Пропадает доступ к шлюзу по LAN в офисе

[aleksandr.tregub]

Здравствуйте.

Ситуация такая, что раз в день, иногда чаще, у всего офиса "пропадает интернет", а по факту нет связи с шлюзом по LAN.
Сеть выглядит след. образом:

Шлюз (Mikrotik RB952Ui-5ac2nD, прошивка 6.40.6 bugfix), подключен к D-Link DGS 1500-28. Тот, в свою очередь, подключен к D-Link DES 1050G, расположенному в другой части офиса и объединяющему большую часть машин компании.
Еще есть пара точек доступа и один 4-х портовый коммутатор, в месте где не хватило розеток.

Ко всему этому добру подключено 40+машин, десяток ip телефонов, МФУ. Работает в одном домене, без VLAN'ов.

Когда происходит "пропажа интернета", не могу получить доступ на шлюз по локальной сети: пинг не проходит, вэб интерфейс не доступен. При этом доступ на все железки в локальной сети есть. Если в этот момент подключаться к шлюзу по Wi-Fi, то всё в порядке, есть и интернет и доступ в вэб интерфейс.

Доступ на шлюз по LAN сам восстанавливается через 1-5 минут. В логах микротика и DGS нет ничего, что намекало бы о каких либо проблемах. Т.е. даже инфы о том, что порт упал/поднялся нет.

Сама проблема появилась несколько месяцев назад, но не носила регулярный характер, до недавнего времени.

Сейчас на месте Микротик стоит старый маршрутизатор RT-N16. С ним таких проблем нет.

Пробовал прошить микротик через Netinstall, но проблему это не решило. Была версия, что это loop protect отключает все порты, но он по умолчанию выключен.

Прошу совета, на что еще обратить внимание?

Код: Выделить всё

# mar/27/2018 12:06:55 by RouterOS 6.40.6
# software id = FJCI-QAYK
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 71B106B6B77C
/interface bridge
add admin-mac=00:00:00:00:00:00 auto-mac=no comment=defconf name=br-lan
/interface ethernet
set [ find default-name=ether1 ] name=eth1-wan
set [ find default-name=ether5 ] loop-protect=off name=eth5-lan
/ip neighbor discovery
set eth1-wan discover=no
/interface ethernet
set [ find default-name=ether2 ] loop-protect=off master-port=eth5-lan name=\
    eth2-lan
set [ find default-name=ether3 ] loop-protect=off master-port=eth5-lan name=\
    eth3-lan
set [ find default-name=ether4 ] loop-protect=off master-port=eth5-lan name=\
    eth4-lan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=wpa2-protect \
    supplicant-identity="" wpa-pre-shared-key=****** wpa2-pre-shared-key=\
    ******
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    distance=indoors mode=ap-bridge security-profile=wpa2-protect ssid=\
    TreeSolution wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=\
    ap-bridge security-profile=wpa2-protect ssid="TreeSolution 5GHz" \
    wireless-protocol=802.11
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp-lan ranges=192.168.3.151-192.168.3.235
/ip dhcp-server
add address-pool=dhcp-pc authoritative=after-2sec-delay disabled=no \
    interface=br-lan lease-time=8h name=dhcp-pc
/queue simple
add disabled=yes max-limit=15M/15M name=Parent target=eth1-wan,eth1-wan
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name0-burst-limit-3M target=192.168.3.40/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name1-burst-limit-3M target=192.168.3.54/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name2-burst-limit-3M target=192.168.3.53/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name3-burst-limit-3M target=192.168.3.52/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name4-burst-limit-3M target=192.168.3.58/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name5-burst-limit-3M target=192.168.3.44/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name6-burst-limit-3M target=192.168.3.46/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name7-burst-limit-3M target=192.168.3.48/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name8-burst-limit-3M target=192.168.3.49/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name9-burst-limit-3M target=192.168.3.60/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name10-burst-limit-3M target=192.168.3.61/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name11-burst-limit-3M target=192.168.3.63/32
add burst-limit=15M/15M burst-threshold=2M/2M burst-time=48s/48s disabled=yes \
    max-limit=3M/3M name=name12-burst-limit-3M target=192.168.3.64/32
add disabled=yes limit-at=5M/5M max-limit=15M/15M name=Local parent=Parent \
    queue=pcq-upload-default/pcq-download-default target=br-lan,br-lan
/interface bridge port
add bridge=br-lan comment=defconf interface=wlan1
add bridge=br-lan comment=defconf interface=wlan2
add bridge=br-lan interface=eth5-lan
/ip address
add address=00.00.00.00/00 interface=eth1-wan network=00.00.00.00
add address=192.168.3.1/24 interface=br-lan network=192.168.3.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    eth1-wan
add dhcp-options=hostname,clientid disabled=no
/ip dhcp-server lease
add address=192.168.3.177 client-id=1:0:16:17:51:9b:6 mac-address=\
    00:00:00:00:00:00 server=dhcp-pc
/ip dhcp-server network
add address=192.168.3.0/24 dns-server=192.168.3.1 gateway=192.168.3.1 \
    netmask=24 ntp-server=192.168.3.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.4.4,8.8.8.8
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="Accept established,related" \
    connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input connection-state=invalid src-address-list=""
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment=Winbox in-interface=eth1-wan
# lte1 not ready
add action=drop chain=input in-interface=*9
add action=accept chain=forward comment="Accept All for user" \
    src-address=192.168.3.177
add action=accept chain=forward comment="Accept ICMP" in-interface=br-lan \
    out-interface=eth1-wan protocol=icmp
# lte1 not ready
add action=accept chain=forward in-interface=br-lan out-interface=*9 \
    protocol=icmp
add action=accept chain=forward comment="Accept UDP" connection-state=new \
    dst-port=5060-5061,10000-20000,36600-39999,53,123 in-interface=br-lan \
    out-interface=eth1-wan protocol=udp
add action=accept chain=forward in-interface=br-lan out-interface=eth1-wan \
    protocol=udp
# lte1 not ready
add action=accept chain=forward connection-state=new dst-port=\
    5060-5061,10000-20000,36600-39999,53,123 in-interface=br-lan \
    out-interface=*9 protocol=udp
# lte1 not ready
add action=accept chain=forward in-interface=br-lan out-interface=*9 \
    protocol=udp
add action=accept chain=forward comment="Accept TCP" connection-state=new \
    dst-port=80,443,25,995,993,465,587,110,143,3389,8000,8291,22,1935,5060 \
    in-interface=br-lan out-interface=eth1-wan protocol=tcp
# lte1 not ready
add action=accept chain=forward connection-state=new dst-port=\
    80,443,25,995,993,465,587,110,143,3389,8000,8291,22,1935,5060 \
    in-interface=br-lan out-interface=*9 protocol=tcp
add action=accept chain=forward dst-port=\
    1022-1040,1194,8000,8888,9002,9005,9101,9998,9999,16383-16385 \
    in-interface=br-lan out-interface=eth1-wan protocol=tcp
# lte1 not ready
add action=accept chain=forward dst-port=\
    1022-1040,1194,8000,8888,9002,9005,9101,9998,9999,16383-16385 \
    in-interface=br-lan out-interface=*9 protocol=tcp
add action=accept chain=forward dst-port=9090-9091,9000 in-interface=br-lan \
    out-interface=eth1-wan protocol=tcp
# lte1 not ready
add action=accept chain=forward dst-port=9090-9091,9000 in-interface=br-lan \
    out-interface=*9 protocol=tcp
add action=drop chain=forward in-interface=br-lan
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" src-address=\
    192.168.3.0/24
/ip route
add check-gateway=ping distance=1 gateway=00.00.00.00
add distance=2 gateway=*9
/ip traffic-flow
set enabled=yes
/ip traffic-flow target
add dst-address=192.168.3.40 port=3001 version=5
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=00.00.00.00 secondary-ntp=00.00.00.00
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=br-lan
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=br-lan

[Vlad-2]

Пару замечаний/советов

1) когда я вижу такое "comment=defconf" - это означает что на уже заводскую конфигурацию
наложили свою, это практически на 50% может давать глюки и проблемы.
Поэтому совет не простой, это очистить роутер, и руками в ручном режими
создать конфигурацию без всяких визардов Quick Setup и без пре-конфигурации.

2) Теперь ещё по конфигурации:
а зачем созданному бриджу мак стоит такой:
/interface bridge
add admin-mac=00:00:00:00:00:00 auto-mac=no comment=defconf name=br-lan
Считаю что вроде это не совсем корректная запись?! А Вы как думаете?
(вернуть бриджу мак нормальный)

3) зачем такой адрес задаёте?
/ip address
add address=00.00.00.00/00 interface=eth1-wan network=00.00.00.00
Я не удивлюсь если роутеру может быть плохо, не проверял,да и не хочу.
И я не понял как Вы выходите в Интернет? Если через ether1 то какой всё же адрес?
Или нули тут как псевдоадресация?

4) Что за LTE1 фигурирует у Вас? подключали что-то? пробовали?

5) опять же бардак в DHCP:
/ip dhcp-server network
add address=192.168.3.0/24 dns-server=192.168.3.1 gateway=192.168.3.1 \
netmask=24 ntp-server=192.168.3.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
У Вас описаны две сети, Ваше это 3.0/24 и 88.0/24 (дефолтная), вот дефолтную
надо убрать, а то у Вас там мусор.

5.1) бардак и с ДНС'ом
/ip dns static
add address=192.168.88.1 name=router
это настройки дефолтные, к текущим адресам не применимы получается.

6) советую 5й порт убрать из бриджа. Локальным сделать 3 или 4.
Скажем 4-й будет локальным (вместо 5).
а 3-й порт вытащить из бриджа(сделать независимым), воткнуть в него комп,
подключиться по МАК-адресу роутера и смотреть.
Если роутер виноват и сеть упадёт, то Вы поймёте это, если нет, то
разрыва сессии между 3й портом и компом не будет.

Также возможно что у Вас петля между 2 и 3м свитчом, микротик петлю не видит,
но свитч(и) видят и включают защиту (включают отключение) порта(ов) на свитчах,
и связь до микротика падает. Что в логах всех свитчей ????

Ну и естественно проверьте питание, кабеля на всякий случай.

[aleksandr.tregub]

Благодарю, за развернутый ответ.

1) Да, всё верно.

2) Это я специально поменял, перед выкладыванием сюда, видимо зря.

3) Тоже менял, дабы не палить адрес.

4) Был подключен модем 4G, как резервный канал. Сейчас его нет.

5) Не обратил внимание что он есть, убрал.

6) Убрал. Объединил в бридж 4-й порт и вай-фай адаптеры. Пока проблем не было, но и нагрузки на сеть сейчас нет, т.к. выходной.

Как я понимаю, если бы была петля, то независимо от того, что подключено на месте маршрутизатора, были бы проблемы. Сейчас же, проблемы наблюдаются только когда работает микротик с конфигурацией, которую я выложил выше. Мониторить логи возможно только у DGS 1500-28, и там всё чисто. Остальные два коммутатора не управляемые, и пытаться их мониторить у меня, если честно, нет желания.

Сейчас снова прошил череpз Netinstall и собрал минимально работающий конфиг, без QoS и вторых провайдеров. Посмотрю как будет работать:

Код: Выделить всё

# mar/31/2018 16:42:54 by RouterOS 6.40.6
# software id = FJCI-QAYK
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 71B106B6B77C
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment="WAN Port"
set [ find default-name=ether4 ] comment="LAN Port"
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
    distance=indoors hw-protection-mode=rts-cts mode=ap-bridge ssid=\
    TreeSolution tx-power-mode=all-rates-fixed wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce \
    country=russia disabled=no distance=indoors hw-protection-mode=rts-cts \
    mode=ap-bridge ssid="TreeSolution 5Ghz" tx-power-mode=all-rates-fixed \
    wireless-protocol=802.11 wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=********* \
    wpa2-pre-shared-key=********
/ip pool
add name=dhcp_pool0 ranges=192.168.3.150-192.168.3.235
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 lease-time=10h name=\
    dhcp1
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=wlan2
/ip address
add address=192.168.3.1/24 interface=bridge1 network=192.168.3.0
add address=**.**.**.**/** interface=ether1 network=**.**.**.**
/ip dhcp-server network
add address=192.168.3.0/24 dns-server=192.168.3.1 gateway=192.168.3.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="drop input connections from Internet" \
    in-interface=ether1
add action=accept chain=forward comment="accept all for user" src-address=\
    192.168.3.177
add action=accept chain=forward comment="accept icmp" in-interface=bridge1 \
    protocol=icmp
add action=accept chain=forward comment="accept udp" in-interface=bridge1 \
    out-interface=ether1 protocol=udp
add action=accept chain=forward comment="accept tcp" dst-port=\
    80,443,25,995,993,587,465,110,143,8000,1194,9000 in-interface=bridge1 \
    out-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=\
    1022-1050,8020,8888,9002,9005,9090-9091,9101,9998,9999 in-interface=bridge1 \
    out-interface=ether1 protocol=tcp
add action=drop chain=forward in-interface=bridge1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=**.**.**.**
/system clock
set time-zone-name=Europe/Moscow

[Vlad-2]

Ну уже конфиг почище и лучше даже выглядит!

5-й порт я обычно стараюсь не использовать, так как по нему подаётся питание и
не всегда другие устройства (свитчи, компы) правильно отрабатываются.
Поэтому я 5й порт в таких домашних роутерах оставляю в состоянии резерва (в бридж не добавляю).
Иногда 5й порт отключаю, или отключаю на нём сам режим РоЕ.

На счёт петель:
а) лучше зайти в каждый порт (в каждый etherX) и в настройках включить защиту от петель,
лишним не будет, я правда параметр отключение порта ставлю с 5 минут - на 2 минуты.
Заодно это настройка кроме защиты, ещё создаст запись в логах о петле, если всё же где-то возникла.
б) ну и вариант подключиться винбоксом по МАКу через отдельный порт - тоже остаётся в силе (хотя бы на будущее).

P.S. (лёгкий совет по тюнингу Wi-Fi)
в настройках вифи зачем Вы активируете все диапазоны (и B и G и так далее)? Это замедляет
работу вифи в целом для всех вифи клиентов. Поэтому выберите не такой большой список диапазонов.
Также почитайте, профиль russia2 обновлена и адаптивна для диапазона 2.4ггц, а для вифи на 5ггц - russia3.
Поставьте хотя бы G/N или даже N-only (на карте 2.4ггц) и AC-only на карте 5ггц и попробуйте.

Думаю 80% всех вифи клиентов будут работать как и работали, скорости слегка подрастут, и лишь 1-2 клиента
либо не смогут подключиться, либо не увидят вифи точку, тогда надо будет играться, возможно
выставить вместо N-only режим G/N (это если есть старые устройства).
А если есть современные и не бюджетные смартфоны/ноутбуки, то они будут более быстрее
работать с сетью уйдя на 5ггц(АС) диапазон, где обычно "тихо" и хорошо.

[aleksandr.tregub]

Первый день отработал без проблем. Уверен, дальше будет так же.

Про 5-й порт учту на будущее. Если честно не задумывался, что с ним могут быть какие-нибудь проблемы из-за PoE.

Настроил loop protect на портах, действительно в логах стали приходить сообщения о возможных петлях, но информации о том, что порт выключался не было.

ВиФи подстроил, как вы советовали. Разницы между тем что было и стало не заметил, но главное что хуже не стало, да и думаю что не будет.

Очень благодарю за подробные ответы. Благодаря им пришло больше понимания о том, как эта железка работает.

[Vlad-2]

Первый день отработал без проблем. Уверен, дальше будет так же.
Про 5-й порт учту на будущее. Если честно не задумывался, что с ним могут быть какие-нибудь проблемы из-за PoE.
Настроил loop protect на портах, действительно в логах стали приходить сообщения о возможных петлях, но информации о том, что порт выключался не было.
ВиФи подстроил, как вы советовали. Разницы между тем что было и стало не заметил, но главное что хуже не стало, да и думаю что не будет.
Очень благодарю за подробные ответы. Благодаря им пришло больше понимания о том, как эта железка работает.

Думаю проблемы в том, что у Вас реально есть петли в сети.
Микротик в логах синим пишет что петля, но если именно в момент сработки
посмотреть на интерфейс, то он будет помечен красным и красным будет написано.
Вот когда такая надпись - это значит что интерфейс микротиком отключён на какое-то
время, в логах об отключении записи нету, в логах просто синим что - петля!

Поэтому проверяйте сеть, ищите петли, ибо рано-поздно и в неожиданно-важный момент
петля будет серьёзной и неприятной.

На счёт ВиФИ - в окне Wireless в разных закладках, а именно по крайне мере в закладке Registration
можно видеть каждого клиента, смотреть его значения и канальные скорости в рамках ВиФИ.
Можете оставить только B/G и понаблюдать минут 10-20, потом поставить N-only и на тех
же МАКах посмотреть. Обычно канальные скорости растут. И многим это ой как Важно.
В любом случаи использовать адаптивные параметры - всегда лучше.

[anad]

DES/DGS очень любят дохнуть с образованием петли в себе .
Но если он рабочий, то и сам вполне ловит петли, только надо понимать что он отдельно ловит петлю за портом и петлю между своими портами.
При наличии железа с разитой фильтрацией и несколькими вланами опытный админ может автоматизировать создание петель в самый тривиальных ситуациях .

[o12k9ks]

/del

[podarok66]

И я бы всё-таки не исключал чего-то типа DNS flood. Прикрыть бы 53 порт снаружи...

[aleksandr.tregub]

Извинияюсь, что так долго "игнорил" форум. Есть время отвечать только по выходным.

Вы думаете что самый дешевый Микротик способен сожрать все и не поперхнуться?))) Скрины покажите что по rate packets и что по нагрузке на проц в часы пик. Я скорее удивлен как он вообще работает.

В данный момент он справляется, дальше посмотрим. Специально за нагрузкой не следил, но замечал утилизацию ЦПУ до 50%. Насколько это приемлемый показатель мне трудно судить, т.к. не с чем сравнивать. Могу сказать, что RT-N16, которому уже 6-7 лет, справляется с этой задачей. Но у него и функционала меньше.

По факту вы уверены что это железо обязано тянуть всю нагрузку вашей сети?

Нет не уверен, но пока оно справляется.

Что будет если 3-5 чела начнут качать торренты? Такая ситуая исключена?

Торренты исключены, специфика работы в офисе такая, что не до них. Да и не нужны они по факту, всё есть в интернете и доступно для просмотра онлайн.
Есть проблема с обновлениями на Windows 10, которые имеют свойство сами начинать скачиваться, даже если служба была отключена. Эту проблему я планирую закрыть с помощью QoS на каждую виндовую машину, и ограничить им скорость до 2-3 Мбит/с. Насколько это нагрузит микрот и справится ли он с этим, посмотрим.

Стресстесты делались?

Нет.

Какой инет от провайдера? Просто шнурок?

15 Мбит/с, просто шнурок. А какие есть варианты не шнурка?

падает ваше оборудование от нагрузки

Это возможно, т.к. не мониторил нагрузку специально. Это могло быть связано с неверно настроеной конфигурацией. В подтверждении этой версии может служить то, что эту неделю не было ни одного падения.

падает оборудование провайдера от нагрузки

Это врядли, хотя бы потому, что замена микротика на RT-N16 решала проблему.

трояны генерируют мусорный трафик на входи+выход от чего инет забивается и отваливается

За этим я стараюсь следить, да и виндовых машин, где с этим могут быть проблемы у нас немного. Трафик генерят скачиваемые обновления, в основном.

ps. я конечно жуткий извращенец, но по скринам вижу все намного лучше :( и неплохо бы видеть конфиги обоих микротиков

Если речь про скрины нагрузки в часы пик, то смогу выложить на след. неделе. Если интересуют какие-то другие, прошу уточнить какие. Микротик один. Его конфиг приложен выше и пока не менялся.

И я бы всё-таки не исключал чего-то типа DNS flood. Прикрыть бы 53 порт снаружи...

Сделаю. Благодарю за совет.