Смена оператора связи в сети из Mikrotik

Обсуждение ПО и его настройки
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

algerka писал(а):
Volshebnik писал(а):
algerka писал(а):А подключение к ростелекому не pppoe?
И все-таки, какой ip адрес у вас на wan интерфейсе при подключении к провайдеру с которым не работает и какой на лан?

Да, pppoe.
На wan, статикой прописываем настройки от провайдера.


Тогда самое первое что на ум приходит, это настройка файервола. Для pppoe подключение разрешено, для wan (со статикой или dhcp) запрещено. Или маршрутизация не правильно настроена.
Опубликуйте свою конфигурацию, может-то что-то и подскажем.


Александр
Volshebnik
Сообщения: 11
Зарегистрирован: 14 ноя 2016, 07:13
Откуда: Сибирь, Осинники

algerka писал(а):Тогда самое первое что на ум приходит, это настройка файервола. Для pppoe подключение разрешено, для wan (со статикой или dhcp) запрещено.
Опубликуйте свою конфигурацию, может-то что-то и подскажем.

Фаерволл пуст, единственные правила, которые там присутствуют, это те, которые создаются HotSpotом, и то мы отключали HotSpot для тестирования.
В нате только одно правило маскарада.
Итог ничего не дал.
У меня есть подозрение, что VLAN не правильно создан, похоже на ту ситуацию, о которой писал Dragon_Knight выше. Может быть такое?
Там получается, что vlan подан на ethernet порт, тэгом и добавлен в бридж, думаю нужно подать vlan на бридж тэгом и подать на порт нетэгом, и объединить vlanы этим бриджом.
Или может, подскажете, как правильно это сделать, я не силен в vlanах на микротиках?
Завтра будем пробовать, настроить интерфейсы с vlanaми.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Или маршрутизация не правильно настроена.


Александр
Volshebnik
Сообщения: 11
Зарегистрирован: 14 ноя 2016, 07:13
Откуда: Сибирь, Осинники

algerka писал(а):Или маршрутизация не правильно настроена.

Удевляет, что с Ростелекомом все работает)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Volshebnik писал(а):Там получается, что vlan подан на ethernet порт, тэгом и добавлен в бридж, думаю нужно подать vlan на бридж тэгом и подать на порт нетэгом, и объединить vlanы этим бриджом.
Или может, подскажете, как правильно это сделать, я не силен в vlanах на микротиках?
Завтра будем пробовать, настроить интерфейсы с vlanaми.

По Вашему описанию и в самом деле что-то с виланами перемудрили.
Если провайдер приходит виланом (тегированным) (по описанию у вас именно так),
то создаёте на WAN-порту (скажем Ether1) вилан с нужным ID и всё.
Потом даёте статическую адресацию этому вилану (адресацию выданную Вам провайдером)
и прописываете уже и шлюз и так далее, Натите кого надо или всех тоже и также от интерфейса вилана.
В целом, для Вас это обычный интерфейс.

А с бриджами аккуратно надо, надо помнить, что бридж - это то, что объединяет порты/интерфейсы в него включённые,
а значит не нарочно можете петлю создать или логически замыкать трафик.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Volshebnik
Сообщения: 11
Зарегистрирован: 14 ноя 2016, 07:13
Откуда: Сибирь, Осинники

Похоже проблема в MTU, ограничен на стороне провайдера, ставим MTU ниже 1500, начинают открываться страницы по https протоколу а по http нет.
Почитал статью на хабре (https://habrahabr.ru/post/136871/), похоже наша проблема, только не знаю как на микротике снять флаг DF (don't fragment), может кто подскажет?


Volshebnik
Сообщения: 11
Зарегистрирован: 14 ноя 2016, 07:13
Откуда: Сибирь, Осинники

Решение проблемы, это добавление правила
/ip firewall mangle
add action=clear-df chain=prerouting passthrough=no tcp-flags=""


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вот спасибо за сообщение, как-то не сталкивался ранее. Возьму на заметку.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Volshebnik
Сообщения: 11
Зарегистрирован: 14 ноя 2016, 07:13
Откуда: Сибирь, Осинники

podarok66 писал(а):Вот спасибо за сообщение, как-то не сталкивался ранее. Возьму на заметку.

Все работает, только google play не доступен, теперь думаем что делать с этим.
Поделитесь опытом, если кто-то, что-то знает.


Volshebnik
Сообщения: 11
Зарегистрирован: 14 ноя 2016, 07:13
Откуда: Сибирь, Осинники

Окончательное решение проблемы
Для того чтобы работало все добавляем правила
/ip firewall mangle
add action=clear-df chain=prerouting passthrough=no tcp-flags=""
add action=change-mss chain=forward in-interface=bridge1 new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=bridge1 passthrough=yes protocol=tcp tcp-flags=syn


Ответить