Mikrotik RB951G-2HnD

[vetalij]

Добрый день! Столкнулся с небольшой проблемой.
Роутер Mikrotik RB951G-2HnD, настроен на работу двух провайдеров, isp1 - через кабель, isp2 - через usb модем. Всё работало два месяца, но недавно начались проблемы, очень часто начал отваливаться isp1, (собственно он и всегда был проблемный, но раньше хотя бы переключение isp1-isp2 работало корректно), но когда он восстанавливается, то не происходит возврат на с isp2 на isp1. B netwach прописал dns 8.8.4.4 для пинга, и получается ситуация что когда происходит восстановление подключения isp1, система пытается пинговать 8.8.4.4 - но пинга нет, и подключение остаётся на isp2. Но проблема в том со если подключить кабель isp1 в компьютер и подключить интернет, пинг на 8.8.4.4 идёт, но почему то при подключении кабеля в роутер пинг не появляется, и роутер продолжает работать через isp2, на котором пинг на 8.8.4.4 есть.
Собственно не понятно почему через прямое подключение кабеля в компьютер пинг появляется, а в роутере пинга нет, хотя периодами пинг на isp1 есть, но через какое то время пропадает.

[Volant]

Собственно не понятно почему через прямое подключение кабеля в компьютер пинг появляется, а в роутере пинга нет, хотя периодами пинг на isp1 есть, но через какое то время пропадает.

Наверное потому, что у вас некорректно настроено подключение к прову в микротике. Если воткнув шнурок в ноут(без доп настроек) у вас подымается коннект к прову, то ваш пров раздает по dhcp, а каким образом у вас поднят коннект к прову в микротике - это знаете только вы.
а так - п.5 правил данной ветки

[vetalij]

Собственно не понятно почему через прямое подключение кабеля в компьютер пинг появляется, а в роутере пинга нет, хотя периодами пинг на isp1 есть, но через какое то время пропадает.

Наверное потому, что у вас некорректно настроено подключение к прову в микротике. Если воткнув шнурок в ноут(без доп настроек) у вас подымается коннект к прову, то ваш пров раздает по dhcp, а каким образом у вас поднят коннект к прову в микротике - это знаете только вы.
а так - п.5 правил данной ветки

Два месяца всё было корректно, и вдруг стало некорректно? такого не бывает.
Подключение PPPOE, с пробросом портов, т.к. провайдер даёт выделенный ip, работает сервер. Всё два месяца работало без проблем (почти), и только неделю как заметил странное поведение при подключении pppoe, я бы грешил на провайдера, но при прямом подключении 8.8.4.4 пингуется.
(Позже скину конфиг)

[Vlad-2]

Проверьте ещё на Вашем компе состояние(статус) брандмаура(файрвола).
Или если стоит другой антивирус, его настройки. Запросто могло
на этом уровне быть заблокировано/ограничено.

Опять же, провайдер не менял систему у себя? Может он защиту сделал, пинги "порезал"?
У нас такое (ещё при xDSL'е было). Пинги/трасерты почти не работали.

И ещё, А прямо с роутера пинговали? Пинговали ещё, кроме 8.8.х.х ?
Что-то более Российское, скажем lenta.ru или ya.ru ?
У микротиков с настройками всегда почти стабильно и без
внешних факторов они не сбиваются.

P.S.
О, рррое - поглядите на самом рррое интерфейсе, 3-я закладка,
какие там локальный и удалённый адреса, не давно тема была
про реальные адреса, но в целях экономии, многие провайдеры
через рррое - "транспорт" реального адреса делают через
серые подсети, отсюда тоже могут так или иначе проблемы.

С конфигом не всегда ясно, а без конфига вообще сложно что-то советовать.

[vetalij]

Конфиг.

 

