Mikrotik перестает пускать в интернет с локальной сети

[sfairat83]

Стуация следующая есть в наличии mikrotik RB951G-2HnD, стоит для раздачи интернета в локалку, интернет по ppoe с DHCP. В какойто момент начался такой странный глюк, интернет работает, потом внезапно пропадает на компьютере, захожу через winbox ppoe пеоднято, через ping с роутера интернет есть, но в локальную сеть перестал поступать, проверяю настройки, все нормально. Лечится переподключением ppoe несколько раз или перезагрузкой роутера, когда как. Откатился на версию 5.26 проблема осталась. Уже замучался не могу локализовать проблему изза чего такое происходит. Может кто сталкивался, помогите пожалуйста :)

[alexeys]

Аналогичная ситуация, схема подключения тоже идентична. Интернет как таковой не пропадает, просто у клиентов в локалке web браузер перестаёт открывать страницы, тоесть пинги во внешку пингаються, днс днс-ит. Началось спонтанно, в конфигурации не каких изменений не делал. Единственное что могу добавить, у себя заметил данный глюк особенно по вечерам и с утра, то есть когда канал не загружен, в течении дня все работает, после 18:00 когда все покинули рабочие места но осталось пара сотрудников у них перестают открываться web страници "пере под ключишь" соединение на микротике все с нова начинает работать. С утра, то есть после ночи, когда канал тоже особо не активен, аналогичная ситуация. Гуру куда рыть ?!

[alexeys]

Обновился на 6.11 не помогло!

[podarok66]

Посолить, поперчить и удалить 1943 символ.
Если данный совет не помог, то наверное я в ваших конфигах наблюдаю слишком мелкий шрифт. Сутки на догадки, потом закрою тему.

[alexeys]

Ок ! Тогда в красках.

Имеем филиальную сеть по городу, провайдеры везде разные ipip туннели, через интернет, везде соответственно белые статичные ip. Микрот 1 имеет соединение с интернетом по pppoe. Микрот 2 static ip, Микрот 3 l2tp. На всех микротах идентичные настройки , за исключением того, что на микрот 1, еще pptp и sstp сервер для подключения мобильных пользователей . Есть подозрения, что что-то с mtu, но что именно не понятно. Проблема в том, что как ранее описывал, на микрот 1 в локалке браузеры перестают открывать web страницы, на остальных, микротах такого нет, все работает как часы !!! «баг» происходит можно сказать хаотично, то есть единственная закономерность это обычно по вечерам, когда в офисах практически ни кого кроме пары человек, при этом все остальное работает а именно пинги между туннелями, да и www.ru & etc… тоже пингуеться без проблем. Схему сети и конфиг микрота 1 прилагаю. Может кто сталкивался, за ранее скажу отключение pptp и sstp и изменение mtu на них не исправляет ситуацию. Отключения правил fw, приоретизации, ограничений vk, odnoklassniki & etc… тоже. Заранее спасибо за помощь.

 "list"

# jan/02/1970 18:19:22 by RouterOS 6.11
# software id = CJTJ-3NA1
#
/interface bridge
add admin-mac=E4:DF:3D:01:D0:3D auto-mac=no l2mtu=1598 name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=no distance=indoors l2mtu=2290 mode=ap-bridge ssid=WES wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
/interface ipip
add local-address=111.111.111.111name=ipip1 remote-address=233.233.233.233
add local-address=111.111.111.111name=ipip2 remote-address=222.222.222.222
/ip neighbor discovery
set wlan1 discover=no
set ipip1 discover=no
set ipip2 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=Supersecret wpa2-pre-shared-key=Supersecret
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm mode=dynamic-keys name=guest_profile supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=Supersecret \
wpa2-pre-shared-key=sgiperrsecret
/interface wireless
add default-ap-tx-limit=1000000 default-client-tx-limit=1000000 disabled=no l2mtu=2290 mac-address=D6:CA:6D:07:60:77 master-interface=wlan1 name=wlan2 security-profile=guest_profile ssid=guest_wifiar wds-cost-range=0 \
wds-default-cost=0
/ip neighbor discovery
set wlan2 discover=no
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp ranges=192.168.2.200-192.168.2.254
add name=guestDHCP ranges=192.168.58.2-192.168.58.10
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=default
add address-pool=guestDHCP disabled=no interface=wlan2 name=guest_wifi
/ppp profile
set 0 only-one=yes
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 default-route-distance=1 dial-on-demand=yes disabled=no interface=ether1-gateway keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=disabled \
name=pppoe-out1 password=pwd profile=default service-name="" use-peer-dns=yes user=user
/ip neighbor discovery
set pppoe-out1 discover=no

