Mikrotik перестает пускать в интернет с локальной сети

Обсуждение ПО и его настройки
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

И еще момент, если вы выцепляете пакеты то сначала стоит маркировать соединения, а потом из соединения выцеплять нужные вам пакеты


Есть интересная задача и бюджет? http://mikrotik.site
alexeys
Сообщения: 10
Зарегистрирован: 21 мар 2014, 08:58

Пакеты маркируются, В обще эти правила отключены в данном листинге это видно, изменение днс не даёт результатов, проблема повторяюсь не в ДНС!


alexeys
Сообщения: 10
Зарегистрирован: 21 мар 2014, 08:58

Про частные сети понял, что вы имеете ввиду, ipip и без этого очень себе не плохо маршрутизируеться в IP->Routes просто достаточно указать через какой интерфейс искать ту или другую подсеть.
Последний раз редактировалось alexeys 24 мар 2014, 08:18, всего редактировалось 1 раз.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Прежде чем выцеплять блуждающую проблему стоит конфигурацию привести в порядок...


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Этот момент тоже какой то непонятный

add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=src-nat chain=srcnat out-interface=pppoe-out1 to-addresses=111.111.111.111


Есть интересная задача и бюджет? http://mikrotik.site
alexeys
Сообщения: 10
Зарегистрирован: 21 мар 2014, 08:58

vqd писал(а):Этот момент тоже какой то непонятный

add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=src-nat chain=srcnat out-interface=pppoe-out1 to-addresses=111.111.111.111

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ тут согласен, эксперементировал, перевод в desable так же без результатов!


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Приведите конфиг в порядок.

После одним спойлером все выложите, а то ваши куски пересекаются.


Есть интересная задача и бюджет? http://mikrotik.site
alexeys
Сообщения: 10
Зарегистрирован: 21 мар 2014, 08:58

vqd писал(а):Приведите конфиг в порядок.

После одним спойлером все выложите, а то ваши куски пересекаются.


Поправил местами конфигурацию, соответственно почистился конфиг, схему также откоректировал. Боюсь, только результата от этого не будет :( Что посоветуете, проблема продолжает быть ?!
Изображение
 mikrotik
[admin@mikrotik] > export compact
# mar/24/2014 11:50:32 by RouterOS 6.11
# software id = CJTJ-3NA1
/interface bridge
add admin-mac=D4:A1:7D:07:6D:A3 auto-mac=no l2mtu=1598 name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=no distance=indoors l2mtu=2290 mode=ap-bridge ssid=WES wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway speed=10Mbps
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
/interface ipip
add local-address=111.111.111.111 name=ipip1 remote-address=222.222.222.222
add local-address=111.111.111.111 name=ipip2 remote-address=233.233.233.233
/ip neighbor discovery
set wlan1 discover=no
set ipip1 discover=no
set ipip2 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=pass wpa2-pre-shared-key=pass
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm mode=dynamic-keys name=guest_profile supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=pass \
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp ranges=192.168.2.200-192.168.2.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=default
/ppp profile
set 0 only-one=yes
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 default-route-distance=1 dial-on-demand=yes disabled=no interface=ether1-gateway keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=disabled \
name=pppoe-out1 password=asd profile=default service-name="" use-peer-dns=yes user=qwe
/ip neighbor discovery
set pppoe-out1 discover=no
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/user group
add name=user policy=local,reboot,read,test,winbox,!telnet,!ssh,!ftp,!write,!policy,!password,!web,!sniff,!sensitive,!api
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface l2tp-server server
set max-mru=1200 max-mtu=1200
/interface pptp-server server
set enabled=yes max-mru=1200 max-mtu=1200
/interface sstp-server server
set enabled=yes max-mru=1300 max-mtu=1300
/ip address
add address=192.168.2.3/24 comment="default configuration" interface=ether2-master-local network=192.168.2.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=ether1-gateway
/ip dhcp-server lease
/ip dhcp-server network
add address=192.168.2.0/24 comment="default configuration" dns-server=192.168.2.3 gateway=192.168.2.3 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,10.128.0.0
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=forward comment="1C USER, Allow only 1c Server access, all ports"
dst-address=192.168.101.0/24 src-address=192.168.2.100
add action=drop chain=forward dst-address=192.168.101.0/24
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="Admin Access for ALL Internet" protocol=tcp src-address=192.168.2.121
add chain=forward comment="BOSS Access for ALL Internet" protocol=tcp src-address=192.168.2.122
add action=reject chain=forward comment="Reject VK, odnoklassniki & etc...." content=vk.com dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=odnoklassniki.ru dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=anonim.pro dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=unlumen.ru dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward content=anonimno.biz dst-port=80 out-interface=pppoe-out1 protocol=tcp reject-with=tcp-reset src-address=192.168.2.0/24
add action=reject chain=forward comment="Reject simple-proxy.com" dst-address=91.121.21.58 protocol=tcp reject-with=tcp-reset
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat dst-port=10000-20000 in-interface=pppoe-out1 protocol=udp to-addresses=192.168.2.6
add action=dst-nat chain=dstnat dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=192.168.2.6
/ip proxy
set parent-proxy=0.0.0.0 port=3128
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ipip2
add distance=1 dst-address=192.168.11.0/24 gateway=ipip1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=33380
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=no
/ppp secret
add local-address=192.168.90.1 name=user password=passw remote-address=192.168.100.3 service=pptp
add local-address=192.168.90.1 name=user password=passwd remote-address=192.168.101.1 service=pptp
add local-address=192.168.190.1 name=user password=pass remote-address=192.168.199.2 service=sstp
/system clock
set time-zone-name=Asia/Yekaterinburg
/system identity
set name=Cat
/system leds
set 0 interface=wlan1
/system ntp client
set enabled=yes mode=unicast primary-ntp=88.147.254.228 secondary-ntp=86.57.151.18
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool sniffer
set filter-stream=yes
[admin@mikrotik] >


tsifrovoy
Сообщения: 6
Зарегистрирован: 08 дек 2020, 15:08

У меня проблема подобная, только чуть полегче, в общем, микрот стоит за роутером провайдера в качестве хаба и обучаюсь на нем дома, так вот при подключении к роутеру провайдера, микрот пингуется, но не пускает, но если переключится на вайфай микрота, сразу заходит. Знаю, вопрос может глупый, но я только учусь.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

tsifrovoy писал(а): 08 дек 2020, 15:15 У меня проблема подобная, только чуть полегче, в общем, микрот стоит за роутером провайдера в качестве хаба и обучаюсь на нем дома, так вот при подключении к роутеру провайдера, микрот пингуется, но не пускает, но если переключится на вайфай микрота, сразу заходит. Знаю, вопрос может глупый, но я только учусь.
Естественно он вас не пускает, когда вы к нему стучитесь со стороны WAN-порта.
Поправьте firewall (само собой только на время, пока он за firewall'ом основного роутера).


Telegram: @thexvo
Ответить