Как нуба припёрло пересесть на Mikrotik, и к чему это привело [HELP! :(]

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
AlexSmartHome
Сообщения: 0
Зарегистрирован: 26 окт 2017, 12:09

Крайне нубская история и нубские вопросы, заранее прошу прощения у опытных пользователей за всё.
Был у меня роутер ASUS RT-N16 (далее ASUS), жил я и не тужил. В какой-то момент сеть стало нужно провести в дальнюю комнату кабелем, чтобы можно было подключить проводную IPTV-приставку (далее IPTV). Я успешно это сделал, а затем, немного подумав, решил, что я мог бы избавиться от перебоев в функционировании беспроводных устройств (Chromecast Audio, далее CCA), расположенных в той же дальней комнате, и поставить им точку доступа, которая будет подключена по проводу к ASUS, по проводу же отдавать сеть для IPTV, и кроме того, раздавать новую служебную сеть по Wi-Fi с SSID'ом, отличным от основного. Для этих целий я купил hAP lite. Разумеется, настроить этот роутер у меня не получилось, но методом научного тыка и вопросов к приятелю-спецу по сетям я всё-таки настроил роутер на нужный мне режим работы. В итоге и IPTV работало хорошо, и сеть все CCA в дальней комнате получали.
Всё работало как часы, пока в один прекрасный день роутер ASUS не перестал подавать признаки жизни (он был очень старый). Тогда я купил новый роутер Mikrotik RB951G-2HnD (далее Mikrotik, заранее прошу прощения). Кроме того, решил обновить прошивку на hAP lite в связи с найденными уязвимостями Wi-Fi, но сделал это неудачно, и все настройки сбросились.
В общем, сеть пришлось создавать заново.
В итоге по мануалу из Интернета, не с этого сайта, настроил Mikrotik как основной роутер, настроил на нём по другому мануалу, тоже не с этого сайта, правильную работу IPTV, hAP lite настроил методом проб и ошибок.
В итоге так и не смог подключить CCA, IPTV заработало.
Кроме того, стал замечать, что периодически устройста, которые долгое время были выключены, подключаются к основной Wi-Fi сети, но не видят интернета. При этом Mikrotik настроен на выдачу IP из диапазона 192.168.10.100-192.168.10.200, но устройства, подключающиеся к нему, могут получать IP наподобие 192.168.1.XXX, при этом они не видят Интернета. Помогает перезагрузка Mikrotik, но не всегда. Даже устройства, подключаемые по кабелю к Mikrotik, могут не получать IP из диапазона, который должен раздавать DHCP-сервер.


В идеале я бы хотел, чтобы всё работало так же, как было на ASUS'е, если это возможно. Но для начала хочу, чтобы хотя бы IP'шники все устройства получали адекватно и видели Интернет без перезагрузок Mikrotik. Буду очень благодарен за пояснения того, почему IP раздаются столько странно и советы по правильной настройке.

Конфигурация Mikrotik ниже:

Код: Выделить всё

# oct/23/2017 10:02:28 by RouterOS 6.40.4 
# software id = XXXXXXXXX
#
# model = 951G-2HnD
# serial number = XXXXXXXXX
/interface bridge
add name=br1-lan
/interface ethernet
set [ find default-name=ether1 ] name=eth1-wan
set [ find default-name=ether5 ] name=eth5-lan
/ip neighbor discovery
set eth1-wan discover=no
/interface ethernet
set [ find default-name=ether2 ] master-port=eth5-lan name=eth2-lan
set [ find default-name=ether3 ] master-port=eth5-lan name=eth3-lan
set [ find default-name=ether4 ] master-port=eth5-lan name=eth4-lan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
    mode=dynamic-keys name=wpa2-protect supplicant-identity="" \
    wpa2-pre-shared-key=PPPPPPPPP
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    band=2ghz-onlyn disabled=no distance=indoors frequency=auto \
    hw-protection-mode=rts-cts mode=ap-bridge security-profile=wpa2-protect \
    ssid=NNNNNN tx-power-mode=all-rates-fixed wireless-protocol=802.11 \
    wmm-support=enabled
/ip neighbor discovery
set wlan1 discover=no
/interface wireless nstreme
set wlan1 enable-polling=no
/ip pool
add name=dhcp-pc ranges=192.168.10.100-192.168.10.200
/ip dhcp-server
add address-pool=dhcp-pc disabled=no interface=br1-lan lease-time=8h name=\
    dhcp-pc
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge filter
add action=drop chain=output out-interface=wlan1 packet-type=multicast
/interface bridge port
add bridge=br1-lan interface=eth5-lan
add bridge=br1-lan interface=wlan1
/ip address
add address=192.168.10.1/24 interface=br1-lan network=192.168.10.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=eth1-wan
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input in-interface=eth1-wan protocol=igmp
add chain=input protocol=icmp
add chain=input connection-state=new dst-port=80,8291,22 in-interface=br1-lan \
    protocol=tcp src-address=192.168.10.0/24
add chain=input connection-mark=allow_in connection-state=new dst-port=80 \
    in-interface=eth1-wan protocol=tcp
add chain=input connection-state=new dst-port=53,123 protocol=udp src-address=\
    192.168.10.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add chain=forward connection-state=established,new in-interface=br1-lan \
    out-interface=eth1-wan src-address=192.168.10.0/24
add chain=forward connection-state=established,related in-interface=eth1-wan \
    out-interface=br1-lan
add action=accept chain=forward in-interface=eth1-wan protocol=udp
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-port=9999 \
    new-connection-mark=allow_in protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan src-address=\
    192.168.10.0/24
add action=redirect chain=dstnat dst-port=9999 protocol=tcp to-ports=80
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=eth1-wan type=external
add interface=br1-lan type=internal
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=eth1-wan upstream=yes
add
/system clock
set time-zone-name=Europe/Moscow
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disa

