RB2011UiAS-2HnD-IN проблема с новыми клиентами

[Zaycev]

Здравствуйте.
Есть RB2011UiAS, настроен как шлюз инета с шейпером трафика для арендаторов офисного здания, заменил им старую циску, которая не тянула канал больше 50 мбит. Проверил, всё работает, пакеты бегаю, инет раздается, с внешки до внутренних серверов тоже доступ есть.
Проблемы начались в понедельник, когда пришли арендаторы, оказалось половина не работает, шлюз не пингуется. Все клиенты заведеты как vlanы на транк порту. Пробовал всякое, помогла только перезагрузка микротика. Тогда заработали те кто пришел утром, но не заработали те кто пришел после! В итоге 5 перезагрузок шлюза инета за пол дня. Научите, пожалуйста, может есть какая нибудь команда которая перезагрузит конкретный vlan или мост, чтоб новый клиент заработал без перезагрузке маршрутизатора или еще что нибудь, честно говоря даже не понимаю причину. Пробовал на тесте подключать комп и менять ip клиентов, всё работало без перезагрузок, оставлять целое здание на полминуты без инета вообще не вариант.

[Vlad-2]

Странный подход к ситуации в целом:

1) Вы не описали хотя бы частично схему, адресацию, виланы как идут,
идут каждый вилан к клиенту(организации) или вилан на каждый сервис/услугу?
1.1) другое активное оборудование есть?

2) Опять же, если делали на выходных замену, надо было как-то с имитировать "клиента",
посмотреть как он получит адрес и какие есть доступы, как идёт пинг и трасерт на новом роутере.
2.1) адресация? динамика? DHCP? Обычно при замене роутера с DHCP сервером, на старом
сервере уменьшают заранее время аренды, а то есть где аренда и 5 дней и 30 дней.
При таком подходе - клиенты новые адреса и новые параметры сетевые - не скоро примут.

3) как виланы описаны на роутере 2011? Почему "старые" клиенты работают, новые нет, как перегружаете?
Обычно микротик перегружаю для обновлений, и когда пытался в него засунуть под 500-700 тысяч записей,
таких моментов, чтобы на ровном месте - не видел.
3.1) Защита от петель на портах и на вилан-интерфейсах включена? Может у Вас петля и идёт отключения
портов?

4) РБ2011 - модель красивая, но в 2020 году очень слабоватая, и уже по цене/качеству проигрывает,
другим моделям, есть РБ 750/760 которые дешевле,но мощнее.
Кстати, а РБ2011 новый хотя бы ? У них было одно время - через год-два блок питания выходил из строя,
бывало просто перестаёт работать, а иногда и роутер сгорал. Может блок питания не выдерживает уже.

И если Вы меняли циску, анализ ситуаций должен быть, пока вижу проблему, в виде сочинения,
с минимальным набором данных технических...
Конфиг, скрины не помешали.....

[Zaycev]

Извините за долгое молчание, уезжал.
Попробую по подробней, надеюсь скрины помогут с моим корявым объяснением.
Клиенты подключены через свичи на этажах, активного оборудования между ними и Микротиком нет, есть серые и белые ip, все статические, dhcp нет, у большинства стоят свои роутеры, есть несколько подключенных напрямую в их комп.
Проблема следующая, по какой то причине у клиентов пропадает инет, например утром был, перезагрузили комп, инет пропал, или вечером был, роутер не трогали, не перезагружали, утром инета нет.
Их ip в этот момент не пингуется, после перезагрузки микротика, всё становится нормально, пинги идут, инет раздается.
Причем проблема наблюдается только с серыми ip, пока что спасаюсь раздачей белых ip из резерва самым проблемным, и всё равно раз-два в день появляются новые из числа клиентов с серыми ip с подобной проблемой.

[Vlad-2]

1) странно у Вас сеть сделана
2) на свитчах есть какая-то конфигурация?
Виланы описываете как?
3) если у клиентов стоят роутеры и там на роутерах стоят внешние адреса,
а по-умолчанию многие роутеры на WAN'е не пингуются, поэтому и нет пинга.
4) Также Вы не указали какой канал у Вас? Как приходит на роутер? Нагрузка
на роутере в среднем какая? Пиковая?
5) как роутер связан со свитчами?
6) какой порт на роутере внешний (провайдер) ?
7) У Вас сеть публичных адресов? Или одна сетка (класса /24) и Вы сами её "дробите" ?

P.S.
Ну и конфиг лучше сделать экспорт, картинки мало информативны, хотя и дают представление,
о полном хаусе пока что...