[admin@MikroTik] > /export hide-sensitive
# sep/28/2019 14:56:04 by RouterOS 6.45.2
# software id = Z70K-G4BN
#
# model = 951G-2HnD
# serial number = 96500954D270
/interface bridge
add admin-mac=B8:69:F4:31:88:6C auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge \
ssid= wifi_office wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] comment=WAN mac-address=E4:BE:ED:C8:14:94
set [ find default-name=ether2 ] comment=LAN1
set [ find default-name=ether3 ] comment=LAN2
set [ find default-name=ether4 ] comment=LAN3
set [ find default-name=ether5 ] comment=LAN4
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
use-peer-dns=yes user=логин
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/port
set 0 baud-rate=9600 data-bits=8 flow-control=none name=usb1 parity=none \
stop-bits=1
set 1 name=usb2
/interface ppp-client
add apn=internet comment=USB info-channel=1 name=USB port=usb2
add apn=internet disabled=no name=ppp-out1 port=usb2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.88.3 mac-address=D8:CB:8A:DF:FF:E1 server=defconf
add address=192.168.88.2 mac-address=1C:1B:0D:E6:E8:AB server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input comment="Deny invalid connections" connection-state=\
invalid
add chain=input comment="Permit icmp" protocol=icmp
add chain=input comment="Permit established connections" connection-state=\
established
add chain=input comment="Permit related connections" connection-state=related
add action=drop chain=input comment="Deny new connections" connection-state=new \
in-interface-list=!LAN
add action=drop chain=output comment="Deny 8.8.4.4 to reserved internet-channel" \
dst-address=8.8.4.4 out-interface=all-ppp protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address=*.*.187.219 dst-port=8080 protocol=\
tcp to-addresses=192.168.88.2
add action=masquerade chain=srcnat out-interface=ppp-out1
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-address=*.*.187.219 dst-port=80 protocol=\
tcp to-addresses=192.168.88.2 to-ports=80
/ip route
add comment=WAN disabled=yes distance=1 gateway=ether1
add comment=USB disabled=yes distance=1 gateway=USB
add check-gateway=ping distance=1 dst-address=8.8.4.4/32 gateway=ether1
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=pppoe-out1 type=external
/system clock
set time-zone-name=Europe/Kiev
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool netwatch
add down-script="ip route set [find comment=\"WAN\"] disabled=yes\r\
\ninterface ppp-client disable [find comment=\"USB\"]\r\
\ndisabled=no" host=8.8.4.4 interval=10s up-script="ip route set [find comment=\
\"WAN\"] disabled=no\r\
\ninterface ppp-client disable [find comment=\"USB\"]\r\
\ndisabled=yes"
[admin@MikroTik] >

[vetalij]

Проверьте ещё на Вашем компе состояние(статус) брандмаура(файрвола).

Я проверяю пинг через интерфейс роутера.

Опять же, провайдер не менял систему у себя? Может он защиту сделал, пинги "порезал"?

Ничего не меняли.

И ещё, А прямо с роутера пинговали? Пинговали ещё, кроме 8.8.х.х ?

С роутера пингуется всё, кроме 8.8.х.х, часто пинг не работает где то по 30-60 минут, потом сам восстанавливается.

О, рррое - поглядите на самом рррое интерфейсе, 3-я закладка,
какие там локальный и удалённый адреса,

С адресами всё нормально. Провайдер предоставляет белый постоянный ip, я его спокойно пингую с любого другого провайдера.

[Vlad-2]

Код: Выделить всё

/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0

Адрес локальный роутера должен быть на бридже. Переназначте.

Код: Выделить всё

add action=drop chain=output comment="Deny 8.8.4.4 to reserved internet-channel" \
dst-address=8.8.4.4 out-interface=all-ppp protocol=icmp

Тут я понимаю, Вы запрещаете пинговать 8.8.4.4, но сами пытаетесь его пинговать?
Предполагаю, что Вы хотели сделать правило, чтобы пинг был запрещён с одного канала,
но мне кажется, что выбрав интерфейс all-ppp, это не совсем правильно, ибо
это значение включает все интерфейсы (и рртр и рррое).

Так что думаю где-то Вы сами запутались и перестарались с настройками,
во всяком случаи пока я так примерно вижу.

[vetalij]

Адрес локальный роутера должен быть на бридже. Переназначте.

Попробую, но это не мешало работать роутеру два месяца.

Тут я понимаю, Вы запрещаете пинговать 8.8.4.4, но сами пытаетесь его пинговать?

Это правило ограничивает пинг на неактивной линии. Короче без этого правила не переключается isp1-isp2 и наоборот.

[Vlad-2]

Попробую, но это не мешало работать роутеру два месяца.

Так правильно и по феншую

Это правило ограничивает пинг на неактивной линии. Короче без этого правила не переключается isp1-isp2 и наоборот.

Отключите это правило и попробуйте пинг. Если заработает - дело в правиле.
И ещё раз пытаюсь донести, что если Вам надо ограничивать пинг через какой-то интерфейс,
надо это правило делать более явным, точным. Я же написал Вам, (в предыдущем сообщении),
что в Вашем правиле попадают сейчас все интерфейсы. Оно обобщённое.

[Volant]

Всё два месяца работало без проблем (почти)

я конечно извиняюсь, но понятия несовместимые в сетевой инфраструктуре.

зы.
модераторы, веб форума глючит.