mikrotik+apple облако

Обсуждение ПО и его настройки
matriarx
Сообщения: 10
Зарегистрирован: 22 сен 2016, 09:03

добрый день. есть MacBook mini, iphone, есть микротик RB1100AHx2 прошивка v6,36

проблема :
Когда идет закачка файлов на облако apple, то происходит обрыв интернет соединения у всех, кроме того, кто заливает файл с телефона в облако синхронизация, с компьютера в облако синхронизация. интернет пропадает.

наблюдения:
IP адрес внешний не доступен на микротике становится.
переподключения с провайдером не происходит.
канал не забивается даже на 30 % от пропускной способности.

кто сталкивался с этой проблемой и как ее решить?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ну хотя бы:
1) показали логи (последние) из микротика
2) показали конфигурацию микротика
3) ну и пробовали обновиться? Прошивка у Вас для столь мощного роутера очень-уже очень старая.
Возможно проблема давно исправлена в новых версиях прошивки.

4) у тех, у кого происходит разрыв, он как происходит? Нет связи, или компы пишут что нет сетевого подключения?
То есть мне интересна природа "разрыва"(логическая/физическая).
4.1) а если нагрузить сеть и качать с мак-бука на другой комп в этой же сети, есть разрывы, пропадания сети?

В целом, пока что мало информации.....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
matriarx
Сообщения: 10
Зарегистрирован: 22 сен 2016, 09:03

1. есть снифер с этим ip адресом. подойдет?
2. конфигурация большая)))что именно из нее надо показать? соединение с провайдером по pptp user/password. wan - 10 порт, lan ( пользователей -1) Lan сервера - 2порт.
3. не пробовал ещё.

4. просто страница по таймауту в браузере не открывается. ping во внешку не уходит, wan порт не пингуется снаружи и изнутри.
4.1. торренты даже держит нормально. другие файлы скачиваются по гигабайтам - все ок. FTP, shared folder, просто айлы по ссылкам с файлообменников... все ок. а как продукция Apple, так отключается от интернета.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

matriarx писал(а): 28 фев 2018, 15:12 1. есть снифер с этим ip адресом. подойдет?
нет, зачем мне логи снифера. Зайдите в консоль микротика и в командной строке сделайте команду log print
и сможете в буфер скопировать (естественно надо копировать тогда когда именно возникает такая проблема/ситуация)
matriarx писал(а): 28 фев 2018, 15:12 2. конфигурация большая)))что именно из нее надо показать? соединение с провайдером по pptp user/password. wan - 10 порт, lan ( пользователей -1) Lan сервера - 2порт.
Ну тут такие конфигурации показывали и копировали, точно на сочинение пойдёт. Опять же, почему именно 10 порт выбран для вана?
Также по конфигурации можно было бы понять как связаны порты 1 и 2й ?
А также, вопрос Вам - Вы ознакомливались с блок-схемой именно этого роутера?
Покажите конфигурацию без паролей и мак-адресов, реальные адреса частично замажьте, а всё остальное - нечего скрывать.
matriarx писал(а): 28 фев 2018, 15:12 3. не пробовал ещё.
Желательно сделать копию конфигурации (во всех форматах), и обновиться, так как Вы давно не обновлялись, то после обновления
прошивки, надо будет обновить загрузчик ещё.
matriarx писал(а): 28 фев 2018, 15:12 4. просто страница по таймауту в браузере не открывается. ping во внешку не уходит, wan порт не пингуется снаружи и изнутри.
Я Вас спрашивал, но такое описание не техническое, рртр сессия падает или нет? переподключение происходит?
Или сам порт (10й) делает Up/Down?
Надо понять, падает интернет или падает "физика"?
Я не зря про блок-схему сделал акцент, Вы логически не замыкаете сеть иногда? WAN-порт должен быть независим и не быть
логически связан в каком то бридже.
matriarx писал(а): 28 фев 2018, 15:12 4.1. торренты даже держит нормально. другие файлы скачиваются по гигабайтам - все ок. FTP, shared folder, просто айлы по ссылкам с файлообменников... все ок. а как продукция Apple, так отключается от интернета.
То есть мак-бук работает в локальной сети через роутер в нормальном режиме, а как он работает в интернете и при обращении на родной сайт - проблема?