[Zaycev]

Вроде обычная сеть, топологии звезда, свичи тупые без конфы, вланы на 5 порту висят, этот порт подключен пачкордом к свичу в серверной, дальше через свичи на этажах к клиентам, для серых ip отдельные вланы 0.0.0.0/30, для белых одна сетка vlan130 0.0.0.0/26.
После перезагрузки микротика пинг до клиента доходит и инет появляется.
Канал приходит по езернет в 1 порт, нагрузка 60% максимум, в основном 30%.
Для связи с провайдером используем сеть /30, так же нам предоставили сеть /26 белых ip, для раздачи клиентам
Забыл упомянуть, что 9 порт используется для управления, но это вроде на ситуацию не влияет.

Код: Выделить всё

/interface bridge
add admin-mac=00:00:00:00:BF:02 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX distance=indoors \
    frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-17BF0B wireless-protocol=802.11
/interface vlan
add interface=ether5 name=vlan10.5.14.142 vlan-id=1142
add interface=ether5 name=vlan10.5.14.78 vlan-id=1478
add interface=ether5 name=vlan10.5.17.146 vlan-id=1146
add interface=ether5 name=vlan10.5.17.230 vlan-id=1230
add interface=ether5 name=vlan10.5.17.26 vlan-id=1726
add interface=ether5 name=vlan10.5.17.34 vlan-id=1734
add interface=ether5 name=vlan10.5.17.54 vlan-id=1754
add interface=ether5 name=vlan10.5.3.2 vlan-id=1532
add interface=ether5 name=vlan10.5.33.134 vlan-id=1134
add disabled=yes interface=ether5 name=vlan10.5.33.142 vlan-id=3142
add interface=ether5 name=vlan10.5.33.150 vlan-id=1150
add interface=ether5 name=vlan10.5.33.154 vlan-id=1154
add interface=ether5 name=vlan10.5.33.18 vlan-id=1318
add interface=ether5 name=vlan10.5.33.218 vlan-id=1218
add interface=ether5 name=vlan10.5.33.226 vlan-id=1226
add interface=ether5 name=vlan10.5.33.94 vlan-id=1394
add interface=ether5 name=vlan10.5.33.98 vlan-id=1398
add interface=ether5 name=vlan10.5.40.10 vlan-id=1010
add interface=ether5 name=vlan10.5.40.102 vlan-id=1102
add interface=ether5 name=vlan10.5.40.106 vlan-id=1106
add interface=ether5 name=vlan10.5.40.114 vlan-id=1114
add interface=ether5 name=vlan10.5.40.118 vlan-id=1118
add interface=ether5 name=vlan10.5.40.122 vlan-id=1122
add interface=ether5 name=vlan10.5.40.126 vlan-id=1126
add interface=ether5 name=vlan10.5.40.130 vlan-id=1130
add interface=ether5 name=vlan10.5.40.134 vlan-id=2134
add interface=ether5 name=vlan10.5.40.138 vlan-id=1348
add interface=ether5 name=vlan10.5.40.46 vlan-id=1046
add interface=ether5 name=vlan10.5.40.62 vlan-id=1062
add interface=ether5 name=vlan10.5.40.94 vlan-id=1094
add interface=ether5 name=vlan10.5.40.98 vlan-id=1098
add interface=ether8 name=vlan130 vlan-id=130
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server
add interface=bridge name=defconf
/queue simple
***
/interface bridge port
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=vlan10.5.3.2
add bridge=bridge interface=vlan130
add bridge=bridge interface=vlan10.5.14.142
add bridge=bridge interface=vlan10.5.14.78
add bridge=bridge interface=vlan10.5.17.146
add bridge=bridge interface=vlan10.5.17.230
add bridge=bridge interface=vlan10.5.17.26
add bridge=bridge interface=vlan10.5.17.34
add bridge=bridge interface=vlan10.5.17.54
add bridge=bridge interface=vlan10.5.33.134
add bridge=bridge interface=vlan10.5.33.142
add bridge=bridge interface=vlan10.5.33.150
add bridge=bridge interface=vlan10.5.33.154
add bridge=bridge interface=vlan10.5.33.218
add bridge=bridge interface=vlan10.5.33.226
add bridge=bridge interface=vlan10.5.33.94
add bridge=bridge interface=vlan10.5.40.10
add bridge=bridge interface=vlan10.5.40.102
add bridge=bridge interface=vlan10.5.40.118
add bridge=bridge interface=vlan10.5.40.46
add bridge=bridge interface=vlan10.5.40.62
add bridge=bridge interface=vlan10.5.40.94
add bridge=bridge interface=vlan10.5.40.98
add bridge=bridge interface=vlan10.5.33.18
add bridge=bridge interface=vlan10.5.40.106
add bridge=bridge interface=vlan10.5.40.114
add bridge=bridge interface=vlan10.5.40.122
add bridge=bridge interface=vlan10.5.33.98
