hEX RB750g3 / первоначальная настройка - вопросы, не все получилось

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
smilerZ
Сообщения: 7
Зарегистрирован: 10 апр 2012, 21:31

Доброго времени суток.

:( думал что все просто, есть инструкции, есть WinBox настроил и используй, но почему то не все получилось.

Провайдер Ростелеком подключение PPPoE
перечитал кажется все статьи в интернете по настройке, но остался ряд вопросов, прошу помощи в них и спасибо заранее

роутер hEX RB750g3
прошивка последная стабильная 6.44.3

как написано почти во всех статьях, после сброса ни какой настройки по умолчанию не принимал.

мои почему
1. нужно или нет на WAN интерфейсе поднимать DHCP client, если интернет подключается по PPPoE

2. не могу понять, почему у меня не работает ping с самого роутера, через New Terminal или Tools/Ping
ping 8.8.8.8 возвращает timeout

3. не могу понять, почему не работает, DNS провайдера я получают, но потом DNS не работает в клиентах, пришлось отключить получение DNS от провайдера и прописать 8.8.8.8 и все заработало, но так же наверное не правильно, как в локальной сети работать по именам ?

х. возможно из-за 2,3 не получается проверить наличие обновлений прошивки на роутере

4. время на роутере не понимаю, как настроить автоматическую установку времени, нашел статьи, но почему то настройки на совпадают с тем что у меня в прошивке
в SNTP client Mode: broadcast, а в инструкции Mode: unicast

5.так как провайдер дает разные ip хочу настроить сервис no-ip, нашел инструкцию, скрипт ... но потом все пишут что зачем скрипт, есть же Cloud. но при этом так же есть информация, что CLoud это не работает и не про то ... задача иметь имя используя которое подключаться по VPN к роутеру

 export
MikroTik RouterOS 6.44.3 (c) 1999-2019 http://www.mikrotik.com/
[admin@MikroTik] > export
# jun/16/2019 16:02:24 by RouterOS 6.44.3
# software id = V8T7-8RRS
#
# model = RouterBOARD 750G r3
# serial number = 6F3807E7A38F
/interface bridge
add arp=proxy-arp name=LAN-BRIDGE
/interface ethernet
set [ find default-name=ether2 ] name=LAN1
set [ find default-name=ether3 ] name=LAN2
set [ find default-name=ether4 ] name=LAN3
set [ find default-name=ether5 ] name=LAN4
set [ find default-name=ether1 ] name=WAN
/interface pppoe-client
add add-default-route=yes disabled=no interface=WAN max-mru=1480 max-mtu=1480 \
mrru=1600 name=rostelecom password=hidden user=hidden
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=POOL-DHCP ranges=192.168.xxx.10-192.168.xxx.99
/ip dhcp-server
add address-pool=POOL-DHCP disabled=no interface=LAN-BRIDGE name=DHCP-SERVER
/interface bridge port
add bridge=LAN-BRIDGE interface=LAN1 trusted=yes
add bridge=LAN-BRIDGE interface=LAN2 trusted=yes
add bridge=LAN-BRIDGE interface=LAN3 trusted=yes
add bridge=LAN-BRIDGE interface=LAN4 trusted=yes
/ip address
add address=192.168.xxx.1/24 interface=LAN-BRIDGE network=192.168.xxx.0
add address=192.168.yyy.10/24 interface=WAN network=192.168.yyy.0
/ip dhcp-server network
add address=192.168.xxx.0/24 dns-server=192.168.xxx.1,8.8.8.8 gateway=\
192.168.xxx.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=drop chain=input in-interface=rostelecom
add action=drop chain=input in-interface=WAN
add action=accept chain=input in-interface=WAN protocol=igmp
add action=accept chain=forward in-interface=WAN protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=rostelecom src-address=\
192.168.xxx.0/24
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=WAN upstream=yes
add interface=LAN-BRIDGE
/system clock
set time-zone-name=Europe/Moscow
[admin@MikroTik] >
 Схема
Изображение
Последний раз редактировалось smilerZ 16 июн 2019, 22:45, всего редактировалось 1 раз.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

1) Нет, но поскольку это канал выхода в интернет обязательно должна стоят галка "add default route" (у вас стоит), поскольку pppoe это тоннель, то этого достаточно.
2) Вы наскосячили с фаерволом.
3) DNS провайдера вы не получаете потому что вы в pppoe клиенте не поставили галку "use peer dns", соответственно вы не забираете днсы провайдера.
5) Клауд и noip одно и то же, за исключением качеств предоставляемого сервиса. Сколько лет пользуюсь noip, еще ни разу не возникало проблем, в то же время на клауд относительно недавно жаловались. Но при этом клауд штатная функция и ее предельно просто настроить, а со скриптом под noip придется хоть и немного, но повозиться - регаться на ресурсе и вбивать свои данные и интерфейс в скрипт и либо код скрипта добавлять в шедуллер, либо добавлять скрипт и в шедуллер выполнение скрипта как функции вашего роутера.

