Добрый день.
Помогите решить проблему/задачу.
Есть микротик CCR1016-12G с реальным ip адресом с настроенным натом. За натом находится Voip шлюз Grandstream gxw4232. Это шлюз который из ip делает аналог.
Так вот, этот шлюз регистрируется у провайдера Манго-Телеком, регистрация проходит нормально.
Но при звонке, после 10 секунд разговора, пропадает входящий голос.
Когда же я настраиваю обычный роутер тплинк, с реальным айпишником и стандартным натом, все работает нормально без сбоев.
Перепробовал много всего, и проброс портов и отключение всех фильтров.
Микротик так же выступает в роли хотспота и на нем весит два провайдера с автоматическим переключением на резервный канал.
Шлюз grandstream находится в отдельной подсети.
Полные настройки пока выкладывать не буду.
Пока прошу дать советы, в какую сторону посмотреть, и что можно проверить в этом случае.
Спасибо.
Mikrotik, voip шлюз, нет голоса.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
А Вы хитёр. Ничего не покажу, но Вы помогите.
При наличии такой железки, надо быть честным
Ладно, Ваше право!
1-й совет:
отключите "хелпер" sip внутри микротика (IP-Firewall-Service Ports - sip)
Ну и попробуйте (не сразу, а минуты через 3-10).
2-й совет(на будущее):
если у Вас два канала, то надо явно чтобы voip-шлюз смотрел чётко на своего провайдера всегда,
так как не зная как у Вас всё сделано - не буду советовать явно.
других идей пока что нет...
При наличии такой железки, надо быть честным
Ладно, Ваше право!
1-й совет:
отключите "хелпер" sip внутри микротика (IP-Firewall-Service Ports - sip)
Ну и попробуйте (не сразу, а минуты через 3-10).
2-й совет(на будущее):
если у Вас два канала, то надо явно чтобы voip-шлюз смотрел чётко на своего провайдера всегда,
так как не зная как у Вас всё сделано - не буду советовать явно.
других идей пока что нет...
-
Vladimir22
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
+ ко всему !
Это частые . и самые известные проблемы.
других быть не может
Это частые . и самые известные проблемы.
других быть не может
-
rockzif
- Сообщения: 0
- Зарегистрирован: 22 сен 2017, 08:53
Стандартный sip у меня отключен.
Ниже выкладываю полный конфиг.
Ниже выкладываю полный конфиг.
Код: Выделить всё
sep/22/2017 13:46:46 by RouterOS 6.40.3
# software id = 9I1U-WIRT
#
# model = CCR1016-12G
# serial number = серийный номер
/interface ethernet
set [ find default-name=ether3 ] name=Conference_Inet_ether3
set [ find default-name=ether4 ] name=Conference_Inet_ether4
set [ find default-name=ether5 ] name=Provider_WAN_ether5
set [ find default-name=ether12 ] name=LAN_admin_2.1_ether12
set [ find default-name=ether8 ] name=LAN_admin_2.2_ether8
set [ find default-name=ether9 ] name=LAN_admin_2.4_ether9
set [ find default-name=ether2 ] name=LAN_wifi_ether2
set [ find default-name=ether11 ] name=WAN_admin_ether11
set [ find default-name=ether10 ] disabled=yes name=WAN_wifi_corp_ether10
set [ find default-name=ether1 ] name=WAN_wifi_ether1
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
/ip neighbor discovery
set Proveder_WAN_ether5 discover=no
set WAN_admin_ether11 discover=no
set WAN_wifi_ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server
add authoritative=after-2sec-delay disabled=no interface=LAN_admin_2.2_ether8 lease-time=2d16h name="DHCP for IP phone"
add authoritative=after-2sec-delay disabled=no interface=LAN_admin_2.1_ether12 name="DHCP 10.2.1. "
/ip hotspot profile
add hotspot-address=10.9.1.1 html-directory="flash/hotspot " login-by=http-chap,https,http-pap name=zwpot1 use-radius=yes
/ip hotspot
add disabled=no idle-timeout=none interface=LAN_wifi_ether2 name=hotspot10.9. profile=zwpot1
/ip hotspot user profile
set [ find default=yes ] idle-timeout=1d keepalive-timeout=1d shared-users=5
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=conf-inet ranges=10.10.1.10-10.10.15.250
add name=conf-inet2 ranges=10.11.1.10-10.11.15.250
add name="dhcp 10.2.4." ranges=10.2.5.1-10.2.15.254
add name="dhcp for wifi" ranges=10.9.2.1-10.9.15.254
/ip dhcp-server
add address-pool="dhcp for wifi" authoritative=after-2sec-delay disabled=no interface=LAN_wifi_ether2 lease-time=20m name=GuestWiFi
add address-pool="dhcp 10.2.4." authoritative=after-2sec-delay disabled=no interface=LAN_admin_2.4_ether9 lease-time=20m name=\