add bridge=bridge interface=vlan10.5.40.126
add bridge=bridge interface=vlan10.5.40.130
add bridge=bridge interface=vlan10.5.40.134
add bridge=bridge interface=vlan10.5.40.138
add bridge=bridge interface=ether8
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=10.5.3.1/30 interface=vlan10.5.3.2 network=10.5.3.0
add address=000.000.000.129/26 interface=vlan130 network=000.000.000.128
add address=10.5.14.141/30 interface=vlan10.5.14.142 network=10.5.14.140
add address=10.5.14.77/30 interface=vlan10.5.14.78 network=10.5.14.76
add address=10.5.17.145/30 interface=vlan10.5.17.146 network=10.5.17.144
add address=10.5.17.229/30 interface=vlan10.5.17.230 network=10.5.17.228
add address=10.5.17.25/30 interface=vlan10.5.17.26 network=10.5.17.24
add address=10.5.17.33/30 interface=vlan10.5.17.34 network=10.5.17.32
add address=10.5.17.53/30 interface=vlan10.5.17.54 network=10.5.17.52
add address=10.5.33.133/30 interface=vlan10.5.33.134 network=10.5.33.132
add address=10.5.33.141/30 interface=vlan10.5.33.142 network=10.5.33.140
add address=10.5.33.149/30 interface=vlan10.5.33.150 network=10.5.33.148
add address=10.5.33.153/30 interface=vlan10.5.33.154 network=10.5.33.152
add address=10.5.33.17/30 interface=vlan10.5.33.18 network=10.5.33.16
add address=10.5.33.217/30 interface=vlan10.5.33.218 network=10.5.33.216
add address=10.5.33.225/30 interface=vlan10.5.33.226 network=10.5.33.224
add address=10.5.33.93/30 interface=vlan10.5.33.94 network=10.5.33.92
add address=10.5.40.9/30 interface=vlan10.5.40.10 network=10.5.40.8
add address=10.5.40.101/30 interface=vlan10.5.40.102 network=10.5.40.100
add address=10.5.40.117/30 interface=vlan10.5.40.118 network=10.5.40.116
add address=10.5.40.45/30 interface=vlan10.5.40.46 network=10.5.40.44
add address=10.5.40.61/30 interface=vlan10.5.40.62 network=10.5.40.60
add address=10.5.40.93/30 interface=vlan10.5.40.94 network=10.5.40.92
add address=10.5.40.97/30 interface=vlan10.5.40.98 network=10.5.40.96
add address=000.000.000.82/30 interface=ether1 network=000.000.000.80
add address=10.5.40.105/30 interface=vlan10.5.40.106 network=10.5.40.104
add address=10.5.40.113/30 interface=vlan10.5.40.114 network=10.5.40.112
add address=10.5.40.121/30 interface=vlan10.5.40.122 network=10.5.40.120
add address=10.5.33.97/30 interface=vlan10.5.33.98 network=10.5.33.96
add address=192.168.0.252/24 interface=ether9 network=192.168.0.0
add address=10.5.40.125/30 interface=vlan10.5.40.126 network=10.5.40.124
add address=10.5.40.129/30 interface=vlan10.5.40.130 network=10.5.40.128
add address=10.5.40.133/30 interface=vlan10.5.40.134 network=10.5.40.132
add address=10.5.40.137/30 interface=vlan10.5.40.138 network=10.5.40.136
/ip dns
set allow-remote-requests=yes servers=0.0.0.0,0.0.0.0
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
    connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=accept chain=input dst-port=0001 protocol=tcp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" \
    dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related disabled=yes
add action=accept chain=forward connection-state=new
add action=accept chain=forward comment="defconf: accept established,related, untracked" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none \
    out-interface-list=WAN
add action=netmap chain=srcnat out-interface-list=WAN src-address=000.000.000.128/26 to-addresses=\
    000.000.000.128/26
add action=masquerade chain=srcnat disabled=yes out-interface-list=WAN src-address=000.000.000.130
add action=masquerade chain=srcnat out-interface-list=WAN src-address=10.5.0.0/16
/ip firewall service-port
set sip disabled=yes
/ip route
add distance=1 gateway=000.000.000.81
add disabled=yes distance=1 dst-address=000.000.000.129/32 gateway=000.000.000.81
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/lcd interface pages
set 0 interfaces=wlan1
/system clock
set time-zone-name=Asia/Yekaterinburg
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Vlad-2]

