Vlad-2 писал(а): ↑19 апр 2020, 18:52
1) а чего Вы конфиг сократили?
2) если у Вас два порта в бридже WAN, то кто получает адрес от провайдера?
2.1) по идеи у Вас в DHCP Client надо/должен быть прописать bridge-WAN
3) так как конфига нету, мало что понятно, но и правила НАТ надо изменить
и они уже должны быть что НАТ делается от того интерфейса, где адрес провайдера,
то есть от bridge-WAN
4) Вы в курсе, что если Вы работая по технологии IPoE и с Билайном (и это читал лишь),
если Вы резко меняете провод провайдера (то в комп, то в роутер), то без авторизации
ничего работать не будет.
То есть (на сколько я слышал и знаю), провайдер лимитирует, позволяет выйти в их
сеть, и пройдя авторизацию, в этот момент в биллинг записывается текущий МАК
порта и с него полный Интернет и начинает работать.
Да, по Вашему конфигу я вижу, что Вы МАК явно задавали, но всё равно...вдруг сработал лимит?
5) И что сам провайдер говорит по части скайпа и его неработоспособности ?
5.1) если подключить комп напрямую, пройти авторизацию - скайп будет работать ? (без роутера)
1. хотел показать как сеть устроена. почти весь конфиг тут
Код: Выделить всё
# apr/19/2020 23:47:16 by RouterOS 6.46.5
#
# model = RBD52G-5HacD2HnD
/interface bridge
add admin-mac=**:**:**:**:**:** arp=proxy-arp auto-mac=no name=bridge1-LAN \
protocol-mode=none
add admin-mac=**:**:**:**:**:** auto-mac=no mtu=1460 name=bridge2-WAN \
protocol-mode=none
add name=bridge3-WiFi
/interface list
add name=LAN
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=WiFi2_4 supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=WiFi5 supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
frequency=auto mode=ap-bridge security-profile=WiFi2_4 ssid=MyTbIRNET \
tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-XXXX \
country=russia3 disabled=no frequency=auto mode=ap-bridge \
security-profile=WiFi5 ssid=MyTbIRNET_5G tx-power-mode=all-rates-fixed \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm
/ip pool
add name=dhcp_LAN ranges=192.168.10.2-192.168.10.20
add name=dhcp_WiFI ranges=192.168.11.2-192.168.11.20
add name=dhcp_VPN ranges=192.168.10.40-192.168.10.80
/ip dhcp-server
add address-pool=dhcp_LAN disabled=no interface=bridge1-LAN name=dhcp1-LAN
add address-pool=dhcp_WiFI disabled=no interface=bridge3-WiFi name=dhcp2_WiFi
/ppp profile
add change-tcp-mss=yes local-address=192.168.10.1 name=NotebookVPN \
remote-address=dhcp_LAN
add change-tcp-mss=yes name=KMIAC-Profile use-encryption=yes
/interface pptp-client
add allow=mschap2 comment=KMIAC connect-to=*.*.*.* disabled=no name=\
pptp-KMIAC profile=KMIAC-Profile user=userVPN4
/interface bridge port
add bridge=bridge2-WAN interface=ether1
add bridge=bridge2-WAN interface=ether2
add bridge=bridge1-LAN interface=ether3
add bridge=bridge1-LAN interface=ether4
add bridge=bridge1-LAN interface=ether5
add bridge=bridge1-LAN interface=wlan2
add bridge=bridge3-WiFi interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap2 default-profile=NotebookVPN enabled=yes use-ipsec=\
yes
/interface list member
add interface=bridge1-LAN list=LAN
add interface=bridge2-WAN list=WAN
/ip address
add address=192.168.10.1/24 interface=bridge1-LAN network=192.168.10.0
add address=192.168.11.1/24 interface=bridge3-WiFi network=192.168.11.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add default-route-distance=10 dhcp-options=clientid,hostname disabled=no \
interface=bridge2-WAN
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.11.0/24 gateway=192.168.11.1
/ip dns
set allow-remote-requests=yes servers=192.168.10.1,8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.10.0/24 list=LocalNet
add address=192.168.1.0/24 list=VPNKmiac
add address=10.0.0.0/8 list=VPNKmiac
/ip firewall filter
add action=add-src-to-address-list address-list="DNS Flood" \
address-list-timeout=6h chain=input dst-port=53 in-interface-list=WAN \
protocol=udp
add action=drop chain=input dst-port=53 protocol=udp src-address-list=\
"DNS Flood"
add action=accept chain=forward comment=\
"1.1. Forward and Input Established and Related connections" \
connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list="DDOS BlackList" \
address-list-timeout=1d chain=input comment=\
"1.2. DDoS Protect - Connection Limit" connection-limit=100,32 \
in-interface-list=WAN protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
src-address-list="DDOS BlackList"
add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" \
connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
tcp-flags=syn
add action=drop chain=input comment="1.4. Protected - Ports Scanners" \
src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
address-list-timeout=none-dynamic chain=input in-interface-list=WAN \
protocol=tcp psd=21,3s,3,1
add action=accept chain=input comment=VPN dst-port=1701,500,4500 \
in-interface-list=WAN protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=WinBox dst-port=1891 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment="1.8. Access Normal Ping" icmp-options=\
0:8 in-interface-list=WAN limit=50/5s,2:packet packet-size=100 protocol=\
icmp
add action=drop chain=input comment="1.9. Drop All Other" in-interface-list=\
WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge2-WAN src-address=\
192.168.10.0/24
add action=masquerade chain=srcnat out-interface=bridge2-WAN src-address=\
192.168.11.0/24
add action=masquerade chain=srcnat comment=KMIAC dst-address-list=VPNKmiac \
out-interface=pptp-KMIAC src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment=MIAC dst-address-list=VPNKmiac \
out-interface=pptp-KMIAC src-address=10.0.0.0/8
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=WAN \
protocol=udp
/ip route
add distance=2 dst-address=10.0.0.0/8 gateway=13.0.0.1
add distance=2 dst-address=13.0.0.0/8 gateway=13.0.0.1
add distance=2 dst-address=192.168.1.0/24 gateway=13.0.0.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.10.0/24 port=1891
set api-ssl disabled=yes
/ip upnp interfaces
add interface=bridge2-WAN type=external
add interface=bridge1-LAN type=internal
/tool mac-server
set allowed-interface-list=LAN
2. Так и есть DHCP клиент висит на бридже. у билайна для приставки там своя авторизация идет, я включил из в мост со входом, чтобы не мешать работать.
3. Правила NAT я делал не с интерфейсами, а интерфейсными листами(кроме рабочего ВПН), чтобы в случае чего немного подправить, не лезть везде и всюду.
4. да, я был удивлен, когда в воскресенье вечером решил поработать, связи с раб.серверами нет, при входе в инет потребовалась веб авторизация. при этом с утра все было в порядке.
5. провайдер говорит, что микротики они не знают, настроек под них нет, но зато любезно сообщили используемый размер пакета MTU. повесил на WAN мост.
Вот еще мысли, может скайп пустить чрез рабочий ВПН?