"DHCP 10.2.4"
add address-pool=conf-inet authoritative=after-2sec-delay disabled=no interface=Conference_Inet_ether3 lease-time=20m name=\
"DHCP_for_ Conference"
add address-pool=conf-inet2 authoritative=after-2sec-delay disabled=no interface=Conference_Inet_ether4 lease-time=20m name=\
"DHCP_for_ Conference2"
/queue tree
add name=voip3 packet-mark=VoIP parent=LAN_admin_2.2_ether8 priority=2
add name=voip1 packet-mark=VoIP parent=WAN_admin_ether11 priority=2 queue=default
add name=voip2 packet-mark=VoIP parent=WAN_wifi_ether1 priority=2 queue=default
add name=voip4 packet-mark=VoIP parent=Kredo_WAN_ether5 priority=2 queue=default
/system logging action
set 1 disk-file-name=log
/ip address
add address=10.9.1.1/20 interface=LAN_wifi_ether2 network=10.9.0.0
add address=REAL IP1 interface=WAN_wifi_ether1 network=GATEWAY
add address=10.2.1.10/24 interface=LAN_admin_2.1_ether12 network=10.2.1.0
add address=10.2.4.10/20 interface=LAN_admin_2.4_ether9 network=10.2.0.0
add address=REAL IP2 disabled=yes interface=WAN_wifi_corp_ether10 network=GATEWAY
add address=REAL IP3 interface=WAN_admin_ether11 network=GATEWAY
add address=REAL IP4 interface=Kredo_WAN_ether5 network=GATEWAY
add address=10.2.2.10/24 interface=LAN_admin_2.2_ether8 network=10.2.2.0
add address=10.10.1.1/20 interface=Conference_Inet_ether3 network=10.10.0.0
add address=10.11.1.1/20 interface=Conference_Inet_ether4 network=10.11.0.0
/ip dhcp-server lease
тут прописаны айпишники
/ip dhcp-server network
add address=10.2.0.0/20 dns-server=10.2.4.10 gateway=10.2.4.10 netmask=20
add address=10.2.1.0/24 dns-server=10.2.1.2,10.2.1.4 gateway=10.2.1.10 netmask=24
add address=10.2.2.0/24 dns-server=10.2.2.10 gateway=10.2.2.10 netmask=24
add address=10.9.0.0/20 dns-server=10.9.1.1 gateway=10.9.1.1 netmask=20
add address=10.10.0.0/20 dns-server=10.10.1.1 gateway=10.10.1.1 netmask=20
add address=10.11.0.0/20 dns-server=10.11.1.1 gateway=10.11.1.1 netmask=20
/ip dns
set allow-remote-requests=yes servers=dns1,dns2.3,8.8.8.8,77.88.8.8
/ip firewall address-list
add address=10.9.0.0/21 disabled=yes list=WiFiUbiq
add address=10.2.0.0/24 disabled=yes list=Admin
add address=10.4.0.0 disabled=yes list=WiFi
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here"
add action=accept chain=input in-interface=WAN_admin_ether11 protocol=tcp src-address=81.88.86.0/24 src-port=1024-65535
add action=accept chain=input in-interface=WAN_admin_ether11 protocol=udp src-address=81.88.86.0/24 src-port=1024-65535
add action=accept chain=forward in-interface=WAN_admin_ether11 protocol=tcp src-address=81.88.86.0/24 src-port=1024-65535
add action=accept chain=forward in-interface=WAN_admin_ether11 protocol=tcp src-address=81.88.82.245 src-port=80
add action=accept chain=input in-interface=WAN_admin_ether11 protocol=tcp src-address=81.88.82.245 src-port=80
add action=accept chain=input in-interface=WAN_admin_ether11 protocol=tcp src-address=81.88.82.245 src-port=80
add action=accept chain=forward in-interface=WAN_admin_ether11 protocol=udp src-address=81.88.82.245 src-port=80
add action=accept chain=forward in-interface=WAN_admin_ether11 protocol=udp src-address=81.88.86.0/24 src-port=1024-65535
add action=accept chain=pre-hs-input in-interface=WAN_admin_ether11 protocol=udp src-address=81.88.86.0/24 src-port=1024-65535
add action=accept chain=forward dst-address=81.88.86.0/24 dst-port=1024-65535 out-interface=WAN_admin_ether11 protocol=udp
add action=accept chain=input comment="allow related connections" connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input comment="allow already established connections" connection-state=established
add action=accept chain=forward connection-state=established
add action=drop chain=input comment="drop invalid connections" connection-state=invalid protocol=tcp
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward comment=bogons disabled=yes src-address=0.0.0.0/8
add action=drop chain=forward disabled=yes dst-address=0.0.0.0/8
add action=drop chain=forward disabled=yes src-address=127.0.0.0/8
add action=drop chain=forward disabled=yes dst-address=127.0.0.0/8
add action=drop chain=forward disabled=yes src-address=224.0.0.0/3
add action=drop chain=forward disabled=yes dst-address=224.0.0.0/3
