Не работает сеть (не пингуется шлюз)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Чисто от себя я бы новичкам дал бы такой совет:

1) изучаем микротик и пытаемся настроить его локально.
То есть, изучаем как пользоваться винбоксом, как создать бридж, как поместить/вытащить
туда нужные нам порты, как включить для нужных портов аппаратную разгрузку.
Правильно устанавливаем адресацию на интерфейсах, ну и всё в таком духе.
Это можно делать локально (микротик-ноутбук), ни кому не мешая и не ломая интернет
в доме, и не угрожая безопасности сети своей.

2) на чистом микротике пробуем научиться создавать подключения к интернету,
логику описать, понять работу сеансовых протоколов (рртд, л2тп и так далее) и прочее
прочее.

И уже набив руку, понимая что да как, делать в какой-то один прекрасный день
готовую конфигурацию, проверять её и уже заменять домашний роутер на микротик.

Для Suxo
1) Я Вам показываю очень маленький минимальный пример настройки файрвола у домашнего юзера
(как юристы говорят - "рыба", или скелет)
2) кроме картинки, я прилагаю код этого скелета-файрвола, который вы можете интегрировать и поиграться.

Изображение

Код: Выделить всё

/interface list
add comment="\C2\F1\E5 \E2\ED\E5\F8\ED\E8\E5 \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\FF \E8 \EF\EE\F0\F2\FB" name=list1-WAN-iface
/interface list member
add comment="WAN-port of RTK" interface=ether1 list=list1-WAN-iface
add comment="PPPoE, RTK (10Mbit/s)" interface=pppoe-out1-RTK list=list1-WAN-iface

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment=\
    "\D3\E1\E8\E2\E0\E5\EC \C8\CD\C2\C0\CB\C8\C4\CD\DB\C5 \EF\E0\EA\E5\F2\FB" \
    connection-state=invalid in-interface-list=list1-WAN-iface
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \EF\F3\F2\
    \FC \F3\F1\F2\E0\ED\EE\E2\EB\E5\ED\ED\FB\EC \E8 \EF\F0\EE\E4\EE\EB\E6\E5\
    \ED\ED\FB\EC \EF\E0\EA\E5\F2\E0\EC" connection-state=established,related
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC Multicast" \
    protocol=igmp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \EF\EE\F0\
    \F2 UDP \E4\EB\FF \CC\F3\EB\FC\F2\E8\EA\E0\F1\F2\E0" dst-port=2020 \
    protocol=udp
add action=drop chain=input comment="\C7\E0\F9\E8\F2\E0 \EE\F2 \F2\E5\F5 IP,\
    \EA\EE\F2\EE\F0\FB\E5 \F0\E0\ED\E5\E5 \F3\E6\E5 \ED\E0\F1 \E0\F2\E0\EA\EE\
    \E2\E0\EB\E8 (\E7\E0 24 \F7\E0\F1\E0)" in-interface-list=list1-WAN-iface \
    src-address-list=Attack-from-WAN
add action=jump chain=input comment=\
    "\C0\ED\E0\EB\E8\F2\E8\EA\E0 TCP \EF\EE\F0\F2\E0 53" dst-port=53 \
    in-interface-list=list1-WAN-iface jump-target=Block-DDoS-TCP protocol=tcp
add action=jump chain=input comment=\
    "\C0\ED\E0\EB\E8\F2\E8\EA\E0 UDP \EF\EE\F0\F2\E0 53" dst-port=53 \
    in-interface-list=list1-WAN-iface jump-target=Block-DDoS-UDP protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN \
    address-list-timeout=1d chain=Block-DDoS-TCP comment="\D1\EE\E1\E8\F0\E0\
    \E5\EC TCP-IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\
    \F1\EE\EA"
add action=add-src-to-address-list address-list=Attack-from-WAN \
    address-list-timeout=1d chain=Block-DDoS-UDP comment="\D1\EE\E1\E8\F0\E0\
    \E5\EC UDP-IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\
    \F1\EE\EA"
add action=drop chain=Block-DDoS-TCP comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\
    \F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\F3 TCP 53"
add action=drop chain=Block-DDoS-UDP comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\
    \F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\F3 UDP 53"
add action=jump chain=input comment=\
    "\C0\ED\E0\EB\E8\F2\E8\EA\E0 TCP \EF\EE\F0\F2\EE\E2 80 \E8 443" dst-port=\
    80,443 in-interface-list=list1-WAN-iface jump-target=WWW_Block_TCP_RLS \
    protocol=tcp
add action=jump chain=input comment=\
    "\C0\ED\E0\EB\E8\F2\E8\EA\E0 UDP \EF\EE\F0\F2\EE\E2 80 \E8 443" dst-port=\
    80,443 in-interface-list=list1-WAN-iface jump-target=WWW_Block_UDP_RLS \
    protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN \
    address-list-timeout=1d chain=WWW_Block_TCP_RLS comment="\D1\EE\E1\E8\F0\
    \E0\E5\EC TCP-IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\
    \E8\F1\EE\EA"
add action=add-src-to-address-list address-list=Attack-from-WAN \
    address-list-timeout=1d chain=WWW_Block_UDP_RLS comment="\D1\EE\E1\E8\F0\
    \E0\E5\EC UDP-IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\
    \E8\F1\EE\EA"
add action=drop chain=WWW_Block_TCP_RLS comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \
    \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\E0\EC TCP 80 \E8 443" protocol=tcp \
    src-address-list=Attack-from-WAN
add action=drop chain=WWW_Block_UDP_RLS comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \
    \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\E0\EC UDP 80 \E8 443" protocol=udp \
    src-address-list=Attack-from-WAN
Надеюсь Вам это поможет для старта...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Suxo
Сообщения: 7
Зарегистрирован: 23 ноя 2018, 23:02