У провайдера и/или у Вас ничего не менялось? Логика, топология, изменения, добавления сегмента в сети или ещё что-то?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33



Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Erik_U писал(а): 28 фев 2018, 16:12 Это не та же проблема?
https://forum.mikrotik.com/viewtopic.php?t=120218
https://www.youtube.com/watch?v=3w3i1K9QJKA
Да вроде у него без ВиФИ всё, и роутер без вифи-карты, и по второму ответу ТС
подключение идёт только через Ethernet, так что ВиФи думаю точно тут не виновато.

НА счёт времени аренды в DHCP - возможно, тем более прошивка старая, но мы НЕ знаем,
как настроено, есть ли настроенный и активный DHCP, и каковы там параметры...

Пока собираем(вытягиваем) "анамнез"....с ТС



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
matriarx
Сообщения: 10
Зарегистрирован: 22 сен 2016, 09:03

Код: Выделить всё

# feb/28/2018 16:56:26 by RouterOS 6.36
# software id = EBB8-JZGI
#
/interface ethernet
set [ find default-name=ether1 ] name=ether1-lan
set [ find default-name=ether2 ] master-port=ether1-lan
set [ find default-name=ether3 ] master-port=ether1-lan
set [ find default-name=ether4 ] master-port=ether1-lan
set [ find default-name=ether5 ] master-port=ether1-lan
set [ find default-name=ether6 ] mac-address=10:FE:ED:C1:89:06 mtu=1480 \
    rx-flow-control=on tx-flow-control=on
set [ find default-name=ether11 ] mac-address=10:FE:ED:C1:89:06 mtu=1480
/interface pppoe-client
add add-default-route=yes dial-on-demand=yes disabled=no interface=ether6 \
    keepalive-timeout=30 max-mru=1480 max-mtu=1480 mrru=1600 name=RT \
    password=FV user=URDSL730865
/ip ipsec policy group
add name=Policy_L2TP
/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-256-ctr,3des,des name=Proposal_l2tp
/ip pool
add name=dhcp ranges=\
    192.168.0.51-192.168.0.100,192.168.0.110,192.168.0.140-192.168.0.250
add name="\F4\E5\E4\EE\F0_\EF\F3\EB" ranges=192.168.0.113
add name=pool_vpn ranges=192.168.101.10-192.168.101.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=ether1-lan \
    lease-time=1h12m name=DHCP src-address=192.168.0.253
/ppp profile
set *0 dns-server=192.168.0.249
add change-tcp-mss=yes dns-server=192.168.0.249 local-address=dhcp name=\
    l2tp_profile remote-address=dhcp
add change-tcp-mss=yes dns-server=192.168.0.249 local-address=pool_vpn name=\
    l2tp_windows remote-address=pool_vpn
set *FFFFFFFE dns-server=192.168.0.249
/interface l2tp-client
add connect-to=84.53.238.218 dial-on-demand=yes ipsec-secret= mrru=\
    1600 name=l2tp-out1 password= profile=l2tp_profile use-ipsec=yes \
    user=zaripov
/queue simple
add burst-limit=5M/5M burst-threshold=5M/5M burst-time=2s/2s disabled=yes \
    max-limit=5M/5M name=queue1 target=192.168.0.183/32
add burst-limit=5M/5M burst-threshold=5M/5M burst-time=2s/2s disabled=yes \
    max-limit=5M/5M name=queue2 target=192.168.0.197/32
add burst-limit=20M/20M burst-threshold=20M/20M burst-time=2s/2s disabled=yes \
    max-limit=20M/20M name=queue4 target=192.168.0.143/32
add burst-limit=5M/5M burst-threshold=5M/5M burst-time=2s/2s disabled=yes \
    max-limit=5M/5M name=queue7 target=192.168.0.73/32
add burst-limit=5M/5M burst-threshold=5M/5M burst-time=2s/2s disabled=yes \
    max-limit=5M/5M name=queue6 target=192.168.0.60/32
add burst-limit=40M/40M burst-threshold=40M/40M burst-time=2s/2s disabled=yes \
    max-limit=40M/40M name="\CA\E0\E7\E0\F0\E8\ED" target=192.168.0.140/32
add burst-limit=40M/40M burst-threshold=40M/40M burst-time=2s/2s max-limit=\
    40M/40M name="\C2\E8\ED\EE\E3\F0\E0\E4\EE\E2" target=192.168.0.57/32
add burst-limit=10M/10M burst-threshold=10M/10M burst-time=2s/2s disabled=yes \
    max-limit=10M/10M name=queue8 target=192.168.0.81/32
add burst-limit=4M/4M burst-threshold=4M/4M burst-time=2s/2s disabled=yes \
    max-limit=4M/4M name=Orehova target=192.168.0.64/32
add burst-limit=50M/50M burst-threshold=50M/50M burst-time=1s/1s disabled=yes \
    max-limit=50M/50M name=all target=192.168.0.0/24
/snmp community
set [ find default=yes ] addresses=192.168.0.8/32
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=l2tp_profile enabled=yes \
    ipsec-secret=1123 use-ipsec=yes
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.253 comment=defconf interface=ether1-lan network=\
    192.168.0.253
add address=192.168.20.1 interface=ether1-lan network=192.168.20.1
add address=192.168.101.1 interface=ether6 network=192.168.101.1
/ip dhcp-client
add default-route-distance=0 interface=ether11
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=ether6
/ip dhcp-server lease
add address=192.168.0.254 comment=server mac-address=00:80:48:38:4E:C3 \
    server=DHCP
add address=192.168.0.119 comment=KazarinClientBank mac-address=\
    20:10:7A:64:F2:10 server=DHCP
add address=192.168.0.250 comment="WEB NewServer" mac-address=\
    68:B5:99:B6:24:94 server=DHCP
add address=192.168.0.148 always-broadcast=yes mac-address=00:1F:C6:53:78:EF \
    server=DHCP
add address=192.168.0.241 comment=Gitlab mac-address=52:54:00:2B:D6:F4 \
    server=DHCP
add address=192.168.0.172 mac-address=52:54:00:86:7C:3A server=DHCP
add address=192.168.0.156 comment=Buhgalter mac-address=28:10:7B:4A:E3:9A \
    server=DHCP
add address=192.168.0.242 comment=portal mac-address=52:54:00:33:8B:53 \
    server=DHCP
add address=192.168.0.243 comment=fabrikator mac-address=52:54:00:6E:2A:E9 \
    server=DHCP
add address=192.168.0.140 always-broadcast=yes comment=kazarin-mac \
    mac-address=A8:20:66:24:95:D4 server=DHCP
add address=192.168.0.240 comment=marina mac-address=52:54:00:92:CB:46 \
    server=DHCP
add address=192.168.0.168 comment=opencv mac-address=52:54:00:F3:B4:70
add address=192.168.0.244 comment="auwerk-node-\r\
    \n2" mac-address=52:54:00:13:13:AF server=DHCP
add address=192.168.0.177 comment=auwerk-ims mac-address=52:54:00:EF:BE:F1
add address=192.168.0.166 comment=phabricator mac-address=52:54:00:B9:8E:A8
add address=192.168.0.176 comment="spb.fabricat\r\
    \nor" mac-address=52:54:00:01:4D:F6 server=DHCP
add address=192.168.0.180 comment="redmine-new\t" disabled=yes mac-address=\
    52:54:00:93:80:E6 server=DHCP
add address=192.168.0.185 comment=cleanportal mac-address=52:54:00:A0:82:B3 \
    server=DHCP
add address=192.168.0.159 comment="xcod-server\t" mac-address=\
    88:53:95:2B:90:47 server=DHCP
add address=192.168.0.167 comment="redmine-bred\t" mac-address=\
    52:54:00:68:D0:20
add address=192.168.0.251 comment=Fileshare mac-address=C8:60:00:D0:BE:2A
add address=192.168.0.249 comment="digi-server\t" mac-address=\
    40:16:7E:23:19:BE
add address=192.168.0.248 comment=ebd mac-address=52:54:00:B9:5A:84
add address=192.168.0.110 comment=database mac-address=52:54:00:38:21:96
add address=192.168.0.69 comment=asterisk mac-address=00:15:5D:00:09:14
add address=192.168.0.49 client-id=1:0:15:65:a7:2d:87 mac-address=\
    00:15:65:A7:2D:87 server=DHCP
add address=192.168.0.58 client-id=1:0:15:65:a3:d4:3 mac-address=\
    00:15:65:A3:D4:03 server=DHCP
add address=192.168.0.56 client-id=1:50:46:5d:53:1b:ae mac-address=\
    50:46:5D:53:1B:AE server=DHCP
add address=192.168.0.4 client-id=1:78:24:af:99:9b:a8 comment="asus RT-N66U" \
    mac-address=78:24:AF:99:9B:A8 server=DHCP
add address=192.168.0.144 comment=Wilo disabled=yes mac-address=\