add action=drop chain=output dst-address=77.88.8.1 out-interface=WAN_admin_ether11
add action=drop chain=output dst-address=8.8.4.4 out-interface=Kredo_WAN_ether5
add action=drop chain=output dst-address=77.88.8.1 out-interface=WAN_wifi_ether1
add action=drop chain=input dst-port=53 in-interface=WAN_wifi_ether1 protocol=udp
add action=drop chain=input dst-port=53 in-interface=WAN_wifi_ether1 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=WAN_admin_ether11 protocol=udp
add action=drop chain=input dst-port=53 in-interface=WAN_admin_ether11 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=Kredo_WAN_ether5 protocol=udp
add action=drop chain=input dst-port=53 in-interface=Kredo_WAN_ether5 protocol=tcp
/ip firewall mangle
add action=mark-packet chain=forward comment=VoIP new-packet-mark=VoIP passthrough=no src-address=10.2.2.0/24
add action=mark-packet chain=forward dst-address=10.2.2.0/24 new-packet-mark=VoIP passthrough=no
add action=mark-packet chain=forward comment=VoIP dscp=46 new-packet-mark=VoIP passthrough=no
add action=mark-routing chain=prerouting new-routing-mark=WifiUbiquity passthrough=no src-address=10.9.0.0/20
add action=mark-routing chain=prerouting new-routing-mark=AdminInet2.1 passthrough=no src-address=10.2.1.0/24
add action=mark-routing chain=prerouting new-routing-mark=WIFi2,3 passthrough=no src-address=10.2.3.0/24
add action=mark-routing chain=prerouting new-routing-mark=AdminInet2.2 passthrough=no src-address=10.2.2.0/24
add action=mark-routing chain=prerouting new-routing-mark=WIFi2.4 passthrough=no src-address=10.2.0.0/20
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=Corp_Inet passthrough=no src-address=172.16.0.0/19
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=AdminInet passthrough=no src-address=10.2.0.0/16
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat out-interface=Proveder_WAN_ether5
add action=masquerade chain=srcnat out-interface=WAN_wifi_ether1
add action=masquerade chain=srcnat out-interface=WAN_admin_ether11
add action=masquerade chain=srcnat disabled=yes out-interface=WAN_wifi_corp_ether10
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes sip-direct-media=no
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip hotspot ip-binding
add address=delete mac-address=mac server=hotspot10.9. to-address=delete type=bypassed
/ip hotspot walled-garden
add comment="place hotspot rules here" disabled=yes
add dst-host=prwifi.ru
add dst-host=*.prw.ru
add dst-host=z.ru
add dst-host=wi.ru
add dst-host=*.wifi.ru
add dst-host=*.z.ru
add dst-host=*.pa.ru
add dst-host=mc.ya.ru
add dst-host=oauth.vk.com
add dst-host=fonts.googleapis.com
/ip hotspot walled-garden ip
add action=accept disabled=no dst-address=внешний адрес
add action=accept disabled=no dst-address=10.0.0.0/8
add action=accept disabled=no dst-address=172.16.0.0/12
add action=accept disabled=no dst-address=192.168.0.0/16
/ip route
add comment=ISP1 distance=4 gateway=realip routing-mark=AdminInet2.1
add distance=1 dst-address=10.2.1.0/24 gateway=LAN_admin_2.1_ether12 pref-src=10.2.1.10 routing-mark=AdminInet2.1 scope=10
add distance=1 dst-address=10.9.1.0/24 gateway=LAN_wifi_ether2 pref-src=10.2.1.10 routing-mark=AdminInet2.1
add distance=1 dst-address=10.9.1.0/24 gateway=LAN_wifi_ether2 pref-src=10.2.4.10 routing-mark=WIFi2.4
add comment=ISP1 distance=4 gateway=reaalip routing-mark=AdminInet2.2
add comment=ISP1 distance=3 gateway=realip
add comment=ISP2 disabled=yes distance=2 gateway=realip
add comment=GOOGLE distance=1 dst-address=8.8.4.4/32 gateway=realip
add comment=YANDEX distance=1 dst-address=77.88.8.1/32 gateway=realip
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip traffic-flow
set enabled=yes interfaces=WAN_admin_ether11
/lcd
set backlight-timeout=never color-scheme=dark default-screen=interfaces time-interval=hour
/lcd pin
set pin-number=0212
/radius
add address=realip secret=passsword service=hotspot timeout=6s
/snmp
set enabled=yes location=servernaya
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=name
/system ntp client
set enabled=yes primary-ntp=server1 secondary-ntp=server2
/tool traffic-monitor
add interface=LAN_wifi_ether2 name=tmon1 threshold=0
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
rockzif писал(а):Стандартный sip у меня отключен.
