Настроил балансировку - сам Mikrotik потерял доступ в интернет.

Обсуждение ПО и его настройки
Ответить
sifijupufa
Сообщения: 6
Зарегистрирован: 27 май 2018, 10:57

Конфиг https://pastebin.com/nx1JiwZE

Сделал балансировку по мануалу http://wiki.merionet.ru/seti/7/nastrojk ... -mikrotik/
Сделал список адресов, туда добавил LTE-модемы, через которые выхожу в интернет - чтобы был доступ к их панелям (с балансировкой не открывались) и VPN-сервер.

Проблема: сам роутер не может сходить в интернет, например, при проверке новой прошивки (ERROR: connection timed out), или чтобы выкачать списки адресов для скрипта адблока.
Также хотел сделать рекурсивную маршрутизацию для проверки доступности интернета на этих 2 WAN-интерфейсах (http://mum.mikrotik.com/presentations/R ... 568384.pdf) - так же сразу пишет, что 8.8.8.8 unreachable.

Пинг с Микротика проходит только первый, остальные timeout. Трасерт проходит только первый, до LTE-роутера (либо одного, либо другого), далее так же таймаут.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

63 правила маркировки, Карл! 63! Из них 55 включены! Если вы способны с этим разобраться, понимаете, что там и как маркируется и не конфликтует ( мне говорили, что на один пакет можно только одну метку), то это вы должны нам давать консультации.
Я правда не шучу. Маркировка соединений пакетов, маршрутов, соединений настолько тонкий вопрос, что надо сидеть со схемой и разбираться, что уже имеет марку, а что не имеет. А то ведь получится, что мы что-то не учтем, и весь процесс окажется неконтролируемым.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
sifijupufa
Сообщения: 6
Зарегистрирован: 27 май 2018, 10:57

Вот манула, по которому создавались удивившие вас правила маркировки
http://www.technotrade.com.ua/Articles/ ... krotik.php

Они не имеют отношения к проходимости пакетов от самого Микротика.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да не, вы меня немного не поняли. Я просто смотрю, вы маркировкой пользуетесь во во всех своих построениях. Но тогда поневоле придется перемаркировывать одни и те же соединения и пакеты по нескольку раз, учитывать, что идет за чем и что обработается, а что уже будет иметь совсем другую метку. Вот простейшая схема-диаграмма движения пакетов в 6 версии RouterOs.
Изображение
Я бы предложил вам на время погасить маркировку для очередей и настроить рекурсивную маршрутизацию. Кстати, я ее у вас не увидел. При рекурсивной маршрутизации проверяется доступность некого узла в интернете, а не шлюза провайдера.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
sifijupufa
Сообщения: 6
Зарегистрирован: 27 май 2018, 10:57

Рекурсивной нет - потому что она сразу же считает, что 8.8.8.8 недоступен. Как я уже сказал, сам роутер, видимо, не может сходить в интернет. Произошло это именно после настройки балансировки, до этого "55 правил маркировки" ничему не мешали.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