    52:54:00:FC:64:BA server=DHCP
add address=192.168.0.149 comment=AS10 disabled=yes mac-address=\
    52:54:00:50:73:C2 server=DHCP
add address=192.168.0.223 comment=Gitlab8 mac-address=52:54:00:86:AE:2F \
    server=DHCP
add address=192.168.0.235 always-broadcast=yes client-id=1:0:15:65:af:1f:d6 \
    comment="\C3\F0\E8\F8\E0 \D2\E5\EB\E5\F4\EE\ED" mac-address=\
    00:15:65:AF:1F:D6 server=DHCP
add address=192.168.0.236 client-id=1:0:15:65:af:21:e1 comment=\
    "\CD\E8\EA\EE\EB\E0\E9 \EA\F3\EB\E8\EA\EE\E2 \D2\E5\EB\E5\F4\EE\ED" \
    mac-address=00:15:65:AF:21:E1 server=DHCP
add address=192.168.0.237 client-id=1:0:15:65:af:22:f comment=\
    "\CA\F1\E5\ED\E8\FF \D2\E5\EB\E5\F4\EE\ED" mac-address=00:15:65:AF:22:0F \
    server=DHCP
add address=192.168.0.173 comment=Printer mac-address=3C:4A:92:B8:32:A6 \
    server=DHCP
add address=192.168.0.9 comment="Server hp380 G6" mac-address=\
    78:E7:D1:E6:BC:BE server=DHCP
add address=192.168.0.10 mac-address=02:BE:A4:13:27:EE
add address=192.168.0.69 comment=asterisk disabled=yes mac-address=\
    00:15:5D:00:09:08
add address=192.168.0.245 comment=gitlab-hyper-v mac-address=\
    00:15:5D:00:09:06 server=DHCP
add address=192.168.0.8 comment="Zabbix Server" mac-address=00:15:5D:00:09:0E
add address=192.168.0.54 client-id=1:0:15:5d:0:9:f mac-address=\
    00:15:5D:00:09:0F server=DHCP
add address=192.168.0.152 client-id=1:0:15:5d:0:9:11 comment=ebd-new \
    mac-address=00:15:5D:00:09:11 server=DHCP
add address=192.168.0.97 comment=web2 mac-address=00:15:5D:00:09:13 server=\
    DHCP
add address=192.168.0.169 client-id=1:0:15:5d:0:9:17 comment=1cServer \
    mac-address=00:15:5D:00:09:17 server=DHCP
add address=192.168.0.95 client-id=1:0:80:48:36:9c:4d mac-address=\
    00:80:48:36:9C:4D server=DHCP
add address=192.168.0.32 client-id=1:38:d5:47:19:c7:2c mac-address=\
    38:D5:47:19:C7:2C server=DHCP
add address=192.168.0.187 mac-address=00:15:5D:00:09:18 server=DHCP
add address=192.168.0.73 client-id=\
    ff:f6:35:48:aa:0:1:0:1:21:d7:aa:45:34:97:f6:35:48:aa mac-address=\
    34:97:F6:35:48:AA server=DHCP
add address=192.168.0.197 client-id=1:f0:79:59:5e:87:e5 mac-address=\
    F0:79:59:5E:87:E5 server=DHCP
add address=192.168.0.183 client-id=1:ac:22:b:a2:63:b2 mac-address=\
    AC:22:0B:A2:63:B2 server=DHCP
add address=192.168.0.143 always-broadcast=yes client-id=1:40:8d:5c:79:52:b \
    mac-address=40:8D:5C:79:52:0B server=DHCP
add address=192.168.0.64 client-id=1:50:46:5d:6a:2a:9a mac-address=\
    50:46:5D:6A:2A:9A server=DHCP
add address=192.168.0.60 client-id=1:50:46:5d:6a:3b:cd mac-address=\
    50:46:5D:6A:3B:CD server=DHCP
add address=192.168.0.81 client-id=1:80:e6:50:8:b7:68 mac-address=\
    80:E6:50:08:B7:68 server=DHCP
add address=192.168.0.57 client-id=1:70:73:cb:be:5b:1 mac-address=\
    70:73:CB:BE:5B:01 server=DHCP
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.249 gateway=192.168.0.253 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.0.249,8.8.8.8
/ip firewall address-list
add address=192.168.0.0/24 list=noNat
add address=84.53.192.235 list=NATSIP
/ip firewall filter
add action=drop chain=input disabled=yes log-prefix="" port=445 protocol=udp
add action=drop chain=input disabled=yes log-prefix="" port=445 protocol=tcp
add action=accept chain=input dst-port=1701,1707,500,4500,2048 log-prefix="" \
    protocol=udp
add action=accept chain=input log-prefix="" protocol=ipsec-esp
add action=accept chain=input log-prefix="" port=1707,500,4500,1701,8291 \
    protocol=udp
add action=accept chain=forward log-prefix="" port=1701,1707,500,4500 \
    protocol=udp
add action=accept chain=forward log-prefix="" port=1701,1707,500,4500 \