Ниже выкладываю полный конфиг.
1) первое: всё же там, где должен стоять IP реальный, надо было IP реальный оставлять, а замазать два последних октета,
а так не всегда ясно, где айпи,а где переменная, да и названия интерфейсов лично мне приятнее понимать по их натуральному
название как ether3 или ether5, а уже по комментарию смотреть что это.
(это лично моё "фи" небольшое)
2)
Код: Выделить всё
/ip firewall filter
...
add action=accept chain=input in-interface=WAN_admin_ether11 protocol=tcp src-address=81.88.86.0/24 src-port=1024-65535
add action=accept chain=input in-interface=WAN_admin_ether11 protocol=udp src-address=81.88.86.0/24 src-port=1024-65535
Объясните смысл явно открывать для определённой сети микротик, если по умолчанию микротик итак открыт?
То есть я вообще логики не понимаю.
(ниже тоже такие правила есть, не стал все их анализировать)
3)
Код: Выделить всё
add action=drop chain=input comment="drop invalid connections" connection-state=invalid protocol=tcp
add action=drop chain=forward connection-state=invalid
Также вопрос - зачем правила аналитики ИНВАЛИДНЫХ пакетов ставить где-то в середине файрвола?
Инвалидные пакеты надо отбрасывать в самом начале, зачем их прогонять через файрвол,
чтобы потом их убить?
Пройдитесь по файрволу (Фильтрес) и посмотрите за 2-4 дня какие правила по нулям, вот те и надо проверить,
и оптимизировать.
4)
не думали об оптимизации, у Вас всё на портах сделано, если порт отключится (получит статус оффлайна)
то и серисы/службы будут не работать, такое поведение для роутера не правильно,так что возможно часть
сервисов и главное и адресацию перенести с порта(ов) на бриджи. Так вроде даже советуют.
Бридж как логическое устройство всегда будет, и даже если порт входящий в бридж будет в ауте(по каким-то причинам),
привязанный на бридж сервис (тож же DHCP) не вылетит в ошибку.
5) Рекомендую отказаться от переименования стандартных портов, всё же роутер у Вас боевой и
должно выглядеть как-то единообразно, а для удобства - использовать возможность создания листов интерфейсов,
которые можно использовать во всех цепочках файрволах. Я говорю о Interface List (находиться
в окне Interface, вторая закладка). Очень удобно один раз там описать все интерфейсы, дать им
названия, комментарии. И уже использовать почти везде. Но зато в таблице маршрутизации будет
более стандартное видение и понимание что куда...
6) пока не до конца разобрался с маркировкой, конфиг читать сложно, ибо у Вас то что описал я в пункте 1
Но пока дам совет, может телефонию маркировать не mark-routing, а всё же mark-connection, тем более
так советовали на курсах (тренер).
-
rockzif
- Сообщения: 0
- Зарегистрирован: 22 сен 2017, 08:53
1) первое: всё же там, где должен стоять IP реальный, надо было IP реальный оставлять, а замазать два последних октета,
а так не всегда ясно, где айпи,а где переменная, да и названия интерфейсов лично мне приятнее понимать по их натуральному
название как ether3 или ether5, а уже по комментарию смотреть что это.
(это лично моё "фи" небольшое)
Еще раз выкладываю конфиг с вашей рекомендацией.
В имени интерфейса, я просто дописал, что на каком порту весит. В конце имени, номер порта остался.
