Интернет в локальной сети (ноутбук - есть, смартфоны - нет)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
hharn
Сообщения: 8
Зарегистрирован: 31 май 2020, 19:07

Уважаемые гуру!
Был Asus ac88 + 3 точки AIMesh. В связи с тем, что необходимо было перенести основной маршрутизатор в подсобное помещение, приобрел RB3011UIAS-RM (решалось несколько задач, в том числе, уменьшение количества проводов и агрегация каналов).
Используя различные FAQ, как-то настроил микротик. Два сервера c Nas4Free перешли на микротик с агрегацией каналов.
Asus ac88 перешел в режим точки доступа (AP) / AiMesh роутер в режиме точки доступа и раздает wifi вместе с узлами aimesh. Подключен по кабелю и все узлы aimesh тоже.
Настройка идет до сих пор, но в какой-то момент заметил, что смартфоны по WiFi не имеют доступа к интернет (не могу сказать был интернет на смартфонах или нет до этого и что вообще случилось). При этом смартфонам выдается IP и они имеют доступ к локальным ресурсам (samba и ftp). Ноутбуки и телевизор при том же подключении через WiFi имеют доступ к интернет.
Проверял, что ноутбук и смартфон подключены к одной и той же точке доступа. При этом интернета нет на смартфоне. Не понимаю, куда смотреть.
Где и что сделано не так?
Заранее огромное спасибо за любые ответы.

Настройка под спойлером.
 