    protocol=udp src-address=192.168.101.0/24
add action=accept chain=input log-prefix="" protocol=ipsec-esp
add action=accept chain=forward log-prefix="" protocol=ipsec-esp
add action=accept chain=input dst-port=10000-20000 in-interface=RT \
    log-prefix="" protocol=udp src-address-list=!NATSIP
add action=accept chain=forward log-prefix=""
add action=accept chain=input log-prefix=""
add action=accept chain=output connection-state=!invalid log-prefix=""
add action=drop chain=input in-interface=RT log-prefix="" protocol=udp \
    src-address-list=!NATSIP
add action=drop chain=input dst-port=53 in-interface=RT log-prefix="" \
    protocol=udp src-address-list=!NATSIP
add action=drop chain=forward log-prefix="" port=135,137,138,139,445 \
    protocol=udp
add action=drop chain=forward log-prefix="" port=135,137,138,139,445 \
    protocol=tcp
/ip firewall mangle
add action=accept chain=prerouting disabled=yes log-prefix="" protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment=hotel2 dst-address=84.53.1.1 \
    dst-port=82 log-prefix="" protocol=tcp to-addresses=192.168.0.223 \
    to-ports=80
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.0.150 \
    dst-port=443 log-prefix="" protocol=tcp src-address=192.168.0.0/24 \
    to-addresses=192.168.0.69 to-ports=443
add action=src-nat chain=srcnat log-prefix="" src-address=192.168.0.0/24 \
    src-address-list=noNat to-addresses=84.53.1.1
add action=src-nat chain=srcnat log-prefix="" src-address=192.168.20.0/24 \
    src-address-list=noNat to-addresses=84.53.1.1
add action=src-nat chain=srcnat log-prefix="" src-address=192.168.101.0/24 \
    src-address-list=noNat to-addresses=84.53.1.1
add action=src-nat chain=srcnat log-prefix="" src-address=192.168.25.0/24 \
    src-address-list=noNat to-addresses=84.53.1.1
add action=src-nat chain=srcnat log-prefix="" src-address=192.168.15.0/24 \
    src-address-list=noNat to-addresses=84.53.1.1
add action=dst-nat chain=dstnat disabled=yes dst-address=84.53.1.1 \
    dst-port=8888 log-prefix="" protocol=tcp to-addresses=192.168.0.97 \
    to-ports=80
add action=dst-nat chain=dstnat comment="RDP win2012" dst-address=\
    84.53.1.1 dst-port=3333 log-prefix="" protocol=tcp to-addresses=\
    192.168.0.9 to-ports=3389
add action=dst-nat chain=dstnat comment="RDP win2012" dst-address=\
    84.53.1.1 dst-port=3344 log-prefix="" protocol=tcp to-addresses=\
    192.168.0.169 to-ports=3389
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=8889 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.144 to-ports=80
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=8890 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.251 to-ports=21
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=8891 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.144 to-ports=80
add action=dst-nat chain=dstnat comment=gitlab8 dst-address=84.53.1.1 \
    dst-port=223 log-prefix="" protocol=tcp to-addresses=192.168.0.223 \
    to-ports=22
add action=dst-nat chain=dstnat comment=gitlab8 dst-address=84.53.1.1 \
    dst-port=8084 log-prefix="" protocol=tcp to-addresses=192.168.0.223 \
    to-ports=8080
add action=dst-nat chain=dstnat comment=asterisk dst-address=84.53.1.1 \
    dst-port=10000-20000 log-prefix="" protocol=udp src-address-list=NATSIP \
    to-addresses=192.168.0.69 to-ports=10000-20000
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=80 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.250 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-address=84.53.1.1 \
    dst-port=443 log-prefix="" protocol=tcp to-addresses=192.168.0.69 \
    to-ports=443