Код: Выделить всё
sep/27/2017 14:47:57 by RouterOS 6.40.3
# software id = 9I1U-WIRT
#
# model = CCR1016-12G
# serial number = nomer
/interface ethernet
set [ find default-name=ether3 ] name=Conference_Inet_ether3
set [ find default-name=ether4 ] name=Conference_Inet_ether4
set [ find default-name=ether5 ] name=Provider_WAN_ether5
set [ find default-name=ether12 ] name=LAN_admin_2.1_ether12
set [ find default-name=ether8 ] name=LAN_admin_2.2_ether8
set [ find default-name=ether9 ] name=LAN_admin_2.4_ether9
set [ find default-name=ether2 ] name=LAN_wifi_ether2
set [ find default-name=ether11 ] name=WAN_admin_ether11
set [ find default-name=ether10 ] disabled=yes name=WAN_wifi_corp_ether10
set [ find default-name=ether1 ] name=WAN_wifi_ether1
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
/ip neighbor discovery
set Provider_WAN_ether5 discover=no
set WAN_admin_ether11 discover=no
set WAN_wifi_ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server
add authoritative=after-2sec-delay disabled=no interface=LAN_admin_2.2_ether8 lease-time=2d16h name="DHCP for IP phone"
add authoritative=after-2sec-delay disabled=no interface=LAN_admin_2.1_ether12 name="DHCP 10.2.1. "
/ip hotspot profile
add hotspot-address=10.9.1.1 html-directory="flash/hotspot " login-by=http-chap,https,http-pap name=zwpot1 use-radius=yes
/ip hotspot
add disabled=no idle-timeout=none interface=LAN_wifi_ether2 name=hotspot10.9. profile=zwpot1
/ip hotspot user profile
set [ find default=yes ] idle-timeout=1d keepalive-timeout=1d shared-users=5
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=conf-inet ranges=10.10.1.10-10.10.15.250
add name=conf-inet2 ranges=10.11.1.10-10.11.15.250
add name="dhcp 10.2.4." ranges=10.2.5.1-10.2.15.254
add name="dhcp for wifi" ranges=10.9.2.1-10.9.15.254
/ip dhcp-server
add address-pool="dhcp for wifi" authoritative=after-2sec-delay disabled=no interface=LAN_wifi_ether2 lease-time=20m name=GuestWiFi
add address-pool="dhcp 10.2.4." authoritative=after-2sec-delay disabled=no interface=LAN_admin_2.4_ether9 lease-time=20m name=\
"DHCP 10.2.4"
add address-pool=conf-inet authoritative=after-2sec-delay disabled=no interface=Conference_Inet_ether3 lease-time=20m name=\
"DHCP_for_ Conference"
add address-pool=conf-inet2 authoritative=after-2sec-delay disabled=no interface=Conference_Inet_ether4 lease-time=20m name=\
"DHCP_for_ Conference2"
/queue tree
add name=voip3 packet-mark=VoIP parent=LAN_admin_2.2_ether8 priority=2
add name=voip1 packet-mark=VoIP parent=WAN_admin_ether11 priority=2 queue=default
add name=voip2 packet-mark=VoIP parent=WAN_wifi_ether1 priority=2 queue=default
add name=voip4 packet-mark=VoIP parent=Provider_WAN_ether5 priority=2 queue=default
/system logging action
set 1 disk-file-name=log
/ip address
add address=10.9.1.1/20 interface=LAN_wifi_ether2 network=10.9.0.0
add address=94.231.1.1/28 interface=WAN_wifi_ether1 network=94.231.1.1
add address=10.2.1.10/24 interface=LAN_admin_2.1_ether12 network=10.2.1.0
add address=10.2.4.10/20 interface=LAN_admin_2.4_ether9 network=10.2.0.0
add address=62.122.1.1/29 disabled=yes interface=WAN_wifi_corp_ether10 network=62.122.1.1
add address=62.122.1.1/29 interface=WAN_admin_ether11 network=62.122.1.1
add address=81.13.1.1/30 interface=Kredo_WAN_ether5 network=81.13.1.1
add address=10.2.2.10/24 interface=LAN_admin_2.2_ether8 network=10.2.2.0
add address=10.10.1.1/20 interface=Conference_Inet_ether3 network=10.10.0.0
add address=10.11.1.1/20 interface=Conference_Inet_ether4 network=10.11.0.0
/ip dhcp-server lease
/ip dhcp-server network
add address=10.2.0.0/20 dns-server=10.2.4.10 gateway=10.2.4.10 netmask=20
add address=10.2.1.0/24 dns-server=10.2.1.2,10.2.1.4 gateway=10.2.1.10 netmask=24
add address=10.2.2.0/24 dns-server=10.2.2.10 gateway=10.2.2.10 netmask=24
add address=10.9.0.0/20 dns-server=10.9.1.1 gateway=10.9.1.1 netmask=20
add address=10.10.0.0/20 dns-server=10.10.1.1 gateway=10.10.1.1 netmask=20
add address=10.11.0.0/20 dns-server=10.11.1.1 gateway=10.11.1.1 netmask=20
/ip dns
set allow-remote-requests=yes servers=62.12.1.1,62.12.1.1,8.8.8.8,77.88.8.8
/ip firewall address-list
add address=10.9.0.0/21 disabled=yes list=WiFiUbiq
add address=10.2.0.0/24 disabled=yes list=Admin
add address=10.4.0.0 disabled=yes list=WiFi
/ip firewall filter
add action=drop chain=input comment="drop invalid connections" connection-state=invalid protocol=tcp
add action=drop chain=forward connection-state=invalid
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=accept chain=input in-interface=WAN_admin_ether11 protocol=udp src-address=81.88.86.0/24 src-port=1024-65535
add action=accept chain=forward in-interface=WAN_admin_ether11 protocol=tcp src-address=81.88.82.245 src-port=80
add action=accept chain=input in-interface=WAN_admin_ether11 protocol=tcp src-address=81.88.82.245 src-port=80
add action=accept chain=forward in-interface=WAN_admin_ether11 protocol=udp src-address=81.88.86.0/24 src-port=1024-65535