# jun/01/2020 12:24:09 by RouterOS 6.46.6
# software id = 93HK-07ZY
# model = RouterBOARD 3011UiAS
/interface bridge
add name=bridge_main
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether5 ] mac-address=B8:69:F4:чч:чч:чч
set [ find default-name=ether7 ] mac-address=B8:69:F4:чч:ч6:чч
set [ find default-name=sfp1 ] disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-WAN name=pppoe-RT \
password=ччччч use-peer-dns=yes user=чччч
/interface bonding
add mode=802.3ad name="NAS BackUp" slaves=ether5,ether4
add mode=802.3ad name=NAS4FREE slaves=ether6,ether7
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip kid-control
add fri=9h-20h mon=9h-20h name=Kid sat=9h-20h sun=9h-20h thu=9h-20h tue=\
9h-20h wed=9h-20h
/ip pool
add name=dhcp ranges=192.168.0.101-192.168.0.149
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge_main \
lease-time=1d name=server_main
/interface bridge port
add bridge=bridge_main interface=ether2
add bridge=bridge_main interface=ether3
add bridge=bridge_main disabled=yes interface=ether4
add bridge=bridge_main disabled=yes interface=ether5
add bridge=bridge_main disabled=yes interface=ether7
add bridge=bridge_main interface=ether8
add bridge=bridge_main interface=ether9
add bridge=bridge_main interface=ether10
add bridge=bridge_main interface="NAS BackUp"
add bridge=bridge_main disabled=yes interface=ether6
add bridge=bridge_main interface=NAS4FREE
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add interface=pppoe-RT list=WAN
add interface=bridge_main list=LAN
/ip address
add address=192.168.0.1/24 interface=bridge_main network=192.168.0.0
/ip dhcp-server lease
add address=192.168.0.100 comment=NAS mac-address=00:25:90:xx:xx:xx
add address=192.168.0.250 comment="NAS BackUp" mac-address=00:25:90:xx:xx:xx
add address=192.168.0.50 comment=NVR mac-address=F8:4D:FC:xx:xx:xx
add address=192.168.0.2 client-id=1:34:97:24:xx:xx:xx comment="Asus AC88" \
mac-address=34:97:F6:xx:xx:xx server=server_main
add address=192.168.0.70 address-lists=Kids-List client-id=1:40:b8:37:xx:xx:8 \
comment="Kid Mobile" mac-address=40:B8:37:xx:xx:xx server=server_main
add address=192.168.0.71 address-lists=Kids-List client-id=\
1:70:85:c2:xx:xx:xx comment="Kid Desctop" mac-address=\
70:85:C2:xx:xx:xx server=server_main
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add address=192.168.0.70 list=Kids-List
add address=192.168.0.71 list=Kids-List
add address=ns-1475.awsdns-56.org list=BlockList
add address=ns-1574.awsdns-04.co.uk list=BlockList
add address=ns-440.awsdns-55.com list=BlockList
add address=ns-722.awsdns-26.net list=BlockList
add address=161.117.111.4 list=BlockList
add address=161.117.71.12 list=BlockList
add address=161.117.98.196 list=BlockList
add address=161.117.112.172 list=BlockList
add address=161.117.96.158 list=BlockList
add address=161.117.70.24 list=BlockList
add address=161.117.98.223 list=BlockList
/ip firewall filter
add action=reject chain=forward dst-address-list=BlockList in-interface=\
bridge_main reject-with=icmp-network-unreachable src-address-list=\
Kids-List
add action=accept chain=input comment="Allow Ping" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=forward in-interface=bridge_main
add action=accept chain=input in-interface=bridge_main
add action=accept chain=input in-interface=pppoe-RT protocol=icmp
add action=accept chain=input connection-state=established,related
add action=accept chain=input comment="Local input" src-address=\
192.168.0.0/24
add action=accept chain=forward in-interface=bridge_main out-interface=\
ether1-WAN src-address=192.168.0.0/24
add action=accept chain=input comment=Torrent dst-port=51413 in-interface=\
ether1-WAN protocol=tcp
add action=drop chain=forward comment="Drop invalid connections" \
connection-state=invalid
add action=drop chain=input in-interface=ether1-WAN
add action=drop chain=input
add action=drop chain=forward comment="Drop all other forward" disabled=yes
/ip firewall nat
add action=redirect chain=dstnat disabled=yes dst-port=80,8080 protocol=tcp \
to-ports=8080
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
Kids-List to-addresses=199.85.126.30
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=\
Kids-List to-addresses=199.85.127.30
add action=dst-nat chain=dstnat dst-port=51413 in-interface=ether1-WAN \
protocol=tcp to-addresses=192.168.0.250 to-ports=51413
add action=masquerade chain=srcnat out-interface=pppoe-RT
/ip kid-control device
add mac-address=40:B8:37:xx:xx:xx name=Mobile user=Kid
add mac-address=70:85:C2:xx:xx:xx name=Desktop user=Kid
/ip proxy
set cache-on-disk=yes cache-path=disk1/web
/ip traffic-flow
set interfaces=ether1-WAN
/system clock
set time-zone-name=Asia/Novosibirsk
/system ntp client
set enabled=yes primary-ntp=193.171.23.163 secondary-ntp=85.114.26.194
/system scheduler
add interval=1d name=Daily-Config on-event=\
"/export file=backup/D.rsc\r\
\n/system backup save name=backup/D" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=may/20/2020 start-time=11:00:00
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no


Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

1. прочитайте пункт 6 Правил форума (6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.)
2. Следуя этому, нарисуйте Вашу схему. Что куда и как подключено. Подробно, как настроены Ваши точки доступа: Частоты, каналы, режимы - по каждой точке.

В Вашем конфиге непонятно назначение портов 4,5 и 7.
Им зачем-то присваиваются MAC - адреса, но из моста они исключены.
Неясен Ваш замысел с интерфейсом типа "NAS BackUp".
Тоже непонятен замысел проброса порта 53 на адрес 199.85.126.30 и 199.85.127.30. При том, что перечень адресов у Вас /ip pool add name=dhcp ranges=192.168.0.101-192.168.0.149.

Ваш фаерволл нормально открытый или нормально закрытый? В конце вижу заблокированное правило add action=drop chain=forward comment="Drop all other forward" disabled=yes.
Также нет правила add action=accept chain=forward comment=" accept established,related, untracked" connection-state=established,related,untracked
Возьмите за основу файервол по умолчанию от Микротика, который для обычного дома вполне неплох, и просто добавьте своих особенностей:
 DfltConfi
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
Если Вы расскажете, что Вы замысливали, то тогда будет понятнее разбирать Ваш манускрипт.
Расскажите Ваш полный замысел.
З.Ы. Если телевизоры на WiFi работают, а телефоны - нет, то тогда дело в Ваших точках доступа.