Все болячки, скорее всего, от того, как вы настроили фаервол. Все правила отрабатывают от нулевого к последнему, ваши первые же два правила зарубают любой трафик извне на ваш роутер, а это означает, что даже послав запрос, например к ntp серверу с запросом времени, роутер ответ просто откинет, именно поэтому вы не можете проверить обновления. Золотое правило - если не понимаете как работает фаервол и как его настроить, то либо откажитесь от него вообще и надейтесь на светлое будущее (которое не придет, товарищи китайцы очень быстро (иногда в пределах 10 минут, найдут вашу железку и начнут брутить), либо возьмите правила из дефолтной конфигурации и подстройте их под свои условия (лично я использую этот вариант).


smilerZ
Сообщения: 7
Зарегистрирован: 10 апр 2012, 21:31

KARaS'b писал(а): 16 июн 2019, 22:36 либо возьмите правила из дефолтной конфигурации и подстройте их под свои условия
можете помочь командами для создания правил по умолчанию, что бы все не сбрасывать ?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


smilerZ
Сообщения: 7
Зарегистрирован: 10 апр 2012, 21:31

спасибо.


smilerZ
Сообщения: 7
Зарегистрирован: 10 апр 2012, 21:31

если не сложно, можете прокомментировать
add action=accept chain=input comment=Cloud log=yes protocol=udp src-port=1525
это правило достаточно и корректно ли оно для работы сервиса Cloud
или правильнее указать интерфейсы ?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если я правильно понял то, что вы задумали то - во-первых с учетом частоты обновления клауда и если бы это был порт на микротике "log=yes" засыпало бы вам логи никому не нужной информацией но тут два но 1) зачем вам разрешающее правило на вход, если это миркотик обращается т.е. трафик исходящий и соответственно данное правило просто бесполезно 2) порт клауда другой и он вам вообще ни к чему, т.к. трафик исходящий и соответственно данное правило просто бесполезно. Во-вторых, если вы хотели применить это правило вкупе с тем, что я вам скинул, то они ни к чему, т.к. в том наборе есть разрешение на инстабилишед трафик, т.е. все соединения что создаст ваш роутер, по любым портам априори будут работать, запросили инфу у клауда, ответ вернется и пройдет, запросили у днс сервера, все точно так же, все потому что трафик будет двигаться в рамках уже установленного вашим микротиком соединения, а в правилах на это есть разрешение, при этом если кто-то или что-то обратится к вашему устройству извне, то это будет новое соединение и оно не пройдет, чего вы и добивались в своей реализации правил фаервола.

Тут наверно стоит сделать еще одну ремарку. Не лепите что непоподя только потому что где-то в интернете кто-то написал что это работает, тем более когда речь идет о фаерволе. Это очень плохая затея, можете остаться без доступа к своему устройству с последующим его сбросом "до заводских", или просто налепить такого, что вы разобраться не сможете, а те, кто возьмутся помочь, увидев то что вы навертели, просто не захотят помогать из-за сложности и неопонятности, а вы это даже прокомментировать не сможете, т.к. занимались обычным копипастом не понимая что делали. Каждую строчку что вы добавляете нужно понимать, иначе быть беде, соответсвенно перед тем, как добавить то или иное правило, подумайте над тем, как оно работает, что делает, что бы как минимум разместить его правильно, бо как я уже сказал, правила отрабатывают по очереди и эта очередь крайне важна для работы правил.

Даже то, что скинул я требует доработки, а что бы понять как и что доработать посетите вики и поизучайте его, хотя бы что бы понимать что такое цепочка "инпут", "форвард" и "аутпут". Без этого вы будете возвращаться сюда с все более глупыми и глупыми вопросами и в какой-то момент или вам надоест "такая пляска" или тут вам перестанут отвечать, так как вопросы будут примитивными.
Последний раз редактировалось KARaS'b 17 июн 2019, 01:00, всего редактировалось 1 раз.


smilerZ
Сообщения: 7
Зарегистрирован: 10 апр 2012, 21:31

спасибо.
отдельно за внимательность, кооректность и развернутый ответ.
СПАСИБО.


Ответить