[alexeys]

 "list2"

/queue tree
add disabled=yes max-limit=7M name=in parent=global queue=default
add disabled=yes max-limit=7M name=def-in packet-mark=traffic_in parent=in queue=default
add disabled=yes limit-at=1M max-limit=2M name=voip-in packet-mark=voip_traffic_in parent=in priority=1 queue=default
add disabled=yes max-limit=7M name=out parent=global queue=default
add disabled=yes max-limit=7M name=def-out packet-mark=traffic_out parent=out queue=default
add disabled=yes limit-at=1M max-limit=2M name=voip_out packet-mark=voip_traffic_out parent=out priority=1 queue=default
add disabled=yes limit-at=2M max-limit=6M name=LAN2_LAN11_in packet-mark=LAN2_LAN11 parent=in priority=2 queue=default
add disabled=yes limit-at=1M max-limit=6M name=LAN2_LAN11_out packet-mark=LAN2_LAN11 parent=out priority=2 queue=default
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/user group
add name=natvas policy=local,reboot,read,test,winbox,!telnet,!ssh,!ftp,!write,!policy,!password,!web,!sniff,!sensitive,!api
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface l2tp-server server
set max-mru=1200 max-mtu=1200
/interface pptp-server server
set enabled=yes max-mru=1200 max-mtu=1200
/interface sstp-server server
set enabled=yes max-mru=1300 max-mtu=1300
/ip address
add address=192.168.2.3/24 comment="default configuration" interface=ether2-master-local network=192.168.2.0
add address=192.168.58.1/24 interface=wlan2 network=192.168.58.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=ether1-gateway
/ip dhcp-server lease (компов около 30)
add address=192.168.2.214 client-id=1:0:24:1d:70:60:3d comment="gl (buh)" mac-address=00:D5:2D:70:61:3D server=default
add address=192.168.58.5 client-id=1:bc:72:b1:54:2e:6b comment="Masha Phone" mac-address=BC:72:C5:54:21:4A server=guest_wifi
add address=192.168.2.207 client-id=1:0:21:91:8e:2e:8a comment=" new PC" mac-address=02:E1:A1:7E:1E:4A server=default
add address=192.168.2.206 client-id=1:0:1c:c0:4f:9f:75 comment=" PC (buh)" mac-address=01:4F:C0:1F:0F:1A server=default
/ip dhcp-server network
add address=192.168.2.0/24 comment="default configuration" dns-server=192.168.2.3 gateway=192.168.2.3 netmask=24
add address=192.168.58.0/24 comment=guest_wifi dns-server=192.168.58.1,10.128.0.0 domain=guest_wifi gateway=192.168.58.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=10.128.0.0,10.128.0.0
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter

 "list3"

