Доброго времени суток!
Появилась проблема. Имеется микротик указанный в сабже, на него приходит 2 шнурка на интернет и VPN от коммутатора ростелеком, вчера отвалились оба интерфейса, сегодня приехали спецы из ростелекома и сообщили, что при подключении VPN шнурка на их коммутаторе срабатывает защита и он вырубается. С чем это может быть связано? Настройки микротика год не менялись и все прекрасно работало до вчерашнего дня. Подрубили кабель VPN к ноутбуку и ничего не падает, только подключаю к микротику, через секунд 30-40 падает коммутатор РТК.
RB951Ui-2HnD (6.40.8) внезапно начал убивать коммутатор ростелекома.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
что значит
"на него приходит 2 шнурка на интернет и VPN" ?
"на него приходит 2 шнурка на интернет и VPN" ?
-
- Сообщения: 19
- Зарегистрирован: 19 ноя 2017, 14:35
РТК дает нам инет и VPN L2TP, на их коммутаторе по одному порту отдается VPN, по второму инет. по впн к офису подключены торговые точки, которые используют интернет подключенный к тому же офису.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Описали не плохо, но всё же где техническая информация?
1) где конфиг роутера
2) как порты настроены между собой
3) что такое ВПН ростелекома (услуга? какие адреса у неё, какие адреса у Вашего роутера и сети)?
4) в логах самого Роутера есть какие-то записи?
5) на роутере микротик защита от петель включена?
Ну и Вы уже с полгода на этой прошивке(вижу по Вашим ещё пару сообщениям), не думали обновиться?
На двове 6.44.1, а Ваша прошивка кажется уже попадает под версию, в которых были критические
уязвимости.
А также хотелось бы понимать что всё же происходить, потому
что слово "ПАДАЕТ" много значений.
Логически падает или что?
1) где конфиг роутера
2) как порты настроены между собой
3) что такое ВПН ростелекома (услуга? какие адреса у неё, какие адреса у Вашего роутера и сети)?
4) в логах самого Роутера есть какие-то записи?
5) на роутере микротик защита от петель включена?
Ну и Вы уже с полгода на этой прошивке(вижу по Вашим ещё пару сообщениям), не думали обновиться?
На двове 6.44.1, а Ваша прошивка кажется уже попадает под версию, в которых были критические
уязвимости.
А также хотелось бы понимать что всё же происходить, потому
что слово "ПАДАЕТ" много значений.
Логически падает или что?
-
- Сообщения: 19
- Зарегистрирован: 19 ноя 2017, 14:35
Я не очень сильно разбираюсь в конкретных настройках, настраивал по различным статейкам из инета и давно.Vlad-2 писал(а): ↑27 мар 2019, 06:48 Описали не плохо, но всё же где техническая информация?
1) где конфиг роутера
2) как порты настроены между собой
3) что такое ВПН ростелекома (услуга? какие адреса у неё, какие адреса у Вашего роутера и сети)?
4) в логах самого Роутера есть какие-то записи?
5) на роутере микротик защита от петель включена?
Ну и Вы уже с полгода на этой прошивке(вижу по Вашим ещё пару сообщениям), не думали обновиться?
На двове 6.44.1, а Ваша прошивка кажется уже попадает под версию, в которых были критические
уязвимости.
А также хотелось бы понимать что всё же происходить, потому
что слово "ПАДАЕТ" много значений.
Логически падает или что?
1) Как этот конфиг полностью показать?
2) Есть порты 1 локалка, 2 VPN, 3 резервный провайдер, 4 пустой, 5 порт интернет, настроена маршрутизация
3) Ростелеком предоставляет услугу VPN L2TP , что-то типа локалки получается на VLANе. Подробнее не скажу, т.к. не в курсе как оно у них там крутится. По факту нам предоставляется диапазон ip адресов 172.24.49.*, которые мы прописываем на торговых точках и соответственно основной ip на микротике на порту VPN.
4) В логах никаких ошибок, просто когда отваливается коммутатор ростелекома пишет VPN link is down
5) Про защиту от петель не знаю, где посмотреть?