add action=accept chain=forward dst-address=81.88.86.0/24 dst-port=1024-65535 out-interface=WAN_admin_ether11 protocol=udp
add action=accept chain=input comment="allow related connections" connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input comment="allow already established connections" connection-state=established
add action=accept chain=forward connection-state=established
add action=drop chain=forward comment=bogons disabled=yes src-address=0.0.0.0/8
add action=drop chain=forward disabled=yes dst-address=0.0.0.0/8
add action=drop chain=forward disabled=yes src-address=127.0.0.0/8
add action=drop chain=forward disabled=yes dst-address=127.0.0.0/8
add action=drop chain=forward disabled=yes src-address=224.0.0.0/3
add action=drop chain=forward disabled=yes dst-address=224.0.0.0/3
add action=drop chain=output dst-address=77.88.8.1 out-interface=WAN_admin_ether11
add action=drop chain=output dst-address=8.8.4.4 out-interface=Kredo_WAN_ether5
add action=drop chain=output dst-address=77.88.8.1 out-interface=WAN_wifi_ether1
add action=drop chain=input dst-port=53 in-interface=WAN_wifi_ether1 protocol=udp
add action=drop chain=input dst-port=53 in-interface=WAN_wifi_ether1 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=WAN_admin_ether11 protocol=udp
add action=drop chain=input dst-port=53 in-interface=WAN_admin_ether11 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=Provider_WAN_ether5 protocol=udp
add action=drop chain=input dst-port=53 in-interface=Provider_WAN_ether5 protocol=tcp
/ip firewall mangle
add action=mark-packet chain=forward comment=VoIP new-packet-mark=VoIP passthrough=no src-address=10.2.2.0/24
add action=mark-packet chain=forward dst-address=10.2.2.0/24 new-packet-mark=VoIP passthrough=no
add action=mark-packet chain=forward comment=VoIP dscp=46 new-packet-mark=VoIP passthrough=no
add action=mark-routing chain=prerouting new-routing-mark=WifiUbiquity passthrough=no src-address=10.9.0.0/20
add action=mark-routing chain=prerouting new-routing-mark=AdminInet2.1 passthrough=no src-address=10.2.1.0/24
add action=mark-routing chain=prerouting new-routing-mark=WIFi2,3 passthrough=no src-address=10.2.3.0/24
add action=mark-routing chain=prerouting new-routing-mark=AdminInet2.2 passthrough=no src-address=10.2.2.0/24
add action=mark-routing chain=prerouting new-routing-mark=WIFi2.4 passthrough=no src-address=10.2.0.0/20
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=Corp_Inet passthrough=no src-address=172.16.0.0/19
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=AdminInet passthrough=no src-address=10.2.0.0/16
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat out-interface=Provider_WAN_ether5
add action=masquerade chain=srcnat out-interface=WAN_wifi_ether1
add action=masquerade chain=srcnat out-interface=WAN_admin_ether11
add action=masquerade chain=srcnat disabled=yes out-interface=WAN_wifi_corp_ether10
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes sip-direct-media=no
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip hotspot ip-binding
/ip hotspot walled-garden
add comment="place hotspot rules here" disabled=yes
add dst-host=p.ru
add dst-host=*.p.ru
add dst-host=zi.ru
add dst-host=w.ru
add dst-host=*.w.ru
add dst-host=*.zi.ru
add dst-host=*.p.ru
add dst-host=mc.yandex.ru
add dst-host=oauth.vk.com
add dst-host=fonts.googleapis.com
/ip hotspot walled-garden ip
add action=accept disabled=no dst-address=194.58.1.1/27
add action=accept disabled=no dst-address=10.0.0.0/8
add action=accept disabled=no dst-address=172.16.0.0/12
add action=accept disabled=no dst-address=192.168.0.0/16
/ip route
add comment=ISP1 distance=4 gateway=62.122.1.1 routing-mark=AdminInet2.1
add distance=1 dst-address=10.2.1.0/24 gateway=LAN_admin_2.1_ether12 pref-src=10.2.1.10 routing-mark=AdminInet2.1 scope=10
add distance=1 dst-address=10.9.1.0/24 gateway=LAN_wifi_ether2 pref-src=10.2.1.10 routing-mark=AdminInet2.1
add distance=1 dst-address=10.9.1.0/24 gateway=LAN_wifi_ether2 pref-src=10.2.4.10 routing-mark=WIFi2.4
add comment=ISP1 distance=4 gateway=62.122.1.1 routing-mark=AdminInet2.2
add comment=ISP1 distance=3 gateway=94.231.1.1
add comment=ISP2 disabled=yes distance=2 gateway=81.13.1.1
add comment=GOOGLE distance=1 dst-address=8.8.4.4/32 gateway=94.231.1.1
add comment=YANDEX distance=1 dst-address=77.88.8.1/32 gateway=81.13.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip traffic-flow
set enabled=yes interfaces=WAN_admin_ether11
/lcd
set backlight-timeout=never color-scheme=dark default-screen=interfaces time-interval=hour
/lcd pin
set pin-number=0212
/radius
add address=194.58.1.1 secret=secret service=hotspot timeout=6s
/snmp
set enabled=yes location=server
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=name
/system ntp client
set enabled=yes primary-ntp=195.161.1.1 secondary-ntp=91.233.1.1
/tool traffic-monitor
add interface=LAN_wifi_ether2 name=tmon1 threshold=0
Объясните смысл явно открывать для определённой сети микротик, если по умолчанию микротик итак открыт?
То есть я вообще логики не понимаю.
(ниже тоже такие правила есть, не стал все их анализировать)
Это мои эксперименты. Конкретно в этом фильтре открыты айпи манго телекома.
Также вопрос - зачем правила аналитики ИНВАЛИДНЫХ пакетов ставить где-то в середине файрвола?
Инвалидные пакеты надо отбрасывать в самом начале, зачем их прогонять через файрвол,
чтобы потом их убить?
Это исправил.
Пройдитесь по файрволу (Фильтрес) и посмотрите за 2-4 дня какие правила по нулям, вот те и надо проверить,
и оптимизировать.
Посмотрел проверил, те которые с нулями отключил.
не думали об оптимизации, у Вас всё на портах сделано, если порт отключится (получит статус оффлайна)
то и серисы/службы будут не работать, такое поведение для роутера не правильно,так что возможно часть
сервисов и главное и адресацию перенести с порта(ов) на бриджи. Так вроде даже советуют.
Бридж как логическое устройство всегда будет, и даже если порт входящий в бридж будет в ауте(по каким-то причинам),
привязанный на бридж сервис (тож же DHCP) не вылетит в ошибку.
Вот этот момент не совсем понимаю, что значит "все на портах сделано" и как это перенести на бриджи.
Можете подробней разжевать, на примерах.
Рекомендую отказаться от переименования стандартных портов, всё же роутер у Вас боевой и
должно выглядеть как-то единообразно, а для удобства - использовать возможность создания листов интерфейсов,
которые можно использовать во всех цепочках файрволах. Я говорю о Interface List (находиться
в окне Interface, вторая закладка). Очень удобно один раз там описать все интерфейсы, дать им
названия, комментарии. И уже использовать почти везде. Но зато в таблице маршрутизации будет
более стандартное видение и понимание что куда...
Здесь еще раз отпишусь, в названии интерфейса остались присутствовать стандартные номера портов, по ним я и ориентируюсь.
Но пока дам совет, может телефонию маркировать не mark-routing, а всё же mark-connection, тем более
так советовали на курсах (тренер)
А что это даст в моем случае?
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
rockzif писал(а):Еще раз выкладываю конфиг с вашей рекомендацией.
В имени интерфейса, я просто дописал, что на каком порту весит. В конце имени, номер порта остался.
Уже завтра ознакомлюсь. У меня уже ночь...и "читать" конфиг сложно
И позже если что-то в нём найду, отпишусь тогда...
rockzif писал(а):Вот этот момент не совсем понимаю, что значит "все на портах сделано" и как это перенести на бриджи.
Можете подробней разжевать, на примерах.
Вы такую конфигурацию сделали и на таком простом споткнулись?
Смотрите, берём какой то Ваш адрес (сеть), у Вас из этой сети адрес задан на порту роутеру(верно же?),
и DHCP у Вас работает на этом адресе и соответственно на этом порту этом!? (так же).
Возьмите, создайте бридж, назовите как Вам удобнее будет, в этот бридж добавьте
нужный (выбранный) порт, адрес с порта переместите на этот бридж, и DHCP тоже переместите на этот
бридж. И тогда, не важно, включён порт или нет, состояние службы(DCHP), и пингование адреса
(установленного на бридже) будут всегда работать. То есть задача уйти от "физики" и сделать
IP-работу (адрес, службу DHCP) на виртуальном интерфейсе, в данном случаи это бридж.