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=8250 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.250 to-ports=80
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=5902 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.156 to-ports=5900
add action=dst-nat chain=dstnat disabled=yes dst-address=84.53.1.1 \
    dst-port=1222 log-prefix="" protocol=tcp to-addresses=192.168.0.254 \
    to-ports=1222
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=2222 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.8 to-ports=22
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=2888 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.187 to-ports=22
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=2889 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.187 to-ports=80
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=3334 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.8 to-ports=80
add action=dst-nat chain=dstnat dst-address=84.53.1.1 dst-port=53 \
    log-prefix="" protocol=tcp to-addresses=192.168.0.249 to-ports=53
add action=dst-nat chain=dstnat comment=kazarin-vnc dst-address=84.53.1.1 \
    dst-port=5900 log-prefix="" protocol=tcp to-addresses=192.168.0.140 \
    to-ports=5900
add action=dst-nat chain=dstnat comment=vnc-digi dst-address=84.53.1.1 \
    dst-port=5904 log-prefix="" protocol=tcp to-addresses=192.168.0.250 \
    to-ports=5904
add action=dst-nat chain=dstnat comment=vnc-buh dst-address=84.53.1.1 \
    dst-port=5988 log-prefix="" protocol=tcp to-addresses=192.168.0.169 \
    to-ports=5988
add action=dst-nat chain=dstnat comment=ssh-digi disabled=yes dst-address=\
    84.53.1.1 dst-port=1249 log-prefix="" protocol=tcp to-addresses=\
    192.168.0.249 to-ports=22
add action=dst-nat chain=dstnat comment=ssh-digi dst-address=84.53.1.1 \
    dst-port=250 log-prefix="" protocol=tcp to-addresses=192.168.0.250 \
    to-ports=22
add action=dst-nat chain=dstnat comment=ssh-digi dst-address=84.53.1.1 \
    dst-port=180 log-prefix="" protocol=tcp to-addresses=192.168.0.180 \
    to-ports=22
add action=dst-nat chain=dstnat comment=vnc-digi dst-address=84.53.1.1 \
    dst-port=1227 log-prefix="" protocol=tcp to-addresses=192.168.0.249 \
    to-ports=22
add action=dst-nat chain=dstnat comment=Git-shell dst-address=84.53.1.1 \
    dst-port=1220 log-prefix="" protocol=tcp to-addresses=192.168.0.241 \
    to-ports=22
add action=dst-nat chain=dstnat comment=Git-shell disabled=yes dst-address=\
    84.53.1.1 dst-port=80 log-prefix="" protocol=tcp to-addresses=\
    192.168.0.241 to-ports=80
add action=dst-nat chain=dstnat comment=portal dst-address=84.53.1.1 \
    dst-port=242 log-prefix="" protocol=tcp to-addresses=192.168.0.242 \
    to-ports=22
add action=dst-nat chain=dstnat comment=redmine dst-address=84.53.1.1 \
    dst-port=85 log-prefix="" protocol=tcp to-addresses=192.168.0.180 \
    to-ports=80
add action=dst-nat chain=dstnat comment=FTP dst-address=84.53.1.1 \
    dst-port=21 log-prefix="" protocol=tcp to-addresses=192.168.0.250 \
    to-ports=21
add action=dst-nat chain=dstnat comment=FTP disabled=yes dst-address=\
    84.53.1.1 dst-port=2121 log-prefix="" protocol=tcp to-addresses=\
    192.168.0.254 to-ports=21
add action=dst-nat chain=dstnat comment="Cleanpo rt-ssh" dst-address=\
    84.53.1.1 dst-port=2223 log-prefix="" protocol=tcp to-addresses=\
    192.168.0.185 to-ports=22
add action=dst-nat chain=dstnat comment=hotel dst-address=84.53.1.1 \
    dst-port=8080 log-prefix="" protocol=tcp to-addresses=192.168.0.177 \
    to-ports=8080
add action=dst-nat chain=dstnat comment=hotel3 dst-address=84.53.1.1 \
    dst-port=8082 log-prefix="" protocol=tcp to-addresses=192.168.0.177 \