Про прошивку да, не обновлял давно.
По поводу падает, сотрудники ростелекома сказали, что срабатывает защита на их коммутаторе(от чего защита объяснить не смогли), говорили про какой-то поток, из-за которого защита включается и как я понял падает ОС на их коммутаторе.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Плохо.
Тему перенёс в раздел ДЛЯ НАЧИНАЮЩИХ, тут вверху у Вас красным горит как сделать(вывести) конфиг
и нам его показать. Пункт 5. Прочтите, попробуйте.
То есть 5-й порт это ИНТЕРНЕТ, а 2-й порт это ВПН = два физически порта и два кабеля идут параллельно в один свитч
провайдера (ростелекома) - правильно я понял?
Не возникла ли ситуация, что где-то в каком-то офисе Вы установили один и тот же адрес? Задублировали?sumrok писал(а): ↑27 мар 2019, 07:06 3) Ростелеком предоставляет услугу VPN L2TP , что-то типа локалки получается на VLANе. Подробнее не скажу, т.к. не в курсе как оно у них там крутится. По факту нам предоставляется диапазон ip адресов 172.24.49.*, которые мы прописываем на торговых точках и соответственно основной ip на микротике на порту VPN.
То есть падает второй порт, но при этом 5-й порт ошибку такую не показывает?
Если кликнуть два раза по порту (по ether1 и ether2) и так далее, там будет куча закладок, ищите закладку
Loop Protect, там надо включить, и сделать лучше на всех портах.
Единственно = время отключения порта при нахождении петли = стоит 5 минут, ждать
долго, лучше поставить 2 минуты.
Мне почему-то кажется, что Вы как её с роутером получили так и не делали.
У Вас серьёзная сеть, бизнес завязан, ни схемы, ни логики, нет копии конфигурации...
Как-то не серьёзно. Тем более не обновляете ПО в роутере, тем самым создаёте
потенциальную угрозу взлома роутера.
Ну тут может быть что угодно.
Возможно надо отключить протокол CDP или просто Discovery, чтобы не вещался
в их сторону....(IP - Neighborns)
Один раз провайдер у меня просил сделать такое...(когда я принимал его линк через свитч).
-
- Сообщения: 19
- Зарегистрирован: 19 ноя 2017, 14:35
Конфигурация роутера
Discovery отключен
Да, всё верно.То есть 5-й порт это ИНТЕРНЕТ, а 2-й порт это ВПН = два физически порта и два кабеля идут параллельно в один свитч
провайдера (ростелекома) - правильно я понял?
Нет, такой ситуации нет.Не возникла ли ситуация, что где-то в каком-то офисе Вы установили один и тот же адрес? Задублировали?
Падает второй порт и в логах его же показывает, он именован как VPNТо есть падает второй порт, но при этом 5-й порт ошибку такую не показывает?
Loop protect стоял default, поставил on и время Disable Time в 5 минут.Если кликнуть два раза по порту (по ether1 и ether2) и так далее, там будет куча закладок, ищите закладку
Loop Protect, там надо включить, и сделать лучше на всех портах.
Единственно = время отключения порта при нахождении петли = стоит 5 минут, ждать
долго, лучше поставить 2 минуты.
Discovery отключен
- Kato
- Сообщения: 271
- Зарегистрирован: 17 май 2016, 04:23
- Откуда: Primorye
это что? и для чего?/ip socks
set port=4145
-
- Модератор
- Сообщения: 3319
- Зарегистрирован: 01 окт 2012, 14:48
Так как я имею некоторое отношение к Ростелекому, то
На мой взгляд только два варианта:
1. Полностью выключить STP/RSTP. Коммутаторы Huawei как-то очень ревностно к нему относятся.
2. РТК получает два одинаковым мак адреса на разных интерфейсах. Проверить.
На мой взгляд только два варианта:
1. Полностью выключить STP/RSTP. Коммутаторы Huawei как-то очень ревностно к нему относятся.
2. РТК получает два одинаковым мак адреса на разных интерфейсах. Проверить.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Как всегда, соглашусь с коллегами-профессионалами,
надо почистить настройки. Проверить, отключить то, что не надо.