Попробуйте один хотя один сегмент/одну сеть так сделать.
Ещё раз выскажу мысль: что если у Вас "отваливаются" порты (статус портов, скажем с другой стороны дисконнект)
то и логика частично тоже отваливается.
На курсах даже советовали создавать Loopback интерфейс (и для удобства, и для тестирование).
В данном случаи бридж и будет таким интерфейсом.
rockzif писал(а):А что это даст в моем случае?
На счёт разновидностей маркировки пакетов:
Опять же, есть разные протоколы, есть протоколы с установлением соединений, а есть протоколы без установки соединений,
как Вы будете обрабатывать оба вида? Телефония как раз и может быть в таком состоянии, что часть пакетов Вы
успешно маркируете, а часть не попадают под маркировку. Поэтому есть простое и правильное решения, они
оба имеют право на жизнь, но простое, это маркировать по марк-роут, а правильное - это маркировать по марк-коннекшион.
-
rockzif
- Сообщения: 0
- Зарегистрирован: 22 сен 2017, 08:53
Уже завтра ознакомлюсь. У меня уже ночь...и "читать" конфиг сложно
И позже если что-то в нём найду, отпишусь тогда...
Жду с нетерпением)
Смотрите, берём какой то Ваш адрес (сеть), у Вас из этой сети адрес задан на порту роутеру(верно же?),
и DHCP у Вас работает на этом адресе и соответственно на этом порту этом!? (так же).
Возьмите, создайте бридж, назовите как Вам удобнее будет, в этот бридж добавьте
нужный (выбранный) порт, адрес с порта переместите на этот бридж, и DHCP тоже переместите на этот
бридж. И тогда, не важно, включён порт или нет, состояние службы(DCHP), и пингование адреса
(установленного на бридже) будут всегда работать. То есть задача уйти от "физики" и сделать
IP-работу (адрес, службу DHCP) на виртуальном интерфейсе, в данном случаи это бридж.
Попробуйте один хотя один сегмент/одну сеть так сделать.
Ещё раз выскажу мысль: что если у Вас "отваливаются" порты (статус портов, скажем с другой стороны дисконнект)
то и логика частично тоже отваливается.
На курсах даже советовали создавать Loopback интерфейс (и для удобства, и для тестирование).
В данном случаи бридж и будет таким интерфейсом.
Спасибо, суть я теперь понял.
Но, объясните такой момент, если порт отключен например или на другом конце нет коннекта, для чего или для кого нам нужны те сервисы которые подняты на этом порту, если они будут не доступны по физике?
Просто приведите примеры, в каком случае это меня спасет.
На счёт разновидностей маркировки пакетов:
Опять же, есть разные протоколы, есть протоколы с установлением соединений, а есть протоколы без установки соединений,
как Вы будете обрабатывать оба вида? Телефония как раз и может быть в таком состоянии, что часть пакетов Вы
успешно маркируете, а часть не попадают под маркировку. Поэтому есть простое и правильное решения, они
оба имеют право на жизнь, но простое, это маркировать по марк-роут, а правильное - это маркировать по марк-коннекшион.
С этим тоже спасибо, у себя поправил.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
rockzif писал(а):Жду с нетерпением)
Ну Ваш конфиг не сильно изменился, да и если уж углубляться в него,
его надо куда то импортировать и уже анализировать. Увы..
Я всё же выскажу одно фи: я против явно описывать те правила, которые бесполезны.
Я в частности про то что я говорил, там где Вы явно открываете порты все для своего провайдера.
Ведь файрволл итак открыт, считаю что ряд правил можно было сократить. Надо понимать, что
каждое правило - это нагрузка на процессор роутера.
rockzif писал(а):Спасибо, суть я теперь понял.
Но, объясните такой момент, если порт отключен например или на другом конце нет коннекта, для чего или для кого нам нужны те сервисы которые подняты на этом порту, если они будут не доступны по физике?
Просто приведите примеры, в каком случае это меня спасет.
Сложно придумать прям пример. Мне было бы лично не приятно, что при падении порта, у меня в логах (красным) светилось что у меня
упал DHCP и всё в таком роде. У меня просто пару DHCP работают, но доступ к ним идёт по вилану с разных мест, поэтому
пример не в точности, но если бы у меня он падал по недоступности порта, то было бы не айс точно.
-
Vladimir22
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
может уже инвайт посмотрим ... или Re-Invite
шифрований. сертификатов в шлюзе нету ?
вангую . к прову уходит внутренний IP в инвайте
или Re-Invite шифрований. сертификатов в шлюзе нету ?
вангую . к прову уходит внутренний IP в инвайте