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
hharn
Сообщения: 8
Зарегистрирован: 31 май 2020, 19:07

Спасибо за ответ!

1. Схема
Изображение
Пока по-другому не получается. Проводов других нет.
2. Управляющий роутер Asus 88 подключен по кабелю. Настройки IP адреса, DNS сервера получает автоматически; функции брандмауэра, IP sharing и NAT отключены. Два диапазона 2.4 и 5 Ггц с настройками по умолчанию, сеть скрытая + шифрование + пароль. Он же управляет всеми ТД с использованием технологии AiMesh, а именно переключает девайсы между ТД, чтобы была максимальная скорость передачи данных.
3. Порты 4,5 и 6,7 - bonding с реализацией агрегации каналов 802.3ad для серверов. Работает.
4.
Тоже непонятен замысел проброса порта 53 на адрес 199.85.126.30 и 199.85.127.30.
Трафик от девайсов ребенка идет через Norton DNS.
5.
Ваш фаерволл нормально открытый или нормально закрытый?
Должен быть нормально закрытый. Еще в процессе настройки :-): . Еще vpn сервер надо настроить :-)
6.
З.Ы. Если телевизоры на WiFi работают, а телефоны - нет, то тогда дело в Ваших точках доступа.
Один момент, например, ноутбук и смартфон подключались к ТД 2 и ТД3. Смартфон (и ноутбук) имеет доступ к ресурсам серверов в локальной сети на 4,5 и 6,7 портах по ftp и samba; с помощью смартфона через web интерфейс можно настраивать те же сервера и управляющий роутер. Но у ноутбука выход в интернет есть, а у смартфона - нет. Если бы не было вообще доступа у смартфона к локальной сети, то это проблема в точке доступа. Или я ошибаюсь?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

hharn писал(а): 02 июн 2020, 05:47 Трафик от девайсов ребенка идет через Norton DNS.
Википедия писал(а):Norton DNS — интернет-сервис компании Symantec Corporation, предоставляющий общедоступные DNS-серверы. Сервис закрыт[1] 15 ноября 2018 года.
Может заменить "мёртвый" сервис на актуальный?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

hharn писал(а): 02 июн 2020, 05:47 Но у ноутбука выход в интернет есть, а у смартфона - нет. Если бы не было вообще доступа у смартфона к локальной сети, то это проблема в точке доступа. Или я ошибаюсь?
Стало намного понятнее.
Но тут дело такое. Если DHCP работает, то клиент получает IP-адрес. Тогда беспроволчный клиент живет в сети. А вот если в Вашем ASUS где-то неправильно настроен доступ к кэшу DNS MikroTik.
В нем у Вас прописано dns-server=192.168.0.1 gateway=192.168.0.1. Так вот нужно проследить за тем, чтобы все ТД корректно выходили на эти адреса.
В телефоне Вы не можете указать конкретные адреса DNS, а без них телефон и не находит сайт по имени. В ноутбуке или другом устройстве такая возможность есть. Есть и кэш адресов.
Так что, ИМХО, MikroTik здесь не при чем.


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
hharn
Сообщения: 8
Зарегистрирован: 31 май 2020, 19:07

Может заменить "мёртвый" сервис на актуальный?
Спасибо! Заменил на Яндекс.
Так что, ИМХО, MikroTik здесь не при чем.
Да... Отключил все ТД и оставил только "главный" Asus 88. Ситуация стала интереснее: через WiFi есть доступ только к ресурсам локальной сети (у ноутбука и смартфона). Если подключить ноутбук по проводу, то появляется выход в инет. Самое что печальное, если прописать DNS и gateway в asus, ничего не меняется.
P.S. Странность с ТД. Оказалось, что девайсы с поддержкой wifi 5ГГц доступ к инету не имеют (даже при подключении по 2.4), но локальные ресурсы видят. Если поддержки 5ГГц изначально нет, то смартфон и ноутбук доступ получают и к инету и к локальным ресурсам :-)


hharn
Сообщения: 8
Зарегистрирован: 31 май 2020, 19:07

Все таки это был какой-то странный баг микротика. Семь бед - один reset. Откат к заводским настройкам и восстановление. Все работает.


Ответить