bled=yes display-time=5s
set br1-lan disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set eth1-wan disabled=yes display-time=5s
set eth2-lan disabled=yes display-time=5s
set eth3-lan disabled=yes display-time=5s
set eth4-lan disabled=yes display-time=5s
set eth5-lan disabled=yes display-time=5s
/system ntp client
set enabled=yes primary-ntp=XXX.XXX.XXX.XXX secondary-ntp=XXX.XXX.XXX.XXX
/system ntp server
set enabled=yes
/tool user-manager database
set db-path=user-manager
Последний раз редактировалось AlexSmartHome 27 окт 2017, 14:27, всего редактировалось 1 раз.


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

hAP lite остался в домашней сети и подключен к 951 микротику?


AlexSmartHome
Сообщения: 0
Зарегистрирован: 26 окт 2017, 12:09

kt72ru писал(а):hAP lite остался в домашней сети и подключен к 951 микротику?

Да.
Вчера переименовал Wi-Fi-сети и изменил на них пароли, после этого всё заработало. Больше не делал вообще ничего, не менял никакие настройки. Как это произошло?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

чтобы точно сказать как это произошло надо увидеть конфиг hAP lite


AlexSmartHome
Сообщения: 0
Зарегистрирован: 26 окт 2017, 12:09

kt72ru писал(а):чтобы точно сказать как это произошло надо увидеть конфиг hAP lite


Вот конфигурация:

Код: Выделить всё

# oct/28/2017 14:43:26 by RouterOS 6.40.4
# software id = ###########
#
# model = RouterBOARD 941-2nD
# serial number = ###############
/interface bridge
add admin-mac=################ auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn disabled=no distance=indoors frequency=auto mode=ap-bridge multicast-helper=full ssid=NNNNNNNNN \
    wds-default-bridge=bridge wireless-protocol=802.11 wmm-support=enabled
/ip neighbor discovery
set ether1 discover=no
/interface wireless nstreme
set wlan1 enable-nstreme=yes
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=XXXXXXXXXXX wpa2-pre-shared-key=XXXXXXXXXXX
/ip pool
add name=dhcp ranges=0.0.0.1-255.255.255.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=ether1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=bridge
/ip dhcp-server network
add comment=defconf gateway=0.0.0.0
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


AlexSmartHome
Сообщения: 0
Зарегистрирован: 26 окт 2017, 12:09

Похоже, способ не помог. Новые устройства получают IP не из пула( Интернет не получают.
P.S. Это было вчера. А сегодня уже всё ОК, интернет есть, айпишник из пула. Как же так? Ничего не понимаю :(


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Видимо весь секрет в кэшировании?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

В локальной сети есть еще активное оборудование?


AlexSmartHome
Сообщения: 0
Зарегистрирован: 26 окт 2017, 12:09

kt72ru писал(а):В локальной сети есть еще активное оборудование?

Активного нет, есть только клиенты.


podarok66 писал(а):Видимо весь секрет в кэшировании?

Кажется, понял, в чём дело:
на hAP lite был свой DHCP-сервер, который выдавал IP из неправильного диапазона. Я его деактивировал, и пока проблем не наблюдаю. Я ведь правильно понимаю, что это похоже на причину всех описанных мною проблем?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

AlexSmartHome писал(а):Кажется, понял, в чём дело:
на hAP lite был свой DHCP-сервер, который выдавал IP из неправильного диапазона. Я его деактивировал, и пока проблем не наблюдаю. Я ведь правильно понимаю, что это похоже на причину всех описанных мною проблем?

Причина в нем. Только почему он выдавал адреса из несуществующего пула 192.168.1.0/24 остается загадкой.


Ответить