    to-ports=8082
add action=dst-nat chain=dstnat comment=Redmine dst-address=84.53.1.1 \
    dst-port=8082 log-prefix="" protocol=tcp to-addresses=192.168.0.177 \
    to-ports=8082
add action=dst-nat chain=dstnat comment=ebd-ssh disabled=yes dst-address=\
    84.53.1.1 dst-port=1226 log-prefix="" protocol=tcp to-addresses=\
    192.168.0.248 to-ports=22
add action=dst-nat chain=dstnat comment=webserver dst-address=84.53.1.1 \
    dst-port=1226 log-prefix="" protocol=tcp to-addresses=192.168.0.210 \
    to-ports=22
add action=dst-nat chain=dstnat comment=ebd-8080 dst-address=84.53.1.1 \
    dst-port=8081 log-prefix="" protocol=tcp to-addresses=192.168.0.248 \
    to-ports=8080
add action=dst-nat chain=dstnat comment=ebd-8080 dst-address=84.53.1.1 \
    dst-port=8083 log-prefix="" protocol=tcp to-addresses=192.168.0.248 \
    to-ports=8082
add action=dst-nat chain=dstnat comment=ebd-8080 dst-address=84.53.1.1 \
    dst-port=83 log-prefix="" protocol=tcp to-addresses=192.168.0.248 \
    to-ports=82
add action=dst-nat chain=dstnat comment=ebd-8080 dst-address=84.53.1.1 \
    dst-port=62626 log-prefix="" protocol=tcp to-addresses=192.168.0.248 \
    to-ports=62626
add action=dst-nat chain=dstnat comment=database-ssh dst-address=\
    84.53.1.1 dst-port=1322 log-prefix="" protocol=tcp to-addresses=\
    192.168.0.110 to-ports=22
add action=dst-nat chain=dstnat comment=database-ssh dst-address=\
    84.53.1.1 dst-port=5432 log-prefix="" protocol=tcp to-addresses=\
    192.168.0.110 to-ports=5432
add action=dst-nat chain=dstnat comment=asterisk dst-address=84.53.1.1 \
    dst-port=1422 log-prefix="" protocol=tcp to-addresses=192.168.0.69 \
    to-ports=22
add action=dst-nat chain=dstnat comment=asterisk dst-address=84.53.1.1 \
    dst-port=4443 log-prefix="" protocol=tcp to-addresses=192.168.0.68 \
    to-ports=443
add action=dst-nat chain=dstnat comment=asterisk dst-address=84.53.1.1 \
    dst-port=6922 log-prefix="" protocol=tcp to-addresses=192.168.0.69 \
    to-ports=22
add action=dst-nat chain=dstnat comment=asterisk disabled=yes dst-address=\
    84.53.1.1 dst-port=1000-63000 log-prefix="" protocol=udp \
    src-address-list=NATSIP to-addresses=192.168.0.69 to-ports=1000-63000
add action=dst-nat chain=dstnat disabled=yes dst-address=84.53.1.1 \
    dst-port=47 log-prefix="" protocol=tcp to-addresses=192.168.0.254 \
    to-ports=47
add action=dst-nat chain=dstnat disabled=yes dst-address=84.53.1.1 \
    dst-port=1723 log-prefix="" protocol=tcp to-addresses=192.168.0.254 \
    to-ports=1723
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm="aes-256,camellia-256,aes-192,camellia-192\
    ,aes-128,camellia-128,3des,blowfish,des" exchange-mode=main-l2tp \
    generate-policy=port-override passive=yes policy-template-group=\
    Policy_L2TP secret=12
/ip ipsec policy
set 0 group=Policy_L2TP proposal=Proposal_l2tp
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether1-lan
add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=ether6
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/snmp
set enabled=yes trap-version=2
/system clock
set time-zone-name=Europe/Moscow
/system logging
add prefix=l2tp topics=l2tp
add prefix=pptp topics=pptp
/system routerboard settings
set protected-routerboot=disabled
/tool bandwidth-server
set authenticate=no max-sessions=1000
/tool mac-server
add interface=ether1-lan
/tool sniffer
set file-limit=10000KiB file-name=toyota filter-interface=all \
    filter-ip-address=192.168.0.57/32 memory-limit=10000KiB only-headers=yes
Последний раз редактировалось matriarx 01 мар 2018, 08:21, всего редактировалось 1 раз.