Вроде обычная сеть, топологии звезда, свичи тупые без конфы, вланы на 5 порту висят, этот порт подключен пачкордом к свичу в серверной, дальше через свичи на этажах к клиентам, для серых ip отдельные вланы 0.0.0.0/30, для белых одна сетка vlan130 0.0.0.0/26.
После перезагрузки микротика пинг до клиента доходит и инет появляется.
Канал приходит по езернет в 1 порт, нагрузка 60% максимум, в основном 30%.
Для связи с провайдером используем сеть /30, так же нам предоставили сеть /26 белых ip, для раздачи клиентам
Забыл упомянуть, что 9 порт используется для управления, но это вроде на ситуацию не влияет.

1) Конфиг чуть позже исследуемую детально.
НО уже не понравилось, что на заводской конфиг навесили свои настройки, как минимум 70% в этом часто проблемы.

2) если у Вас куча тупых свитчей, (вопрос) не бывает так, что кто-то на этаже, что-то самопроизвольно
подключает и тыкает? Я к чему, не может происходить так, что в Вашей сети кто-то создаёт петлю?
Поэтому на 5-м порту, а лучше на всех портах, в свойствах порта, включите Loop Protect,
и если в логах потом синим увидите ругань - значит шалит у Вас сеть, а шалит она сама или
с чей-то помощью, это уже надо будет разбираться.


3) у РБ2011 - две группы портов, первая гигабитная, а вторая сотка - если провайдер больше
100мбит не даёт, советую задействовать вторую группу, для балансировки (типа), а так слегка
перегружаете свитч(чип коммутации) на первой группе. Управление можно сделать с любого
локального порта, а вот внешку как раз на 9 или на 8 порт, 10-й обычно это РОЕ выход,
лучше его не использовать.

4) 60% нагрузки - ну так скажем, для "старичка" уже многовато.

5) когда пропадёт связь с каким-то клиентом или со всеми или с большинством, оставьте их ещё 5-7 минут
без Интернета, возьмите компьютер, поставьте на него данные клиента, у которого связь потерялась,
напрямую комп подключите к роутеру (тут надо согласовать чтобы не было тегированного трафика)
и проверить, пингуется и работает ли Интернет, я к чему веду, я подозреваю, что свитч/свитчи
что-то могут при каких-то моментов не пропускать трафик.
5.1) пока писал, такая идея родилась: подключите в 4й порт(или в другой какой-то порт) тоже обычный компьютер,
с заранее настроенным адресом, и как только сеть "ляжет", проверьте, а комп имеет выход? Уже можно будет
сделать вывод, роутер виноват или свитчи выше стоящие.
5.2) перед тем как перегружать роутер, также проверить, можете с роутера пропинговать шлюз провайдера,
может Вас провайдер как-то по каким-то таймаутам отключает?

[Zaycev]

Добрый день, свитчи на этажах в кабельных нишах под замком, порт прова сменю вечером, пока что разгар рабочего дня. Микрос покупали новый месяц назад. Была идея походить по проблемным клиентам с ноутом, но почему то убедил себя что проблема в микротике, раз перезагрузка клиентской банки или роутера не решает проблему, как и перезагрузка всех свитчей в цепочке до него, а перезагрузка микроса решает. Шлюз прова работает как и 90% клиентов, проблема с единицами клиентов или вланами.
Сегодня утром тоже пришла идея поставить банку в серверной и дождаться очередного "нерабочего" клиента, поставить на банке его ip, временно выдав ему другой(рабочий) ip, чтоб было время для экспериментов.

[Vlad-2]

1) меняйте WAN порт, дабы исключить конфликт или ещё что-то.
1.1) защиту от петель включите!

2) Роутер купили недавно? Странно, не уж то одноядерный 2011 был так красив,
что Вы купили его дороже, нежели прошли мимо 2х, а то и 4х ядерных, за меньшие
деньги. Не дальновидно и опрометчиво. РБ2011 морально и по мощности устарел,
сейчас есть роутеры мощнее, и стоят даже дешевле.
(РБ750 и РБ760, hAP AC2 и т.д.), или добавили чуть-чуть и взяли РБ4011!
Скорее всего увидели 10 портов и схватили..

3) не совсем понял что такое "банки" в Вашем последнем сообщении...