1)
Кроме выше данных советов я тоже хочу дать совет и наверно
задать риторически вопрос, зачем подключение ВПН объединять
БРИДЖОМ с локальной сетью ?
У Вас на ВПНе отдельный адрес, на бридже тоже адрес, а Вы взяли
и бриджом всё это вместе объединили. Формально спрятали ВПН за сетью.
Провайдер даёт Вам ВПН, но всегда есть ряд условий, и скорее всего
видеть адресацию и/или чужие МАКи (с локальной сети и бродкасты) он не хочет.
Вот отсюда и могут быть проблемы. И срабатывание у провайдера отключение.
Вы ВПН от Ростелекома должны воспринимать как отдельный локальный
канал или отдельную сетку, но это отдельный сегмент и его нельзя так резко
и смешивать с локальной сетью Вашей.
Это всё равно что горячую и холодную воду смешают перед домом....и подают тёплую
всем одинаково.
Поэтому считаю интерфейс ВПН должен от бриджа быть отделён, а по-умолчанию
микротик знает где у него сеть ВПН и Локальная и трафик будет автоматом ходить
в этом случаи. ТО есть у Вас будет между ВПН и Локал = обычная маршрутизация,
но не как в свитче = общий трафик.
Возможно надо будет НАТ сделать для исходящего трафика локальной сети
в сторону ВПНа, от адреса ВПНа на микротике.
2)
И ещё, так как бридж - интерфейс который себе берёт МАК адрес первого активизировавшегося
интерфейса в него входящего, то от этого моменты бывает так, что бридж меняет МАК
при ребутах и при включении и т.д., советую задать в свойствах бриджа постоянный ему
МАК. В настройках бриджа параметр называется Admin MAC Address
Это позволит избежать разных моментов и глюков.
3)
Проверьте доступы к роутеры, пароли советую поменять, и обновить роутер.
Вы сидите на старой прошивке, тоже могут быть всякие моменты.
(при обновлении роутера, надо не забыть обновить Winbox утилиту).
надо почистить настройки. Проверить, отключить то, что не надо.
1)
Кроме выше данных советов я тоже хочу дать совет и наверно
задать риторически вопрос, зачем подключение ВПН объединять
БРИДЖОМ с локальной сетью ?
У Вас на ВПНе отдельный адрес, на бридже тоже адрес, а Вы взяли
и бриджом всё это вместе объединили. Формально спрятали ВПН за сетью.
Провайдер даёт Вам ВПН, но всегда есть ряд условий, и скорее всего
видеть адресацию и/или чужие МАКи (с локальной сети и бродкасты) он не хочет.
Вот отсюда и могут быть проблемы. И срабатывание у провайдера отключение.
Вы ВПН от Ростелекома должны воспринимать как отдельный локальный
канал или отдельную сетку, но это отдельный сегмент и его нельзя так резко
и смешивать с локальной сетью Вашей.
Это всё равно что горячую и холодную воду смешают перед домом....и подают тёплую
всем одинаково.
Поэтому считаю интерфейс ВПН должен от бриджа быть отделён, а по-умолчанию
микротик знает где у него сеть ВПН и Локальная и трафик будет автоматом ходить
в этом случаи. ТО есть у Вас будет между ВПН и Локал = обычная маршрутизация,
но не как в свитче = общий трафик.
Возможно надо будет НАТ сделать для исходящего трафика локальной сети
в сторону ВПНа, от адреса ВПНа на микротике.
2)
И ещё, так как бридж - интерфейс который себе берёт МАК адрес первого активизировавшегося
интерфейса в него входящего, то от этого моменты бывает так, что бридж меняет МАК
при ребутах и при включении и т.д., советую задать в свойствах бриджа постоянный ему
МАК. В настройках бриджа параметр называется Admin MAC Address
Это позволит избежать разных моментов и глюков.
3)
Проверьте доступы к роутеры, пароли советую поменять, и обновить роутер.
Вы сидите на старой прошивке, тоже могут быть всякие моменты.
(при обновлении роутера, надо не забыть обновить Winbox утилиту).