/queue tree
add disabled=yes max-limit=7M name=in parent=global queue=default
add disabled=yes max-limit=7M name=def-in packet-mark=traffic_in parent=in queue=default
add disabled=yes limit-at=1M max-limit=2M name=voip-in packet-mark=voip_traffic_in parent=in priority=1 queue=default
add disabled=yes max-limit=7M name=out parent=global queue=default
add disabled=yes max-limit=7M name=def-out packet-mark=traffic_out parent=out queue=default
add disabled=yes limit-at=1M max-limit=2M name=voip_out packet-mark=voip_traffic_out parent=out priority=1 queue=default
add disabled=yes limit-at=2M max-limit=6M name=LAN2_LAN11_in packet-mark=LAN2_LAN11 parent=in priority=2 queue=default
add disabled=yes limit-at=1M max-limit=6M name=LAN2_LAN11_out packet-mark=LAN2_LAN11 parent=out priority=2 queue=default
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/user group
add name=natvas policy=local,reboot,read,test,winbox,!telnet,!ssh,!ftp,!write,!policy,!password,!web,!sniff,!sensitive,!api
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface l2tp-server server
set max-mru=1200 max-mtu=1200
/interface pptp-server server
set enabled=yes max-mru=1200 max-mtu=1200
/interface sstp-server server
set enabled=yes max-mru=1300 max-mtu=1300
/ip address
add address=192.168.2.3/24 comment="default configuration" interface=ether2-master-local network=192.168.2.0
add address=192.168.58.1/24 interface=wlan2 network=192.168.58.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=ether1-gateway
/ip dhcp-server lease (компов около 30)
add address=192.168.2.214 client-id=1:0:24:1d:70:60:3d comment="gl (buh)" mac-address=00:D5:2D:70:61:3D server=default
add address=192.168.58.5 client-id=1:bc:72:b1:54:2e:6b comment="Masha Phone" mac-address=BC:72:C5:54:21:4A server=guest_wifi
add address=192.168.2.207 client-id=1:0:21:91:8e:2e:8a comment=" new PC" mac-address=02:E1:A1:7E:1E:4A server=default
add address=192.168.2.206 client-id=1:0:1c:c0:4f:9f:75 comment=" PC (buh)" mac-address=01:4F:C0:1F:0F:1A server=default
/ip dhcp-server network
add address=192.168.2.0/24 comment="default configuration" dns-server=192.168.2.3 gateway=192.168.2.3 netmask=24
add address=192.168.58.0/24 comment=guest_wifi dns-server=192.168.58.1,10.128.0.0 domain=guest_wifi gateway=192.168.58.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=10.128.0.0,10.128.0.0
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=forward comment="1C Admin Rules, Allow only 1c Server access, all ports (route add 192.168.2.2 mask 255.255.255.0 192.168.101.ip)" dst-address=192.168.101.0/24 src-address=192.168.2.2
add action=drop chain=forward dst-address=192.168.101.0/24
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="Admin Access for ALL Internet" disabled=yes protocol=tcp src-address=192.168.2.220
add chain=forward comment="BOSS. Access for ALL Internet" protocol=tcp src-address=192.168.2.222
add action=reject chain=forward comment="Reject VK, odnoklassniki & etc...." content=vk.com dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=odnoklassniki.ru dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=anonim.pro dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=unlumen.ru dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=anonimno.biz dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=mrchameleon.ru dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=youtube.com dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=ivi.ru dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward comment="Reject simple-proxy.com" dst-address=91.121.21.58 protocol=tcp reject-with=tcp-reset
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall mangle
add action=mark-packet chain=forward disabled=yes new-packet-mark=traffic_out src-address=192.168.2.0/24
add action=mark-packet chain=forward disabled=yes dst-address=192.168.2.0/24 new-packet-mark=traffic_in
add action=mark-packet chain=forward disabled=yes new-packet-mark=voip_traffic_out src-address=192.168.2.6
add action=mark-packet chain=forward disabled=yes dst-address=192.168.2.6 new-packet-mark=voip_traffic_in
add action=mark-packet chain=forward disabled=yes dst-address=192.168.11.0/24 new-packet-mark=LAN2_LAN11 src-address=192.168.2.0/24
add action=mark-packet chain=forward disabled=yes dst-address=192.168.2.0/24 in-interface=ipip1 new-packet-mark=LAN11_LAN2 out-interface=ipip1 src-address=192.168.11.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=src-nat chain=srcnat out-interface=pppoe-out1 to-addresses=111.111.111.111
add action=dst-nat chain=dstnat comment="IP Asterisk NAT" disabled=yes dst-address=ipv.oip.pro.v dst-port=10000-20000 in-interface=pppoe-out1 protocol=udp to-addresses=192.168.2.6
add action=dst-nat chain=dstnat dst-port=10000-20000 in-interface=pppoe-out1 protocol=udp to-addresses=192.168.2.6
add action=dst-nat chain=dstnat dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=192.168.2.6
add action=dst-nat chain=dstnat disabled=yes dst-port=5060 in-interface=pppoe-out1 protocol=udp src-address=ipv.oip.pro.v to-addresses=192.168.2.6

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ipip2
add distance=1 dst-address=192.168.11.0/24 gateway=ipip1
/ip route rule
add action=drop comment="Guest Wifi Rules (no access to local NET)" dst-address=192.168.0.0/16 src-address=192.168.58.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=33380
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=no
/ppp secret
add local-address=192.168.90.1 name=user1 password=pass1 remote-address=192.168.100.3 service=pptp
add local-address=192.168.90.1 name=user2 password=pass2 remote-address=192.168.101.1 service=pptp
add local-address=192.168.190.1 name=user3 password=pass3 remote-address=192.168.199.2 service=sstp
add local-address=192.168.90.1 name=user4 password=pass4 remote-address=192.168.101.2 service=pptp
add local-address=192.168.90.1 name=user5 password=pass5 remote-address=192.168.100.2 service=pptp
add local-address=192.168.90.1 name=user6 password=pwd6 remote-address=192.168.101.3 service=pptp
/system clock
set time-zone-name=Asia/Yekaterinburg
/system identity
set name=Cat
/system leds
set 0 interface=wlan1
/system ntp client
set mode=unicast primary-ntp=88.147.254.228 secondary-ntp=86.57.151.18
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool sniffer
set filter-stream=yes
[admin@mikrotik] >

[vqd]

Лист2
1. DNS - 10.128.0.0,10.128.0.0 - Это как вообще? Провайдер такое дал или вы сами придумали?
2. Стандартная ошибка, Адрес назначен интерфейсу а не бриджу

Лист
1.
/interface ipip
add local-address=111.111.111.111name=ipip1 remote-address=233.233.233.233
add local-address=111.111.111.111name=ipip2 remote-address=222.222.222.222

Кто ж такие адреса то назначает? Посмотрите какие адреса выделены под частные сети. И опять же непонятно откуда они такие взялись в принципе

Насчет МТУ, вы можете воткнуть шнурок в ПК, запустить софтину которая подбирает МТУ оптимальный либо позвонить вашему провайдеру и спросить их значение.


И выложите конфиг по человечески, а то куски выложили. И на схеме адреса обозначте

[alexeys]

Такой dns выдал провайдер, он работает. А что вам не нравиться в 111.111.111.111 чем он хуже 190.140.230.120 ? Я просто реальные заменил на такие, что вас собственно смущает ?! Конфиг целый просто разбит на 3 части!

[alexeys]

Такой dns выдал провайдер, он работает. А что вам не нравиться в 111.111.111.111 чем он хуже 190.140.230.120 ? Я просто реальные заменил на такие, что вас собственно смущает ?! Конфиг целый просто разбит на 3 части!

Да и mtu подобрать не проблема, дело в том, что переподключений не каких не происходит а страницы не открываються спустя время!

[vqd]

Про частные адреса тут http://ru.wikipedia.org/wiki/%D7%E0%F1% ... 4%F0%E5%F1

В место 10.128.0.0 в ДНС пропишите человеческие адреса. например ДНС того же гугла или яндекса