matriarx
Сообщения: 10
Зарегистрирован: 22 сен 2016, 09:03

1. скинул
2. блок схему не видел и не изучал. 1 и 2 порты связаны между собой как мастер порт и слэйв порт wan - 6 порт, ошибься.


постараюсь в следующий раз логи собрать. есть вариант, как их включить, потому что у меня в логах только dhcp видно.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) зачем одинаковые маки на 6м и на 11 порту? Лучше использовать для ВАНа - 11й порт, он физически отдельный (в блок-схеме это отражено)

2) если у Вас один порт используется компом, а другой сервером, не проще и логически сделать бридж(логический) и туда поместить 1й порт, а все остальные
подчинённые будут там же (это 2,3,4,5 точно). Возможно что у Вас "отваливается" порт 1й, и соответственно теряется и логичность работы роутера по отношению к
другому компьютеру. DHCP после ввода бриджа тоже надо будет настроить(скорректировать) на работу на бридже уже.

3) Как я понял, у Вас сеть 192,168,0,0/24 ? Если да, то вопрос: зачем Вы задаёте описание своей же сети на себя в маршрутах? "
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether1-lan"
и также, и это строка (хоть она и отключена) - add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=ether6 тоже не совсем верна,
обычно шлюз прописывают IP-адресом, а не названием порта.

4) в комментариях пробегает слово "defconf" - значит конфиг делался поверх заводского конфига???...это печально,если так, иногда как раз глюки и бывают.

P.S.
зачем не убрали пароли?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
matriarx
Сообщения: 10
Зарегистрирован: 22 сен 2016, 09:03

1. mac адреса неактивны для редактировани. микротик сам их так прописал.
2. отваливается не только первый порт, логически отваливается и порт виртуальный RT PPPOE, пингом снаружи до нашего внешнего ip не отвечает. подключение остается,но связь с микротиком исчезает в это время. подключиться к нему можно только после окончания загрузки.
3. если я этот маршрут уберу, то доступность внутренних ресурсов будет недоступна.
4. defconf - это адрес порта 1. по умолчанию шлюз для всех внутренних компьютеров.

лоханулся я, вот и не убрал


Ответить