Vlad-2 писал(а): 01 дек 2018, 13:13 Надеюсь Вам это поможет для старта...
Большое спасибо за совет. С п. 1 и п. 2 я уже более мене разобрался и с пониманием делаю настройку. Надо бы еще про маршрутиризацию поподробнее почитать.

Что касается вашего примера с правилами фаерволла. Выглядит, конечно, внушительно. Свои цепочки и джампы на них я еще не пробовал. Про igmp читал только в контексте стримов, когда изучал основы стека tcp/ip. Если я правильно понял, вы анализируете на предмет взлома (брутформа) трафик, приходящий на роутер на 54, 80 и 443 порты. Т.е. изначально вы разрешаете извне подключаться к роутеру по этим портам. Я преследую цель полностью отрезать возможность связи с роутером извне (new/invalid статус), а оставить только установленные и связанные, когда я инициирую соединение. Опять же, если я правильно понимаю, это обеспечит достаточный уровень безопасности при атаках извне.
В любом случае изучить рабочий конфиг более опытного человека интересно, спасибо за пример.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Suxo писал(а): 01 дек 2018, 14:00 Надо бы еще про маршрутиризацию поподробнее почитать.
А что про неё читать, дома всё просто, рррое или л2тп запустился, шлюз по-умолчанию появился.
В данном случаи дома всё просто (в стандартном моменте при стандартном подключении).
Suxo писал(а): 01 дек 2018, 14:00 Что касается вашего примера с правилами фаерволла. Выглядит, конечно, внушительно. Свои цепочки и джампы на них я еще не пробовал.
Домашний микротик лучше правилами не перебарщивать, обычно сам производитель делает тесты при 25 правил файрвола,
я лично для себя (при настройки домашних микротиков) стараюсь к этому числу и придерживаться.
Плюс минус конечно. А цепочки и JAMP позволяют частично сократить рад однотипных правил.
Suxo писал(а): 01 дек 2018, 14:00 Если я правильно понял, вы анализируете на предмет взлома (брутформа) трафик, приходящий на роутер на 54, 80 и 443 порты.
Да, но точнее не 54 порт, а 53, и если кто-то атаковал нас по 53,80 и 443 портам - то сразу в адрес-лист заношу и полная блокировка к микротику на сутки.
Suxo писал(а): 01 дек 2018, 14:00 Т.е. изначально вы разрешаете извне подключаться к роутеру по этим портам.
А тут спорно звучит. ПОРТ считается открытым, когда его кто-то слушает.
53й порт - да, у микротика в домашней сети я юзаю ДНС-микротика как кеширующий, соответственно
порт 53 светиться на всех интерфейсах, значит тут уже порт открыт и надо явно закрывать,
поэтому анализ, и действие.
Если Вы можете или позволяют обстоятельства не использовать ДНС на микротике (а я повторюсь,
мы рассматриваем домашний микротик, то есть где есть грубо говоря 1-2 компа и 2-3 мобильных устройства,
и у нас нет серверов и прочего), то использовать порт 53 и сервис ДНС на микротике мне приходиться.
Дома у себя и в организации я этого на микротике не использую.
Suxo писал(а): 01 дек 2018, 14:00 Я преследую цель полностью отрезать возможность связи с роутером извне (new/invalid статус), а оставить только установленные и связанные, когда я инициирую соединение. Опять же, если я правильно понимаю, это обеспечит достаточный уровень безопасности при атаках извне.
задумка хорошая, главное аккуратно и не испортить Интернет/связь полностью.
Suxo писал(а): 01 дек 2018, 14:00 В любом случае изучить рабочий конфиг более опытного человека интересно, спасибо за пример.
Хочу предостеречь, это типа минимума, это начальный класс, поэтому поначалу пойдёт, это работает,
а дальше уже как кому хочется.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Suxo
Сообщения: 7
Зарегистрирован: 23 ноя 2018, 23:02

Vlad-2 писал(а): 01 дек 2018, 14:26 А что про неё читать, дома всё просто, рррое или л2тп запустился, шлюз по-умолчанию появился.
В данном случаи дома всё просто (в стандартном моменте при стандартном подключении).
Видимо, у меня как раз один из нестандартных случаев. Провайдер (ТТК) организовал сеть таким образом, что доступ в локалку провайдера доступен только при выключенном pptp, если не прописан маршрут. Какой маршрут нужно прописать я знаю, но пока разбираюсь как это работает.
Vlad-2 писал(а): 01 дек 2018, 14:26 А тут спорно звучит. ПОРТ считается открытым, когда его кто-то слушает.
53й порт - да, у микротика в домашней сети я юзаю ДНС-микротика как кеширующий, соответственно
порт 53 светиться на всех интерфейсах, значит тут уже порт открыт и надо явно закрывать,
поэтому анализ, и действие.
Если Вы можете или позволяют обстоятельства не использовать ДНС на микротике (а я повторюсь,
мы рассматриваем домашний микротик, то есть где есть грубо говоря 1-2 компа и 2-3 мобильных устройства,
и у нас нет серверов и прочего), то использовать порт 53 и сервис ДНС на микротике мне приходиться.
Дома у себя и в организации я этого на микротике не использую.
Вот как. Из моей локалки по скану портов роутера dns в списках открытых не значится. В любом случае использую настройки днс на конечных устройствах. Можно будет, наверное, отключить в роутере.
Vlad-2 писал(а): 01 дек 2018, 14:26 задумка хорошая, главное аккуратно и не испортить Интернет/связь полностью.
Пока все, тьфу-тьфу, работает. По мере дальнейшего изучения материала буду изменять их.
Еще раз спасибо за советы.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Suxo писал(а): 01 дек 2018, 20:39 Видимо, у меня как раз один из нестандартных случаев. Провайдер (ТТК) организовал сеть таким образом, что доступ в локалку провайдера доступен только при выключенном pptp, если не прописан маршрут. Какой маршрут нужно прописать я знаю, но пока разбираюсь как это работает.
Вряд-ли.
Просто Вы ещё не все основы поняли или приняли. Двойной доступ ещё был лет 7 назад во многих роутерах.
Назывался DualAccess. Сущность проста: у Вас есть физический интерфейс (порт) - на нём ставится/назначается
адрес, который позволяет попасть чисто в сеть провайдера, и этот же адрес позволяет работать в сети
локальной провайдера + поднимать уже pptp/l2tp/и так далее для доступа в Интернет.

Теперь смотрите, на физ.порту адрес есть, осталось Вам прописать маршрутизацию, то есть
Вы должны показать роутеру, что если надо дойти до локальной сети прова (указывается сеть с маской)
в таблице маршрутизации - и в качестве шлюза указываете и шлюз и/или интерфейс (в данном случаи физ.порт).
Тем самым именно это сеть пойдёт по новому пути, а не пойдёт по-умолчанию в Интернет-соединение.

