether2-lan
add bridge=br1-lan interface=ether3-lan
add bridge=br1-lan interface=ether4-lan
add bridge=br1-lan interface=ether5-lan
/interface l2tp-server server
set authentication=mschap2 default-profile="VPN l2tp client-to-site" enabled=\
yes ipsec-secret=XZ one-session-per-host=yes use-ipsec=yes
/ip address
add address=192.168.10.1/24 interface=br1-lan network=192.168.10.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-wan
/ip dhcp-server lease
add address=192.168.10.51 client-id=1:48:e2:44:b5:ae:8c comment=\
"\CC\D4\D3 HP M570dw" mac-address=48:E2:44:B5:AE:8C server=dhcp-pc
add address=192.168.10.23 client-id=1:74:4d:28:34:ff:e8 comment=\
"Mikrotik RBwAP2nD \EF\F0\E8\F5\EE\E6\E0\FF" mac-address=\
74:4D:28:34:FF:E8 server=dhcp-pc
add address=192.168.10.24 client-id=1:74:4d:28:34:ee:20 comment=\
"Mikrotik RBwAP2nD \EA\F0\FB\F8\E0" mac-address=74:4D:28:34:EE:20 server=\
dhcp-pc
add address=192.168.10.53 client-id=1:1c:4b:d6:3d:11:a6 comment=\
"TV laptop WiFi" mac-address=1C:4B:D6:3D:11:A6 server=dhcp-pc
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24 ntp-server=192.168.10.1
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add address=192.168.10.50 list=TV-in-kitchen
add address=192.168.10.52 list=TV-in-kitchen
add address=192.168.10.53 list=TV-in-kitchen
/ip firewall filter
add action=accept chain=input comment="local accept" in-interface=br1-lan
add action=accept chain=input comment="established and related accept" \
connection-state=established,related
add action=accept chain=input comment="VPN accept" dst-port=500,1701,4500 \
in-interface=tap1-wan protocol=udp
add action=accept chain=input comment="VPN IPSec accept" in-interface=\
tap1-wan protocol=ipsec-esp
add action=accept chain=input comment="mikrotik 80 accept (WEB)" dst-address=\
192.168.10.1 dst-port=80 in-interface=tap1-wan protocol=tcp
add action=accept chain=input comment="mikrotik 8291 accept (WinBox)" \
dst-address=192.168.10.1 dst-port=8291 in-interface=tap1-wan protocol=tcp
add action=accept chain=forward comment="To SIP" dst-port=5000 in-interface=\
tap1-wan protocol=tcp
add action=accept chain=forward comment="To SIP" dst-port=5001 in-interface=\
tap1-wan protocol=tcp
add action=accept chain=forward comment="To SIP" dst-port=5060 in-interface=\
tap1-wan protocol=tcp
add action=accept chain=forward comment="To SIP" dst-port=5090 in-interface=\
tap1-wan protocol=tcp
add action=drop chain=input comment="all input block" in-interface=tap1-wan \
log-prefix=Test
add action=fasttrack-connection chain=forward comment=FastTrack \
connection-mark=!ipsec connection-state=established,related
add action=accept chain=forward comment="established and related accept" \
connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop WAN -> LAN" in-interface=tap1-wan \
out-interface=br1-lan
/ip firewall mangle
add action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=\
out,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=\
in,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="All internet connections" \
out-interface=tap1-wan src-address=192.168.10.0/24
add action=netmap chain=dstnat comment="To SIP" dst-port=5000 in-interface=\
tap1-wan log-prefix=Test protocol=tcp to-addresses=192.168.10.40 \
to-ports=5000
add action=netmap chain=dstnat comment="To SIP" dst-port=5001 in-interface=\
tap1-wan log-prefix=Test protocol=tcp to-addresses=192.168.10.40 \
to-ports=5001
add action=netmap chain=dstnat comment="To SIP" dst-port=5060 in-interface=\
tap1-wan log-prefix=Test protocol=tcp to-addresses=192.168.10.40 \
to-ports=5060
add action=netmap chain=dstnat comment="To SIP" dst-port=5090 in-interface=\
tap1-wan log-prefix=Test protocol=tcp to-addresses=192.168.10.40 \
to-ports=5090
/ip ipsec identity
add generate-policy=port-override peer="Peer L2TP client-to-site" \
policy-template-group="VPN L2TP client-to-site" remote-id=ignore secret=\
XZ
/ip ipsec policy
set 0 group="VPN L2TP client-to-site"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1-wan type=external
add interface=br1-lan type=internal
/ppp secret
add name=XZ password=XZ profile="VPN l2tp client-to-site" service=\
l2tp
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=88.147.254.232 secondary-ntp=88.147.254.235
/system ntp server
set enabled=yes


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

У вас адреса для l2tp-туннелей выдаются из той же подсети, что и для локальных машин.
Чтобы при этом работал доступ из туннелей в локалку, на бридже должен был быть включен proxy-arp, что в свою очередь часто приводит ко всяким непонятным проблемам.

Второе место, которое надо проверить: раз у вас cAP-интерфейсы добавлены в бридж на контроллере, надо проверить, чтобы на самих cAP'ах они наоборот были исключены из бриджа.


Telegram: @thexvo
nvhleb
Сообщения: 8
Зарегистрирован: 13 ноя 2019, 14:18

Спасибо! Действительно, на точках были сделаны бриджи, в которые были добавлены Ethernet и WLAN. Сейчас в нем только Ethernet, установлен режим ARP enabled. Посмотрите, пожалуйста, сейчас настройка точки верна?

PS По L2TP разбираюсь

# nov/19/2019 14:04:30 by RouterOS 6.45.3
# software id = VRYC-E0V0
#
# model = RouterBOARD wAP 2nD r2
# serial number = 6D820A9F9A45
/interface bridge
add admin-mac=74:4D:28:34:XZ:XZ auto-mac=no comment=defconf name=bridgeLocal
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(28dBm), SSID: XZ, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
/interface list member
add interface=ether1 list=WAN
/interface wireless cap
#
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
interfaces=wlan1
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
bridgeLocal
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name="XZ"


Ответить