sifijupufa писал(а): 27 май 2018, 23:14 Рекурсивной нет - потому что она сразу же считает, что 8.8.8.8 недоступен. Как я уже сказал, сам роутер, видимо, не может сходить в интернет. Произошло это именно после настройки балансировки, до этого "55 правил маркировки" ничему не мешали.
тут стоит сделать лирическое отступление...
Если брать куски команд из интернета, впихивать их в микротик, а потом, для другой задачи, брать еще куски команд из другого мана\примера и снова впихивать их в свой микротик, бездумно, то может случится так, что ни только ничего работать не будет, а даже так, что вы тупо потеряете доступ к своему устройству, или еще хуже, можно сделать какую-то оказию, из-за который потом получите по шапке от провайдера, или приоткроете свое устройство для нечистых на руку "товарищей". надо понимать, что перед вами не тупая железка, которая настраивается тыканьем галочек, которая лишнего сделать вам просто не позволит, а шибко умная штуковина, которая дает вам очень большие возможности, но только при учете, что вы понимаете, что делаете. Все маны что вы находите в интернетах с вероятностью в 99.999999......% пишутся конкретно под задачу, которую призван решить данный ман и там не учитывается наличие иных строк конфигурации, которые у вас могут присутствовать, отсюда, скорее всего, и есть ваши проблемы, вы просто копировали чье-то решение\пример\ман\итд и добавляете к существующей конфигурации, совершенно не учитывая, что у вас там настроено и работает, но микротик сложная штука, в нем многое взаимосвязано.
Именно по этому Подарок и удивился кол-ву правил маркировок и поинтересовался, точно ли вы понимаете, все, что у вас там "намаркированно".
Исходя из всего вышеописанного выходов у вас всего два - 1) взять и разобраться, что и для чего увас на устройстве, а дальше, внедряя балансировку, тщательно и досконально поверять и понимать, не затрагиваются ли явно, или косвенно ваши текущие правила в разнообразных местах, а не только в маркировке, пусть даже для этого вам придется потратить кучу времени и возможно даже пройти микротиковские курсы. 2) Найти вариант с решением вашей задачи каким-то специалистом.
З.ы. что бы вы не подумали, как некоторые, что тут сидит одно жлобьё, которому бы только денег дали за помощь, потому, что я сказал про решение специалистами...
Балансировка, сама по себе очень сложная штука в условия микротика, да, можно найти кучу примеров для ее решения, но зачастую в этих примерах не оговорен 1000 и 1 подводный камень, с которым вы столкнетесь после настройки конкретно по этому ману и все это не просто так, а потому, что данное устройство действительно позволяет сделать очень многое, но невозможно описать "универсальный рецепт". Более того, кто-то, кто придумывал конкретно тот "рецепт", что вы можете найти на просторах интернета, просто поделился общими идеями, причем вполне работоспособными, но либо не стал выкладывать готовый вариант, потому что в свое время потратил уйму времени на "приготовление готового блюда" и не считает нужным просто так делиться плодами своего творения, либо же вы находите отголоски такого рецепта, от псевдоавтора, который сам понятия не имеет, что он перепостил и помочь вам, по этой причине, не сможет.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

sifijupufa писал(а): 27 май 2018, 11:25 Проблема: сам роутер не может сходить в интернет, например, при проверке новой прошивки (ERROR: connection timed out), или чтобы выкачать списки адресов для скрипта адблока.
Если отключить балансировку, и просто поиграться, чтобы провайдеры (оба) были доступны, активны,
работали и принимали/отправляли трафик туда, куда надо.
То есть Вы скорее всего не сделали основные моменты настроек при двух и более провайдеров,
не проверили, и сразу начали делать балансировку.
Балансировка делается, когда работа с двумя каналами отстроена и протестирована.
sifijupufa писал(а): 27 май 2018, 11:25 Также хотел сделать рекурсивную маршрутизацию для проверки доступности интернета на этих 2 WAN-интерфейсах (http://mum.mikrotik.com/presentations/R ... 568384.pdf) - так же сразу пишет, что 8.8.8.8 unreachable.
У Вас я так понимаю есть динамические подключения? Если есть динамические, то рекурсивная маршрутизация
с ними не тривиально настраивается, тут без скриптов и аналитики никак, попробуйте, если у Вас
есть статические подключения к Интернету, там поиграться с рекурсивной маршрутизацией,
думаю она сразу у Вас заработает.
sifijupufa писал(а): 27 май 2018, 11:25 Пинг с Микротика проходит только первый, остальные timeout. Трасерт проходит только первый, до LTE-роутера (либо одного, либо другого), далее так же таймаут.
У команды пинг и у команды трасерт = есть хорошая полезная опция = выбор таблицы маршрутизации, это означает
что в этих утилитах Вы можете выбрать нужную таблицу и утилита выполнить команду через нужную таблицу
маршрутизации, для тестов, аналитики просто супер.

Ну и микро-совет: у роутера, даже если у него 2-3-4 провайдера, всё равно должен быть шлюз по умолчанию всегда,
основной и без маркировки(без метки), то есть сам роутер должен как клиент иметь шлюз, иметь возможность
выйти в глобал(в мир) через какова-то провайдера по-умолчанию.
Поэтому в таблице маршрутов, кроме указания маршрутов с маркировками, должен быть обычный маршрут без метки.
Ну и советы, которые Вам дали, примите их и используйте. И кстати, при 3х провайдеров, без балансировки
у меня в МАНГЛАХ всего 15 правил :)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

О, кстати, роутер-то сам ходит через маршрут по умолчанию. Помнится, для обновления кучки локальных роутеров мне приходилось на каждом прописывать маршрут типа

Код: Выделить всё

/ip route add distance=1 gateway=IP_GATEWAY
И мне все же кажется, что балансировочку можно на время погасить и попробовать настроить нормальную работу с несколькими провайдерами. Потом уже, если это будет работать, пробовать добавлять балансировку.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить