Не работает сеть (не пингуется шлюз)

[Suxo]

Здравствуйте. Первый раз настраиваю устройство. Не могу понять, где ошибся. Не пингуется шлюз провайдера, хотя все данные введены правильно. Подскажите, пожалуйста.

Код: Выделить всё

# Nova/23/2018 22:49:27 by RouterOS 6.43.4
# software id = 
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 
/interface bridge
add fast-forward=no name=bridge-lan
/ip photspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp-pool ranges=192.168.10.100-192.168.10.200
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge-lan lease-time=12h10m \
    name=dhcp-server
/interface pptp-client
add add-default-route=yes connect-to=*.*.*.243 name=PPTP password=\
    password profile=default user=login
/interface bridge port
add bridge=bridge-lan hw=no interface=ether2
add bridge=bridge-lan hw=no interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan hw=no interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=none
/ip address
add address=*.*.*.75/24 interface=ether1 network=*.*.*.0
add address=192.168.10.1/24 interface=bridge-lan network=192.168.10.0
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=208.67.222.222,208.67.222.220
/ip firewall filter
add chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80,8291,22 \
    in-interface=bridge-lan protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input connection-state=new protocol=udp src-address=\
    192.168.10.0/24 src-port=53,123
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!invalid connection-type=""
# PPTP not ready
add action=accept chain=forward connection-state=established,new in-interface=\
    bridge-lan out-interface=PPTP src-address=192.168.10.0/24
# PPTP not ready
add action=accept chain=forward connection-state=established,related \
    in-interface=PPTP out-interface=bridge-lan
add action=drop chain=forward
add action=drop chain=input
add action=drop chain=output
/ip firewall nat
# no interface
add action=masquerade chain=srcnat out-interface=PPTP src-address=192.168.10.0/24
/ip route
add check-gateway=ping distance=1 gateway=*.*.*.1
/system routerboard settings
set silent-boot=no

На пинг шлюза с роутера получаю time out'ы. Настройки точно правильные, т.к. при прямом подключении все работает. Фильтра по mac нет.

[vladislav.granovskiy]

add action=accept chain=input comment=------ICMP0------- icmp-options=0:0-255 \
protocol=icmp
add action=accept chain=input comment=------PING------ icmp-options=8:0-255 \
protocol=icmp

[Suxo]

add action=accept chain=input comment=------ICMP0------- icmp-options=0:0-255 \
protocol=icmp
add action=accept chain=input comment=------PING------ icmp-options=8:0-255 \
protocol=icmp

Не совсем понял, что вы предлагаете. У меня в цепочке входящих icmp и так разрешен.

Код: Выделить всё

add chain=input protocol=icmp

И отсутствие возможности пропинговать шлюз скорее последствие, а не причина. Вопрос в том, где я ошибся в настройке, и почему не могу подключиться к сети.

[podarok66]

Вы знаете, скорее всего с вами не будут общаться завсегдатаи. Только новички. И причина проста - Вы путаете причину и следствие. Количество правил в фаерволе, работа или не работа какого-то сервиса - следствие. А причина, отсутствие базовых знаний. Почитайте, как работает фаервол в Микротике, его базовые принципы. Посмотрите, как идут пакеты. И ответ окажется на поверхности. Оказывается вы запретили всё, но не разрешили нужное до этого.
Эта тема мусолится тут с момента создания форума. И большинство юзеров просто пролистывает подобное, как спам.

[vladislav.granovskiy]

человек даже особо не хочет пытать разобраться в этом...
что бы понять что не так отключите фаервол
после добавте основные правила
в самом низу дроп всего
создайте правило логов.
после этого станет понятно что блокируется.

[Suxo]

человек даже особо не хочет пытать разобраться в этом...
что бы понять что не так отключите фаервол
после добавте основные правила
в самом низу дроп всего
создайте правило логов.
после этого станет понятно что блокируется.

То, что я не хочу разобраться, это исключительно ваше, в данном случае некомпетентное, мнение. Я позавчера вообще не представлял, что и как. Я прочел несколько статей на хабрахабре из курса "Сети для самых маленьких". Я нашел два достаточно свежих руководства по настройке, которые мне подходят (там рассматривается случай с pptp). Я прочел несколько статей из wiki mikrotik. Все это вылилось в текущий конфиг. Да, он пока не работает как нужно и он не идеален, я не питаю иллюзий. Но я учусь. Сомневаюсь, что вы с первого дня все настроили правильно и жили счастливо. Так что не надо с больной головы на здоровую перекладывать.
А по поводу правил firewall. Я оставил только маскарадинг и разрешил вообще все во всех цепочках - итог тот же. Буду пробовал добавлять комментарии для отслеживания в логах причин.

[Suxo]

Вы знаете, скорее всего с вами не будут общаться завсегдатаи. Только новички. И причина проста - Вы путаете причину и следствие. Количество правил в фаерволе, работа или не работа какого-то сервиса - следствие. А причина, отсутствие базовых знаний. Почитайте, как работает фаервол в Микротике, его базовые принципы. Посмотрите, как идут пакеты. И ответ окажется на поверхности. Оказывается вы запретили всё, но не разрешили нужное до этого.
Эта тема мусолится тут с момента создания форума. И большинство юзеров просто пролистывает подобное, как спам.

В общем-то на ваше сообщение ответ тот же, что и на сообщение ниже. Не все с первого дня стали разбираться и уметь настраивать такую сложную систему. Я тоже сторонник более фундаментального подхода к изучению вопроса. Дело только в том, что применительно к микротик информация по настройке и устройству или представлена в виде готовых howto без особого пояснения, или представлена в wiki, где нужно знать, что искать и что читать, а знание, как ни странно, приходит уже с пониманием процесса, а где это понимание получить - не понятно, или в платных курсах с сертификатами от микротик, которые мне, как домашнему пользователю, не нужны вовсе. В итоге я перебиваюсь статьями с хабра и уже переваренной информацией от других людей. Если вы обладаете источником информации, который комплексно охватывает процесс устройства и настройки, пожалуйста, выложите ссылку. А лучше вообще тему с этой информацией закрепить.

[vladislav.granovskiy]

начните все сначало,
сбросьте все настройки
создайте бридж
создайте дшсп сервер
создайте подключение к инету
настройте нат
После этого всего все должно работать (если нет, то где то что то не так выше)
и только после этого настраивайте фаервол

[podarok66]

Так, хорошо. Если вы начинаете с нуля, ну так с нуля и начинайте. То есть в правилах фаервола только дефолтные правила плюс дроп на 53 порт на инпуте. Зачем там у вас дропы на форварде почти по всему диапазону портов и вдобавок аутпут дропнутый?
Я давно уже вожусь с этими чудесными железками. Так вот в home-секторе при настройке я чаще всего вообще оставляю established, related в аксцессе и дроп на 53 порт по tcp и по udp. Всё остальное только по дополнительному заказу и за отдельные деньги. И честно предупреждаю, что каждый мой вызов стоит денег (открыть порт, настроить работу какой-то программулины) Практически никому этот весь спектр оказывается не нужен. Ну за исключением параноиков, но тех не убеждать, тех лечить надо. Это к доктору.
Вот если самостоятельно настраиваете, предлагаю сделать в фаерволе то же самое. Три правила. Проверяем работоспособность соединения. Потом начинаем урезать до того самого предела, когда перестаёт работать что-то нужное.
А аутпут вы всё же откройте, хотя бы до окончания настроек. Последним будете этот чудной шаг совершать...

[Suxo]

vladislav.granovskiy, podarok66,

благодарю за советы. Прошу прощения что долго не отвечал, в будни некогда этим заниматься.
Итак, я заново начал настройку, как советовали. Сбросил все, удалил дефолтную конфигурацию. Провел основную настройку (bridge, dhcp server, address pool, pptp, некоторые советы отсюда) и включил в firewall только маскарадинг в nat без прочих условий. Соединение появилось.
Я еще почитал несколько статей по iptables и поправил свою прошлую конфигурацию:

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="[INPUT] Drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="[INPUT] Allow est, rel" \
    connection-state=established,related
add action=accept chain=input comment="[INPUT] Allow icmp" protocol=icmp
add action=accept chain=input comment="[INPUT] Allow not invalid from lan" \
    connection-state=!invalid src-address=192.168.77.0/24
add action=accept chain=forward comment=\
    "[FORWARD] Allow rel, est from pptp to lan" connection-state=\
    established,related in-interface=pptp1 out-interface=bridge-lan
add action=accept chain=forward comment=\
    "[FORWARD] Allow not invalid from lan to pptp" connection-state=!invalid \
    in-interface=bridge-lan out-interface=pptp1
add action=accept chain=forward comment=\
    "[FORWARD] Allow not invalid from lan to prov. lan" connection-state=\
    !invalid in-interface=bridge-lan out-interface=ether1
add action=accept chain=forward comment=\
    "[FORWARD] Allow est, rel from prov. lan to lan" connection-state=\
    established,related in-interface=ether1 out-interface=bridge-lan
add action=drop chain=input comment="[INPUT] Drop everything else"
add action=drop chain=forward comment="[FORWARD] Drop everything else" log=yes \
    log-prefix="[F drop]"
/ip firewall nat
add action=masquerade chain=srcnat

С такой конфигурацией все работает. Я написал везде комментарии в соответствии с тем, как понял, что я сделал. В итоге, я блокирую весь входящий на роутер трафик, кроме установленных и связанных соединений и icmp, из всех сетей, но разрешаю любые валидные подключение из моей локальной сети. Я разрешаю установленные и связанные соединения для транзица из локальной сети провайдера/интернета в мою локальную сеть и разрешаю любые валидные соединения для транзита из моей локальньной сети в локальную сеть провайдера/интернет. Все исходящие соединения роутера я пока оставил разрешенными, о целесообразности каких-либо правил я пока не читал. Все остальное запрещено. Было бы здорово получить ваше мнение о такой конфигурации для домашнего роутера. Заранее благодарен.