И последнее, так как Вы маршрутизацию сделали, надо ещё сделать так, чтобы запросы от локальных компов
дома при выходе в локальную сеть провайдера - НАТился их трафик от адреса на физ.порту, поэтому
создаёте правила НАТ, указываете все данные, и это правило должно быть выше (первее) чем НАТ
для Интернета.
(кратко, обобщённо, но поверьте, это просто всё, хотя у меня и нет ТТК, но думаю провайдеры по России примерно все одинаковы).
Suxo писал(а): 01 дек 2018, 20:39 Вот как. Из моей локалки по скану портов роутера dns в списках открытых не значится. В любом случае использую настройки днс на конечных устройствах. Можно будет, наверное, отключить в роутере.
Или я не так прочитал и понял Вас или Вы меня.
1) ДНС клиентам (компам, ноутбукам, телефонам) ДНС-служба нужна обязательно.
2) Задавать IP ДНС внешние, да ещё и на каждом устройстве - слегка считаю не правильная практика.
3) Поэтому лучше использовать ДНС в микротике, микротик часть запросов будет кешировать в памяти.
4) Так как ДНС в микротике при включении "слушает" запросы на всех портах, и интерфейсах, где
стоит (задан) айпи адрес, надо закрывать файрволом запросы на ДНС микротика для внешних
сетей, чтобы Вас не заДДоСили чужие.
Вот и всё.
В организациях обычно делают внутри локальной сети ДНС-сервер и естественно на микротике
ДНС-службу не используют.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vladislav.granovskiy
Сообщения: 25
Зарегистрирован: 25 июл 2018, 21:12

у меня чуть другая реализация 53 порта
add action=accept chain=input comment=------DNS------ protocol=udp src-port=53
add action=accept chain=input protocol=tcp src-port=53
сервер времени (если вдруг кому надо)
add action=accept chain=input comment=\
"\F1\E5\F0\E2\E5\F0 \E2\F0\E5\EC\E5\ED\E8" dst-port=37,123 protocol=udp


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

vladislav.granovskiy писал(а): 02 дек 2018, 16:17 у меня чуть другая реализация 53 порта
add action=accept chain=input comment=------DNS------ protocol=udp src-port=53
add action=accept chain=input protocol=tcp src-port=53
сервер времени (если вдруг кому надо)
add action=accept chain=input comment=\
"\F1\E5\F0\E2\E5\F0 \E2\F0\E5\EC\E5\ED\E8" dst-port=37,123 protocol=udp
Вы явно описали открытие UDP порта на 53 порту и всё?
1) Смысл? По умолчанию это итак открыто
2) Ваши правила смысла не имеют, если только Вы явно потом всё не запрещаете?
3) Опять же - надо закрывать 53 порт для внешних/наружных/сеансовых интерфейсов и протоколов.

На счёт сервера времени, тоже также всё, доступ лучше давать локальной сети,
чтобы компы, устройства мобильные могли лишний раз синхронизироваться.
Естественно, чтобы всё это работало, надо по DHCP отдавать сервер времени,
а также и сам сервер времени (ставиться отдельным пакетом) установить на роутер.

NB:
Так что прошу Вас - vladislav.granovskiy советовать лишь те советы, которые были
у Вас уже на практике. Пока что Ваши советы достаточно опасны (извините за прямоту).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vladislav.granovskiy
Сообщения: 25
Зарегистрирован: 25 июл 2018, 21:12

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

vladislav.granovskiy писал(а): 03 дек 2018, 21:38 Изображение
Зачем??? Зачем Вы открываете ДНС вашего микротика всем??????????

Может там у Вас есть адрес-листы и/или привязки к каким-то группам?
Я не вижу их(не отображаются эти столбцы), и для меня эти правила в Вашем микротике - опасны.

Уточните словами, почему Вы так делаете?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vladislav.granovskiy
Сообщения: 25
Зарегистрирован: 25 июл 2018, 21:12

Изображение
где он открыт для всех мне так и не понятно
Уважаемый ГУРУ теска, мне интересна подробнее ваша схема защиты 80 порта (скринами если можно)


Ответить