omen писал(а): ↑14 фев 2019, 16:11
Мой полнейший конфиг:
/interface bridge
add fast-forward=no name="bridge lan" protocol-mode=none
В названии бриджа уберите пробел.
omen писал(а): ↑14 фев 2019, 16:11
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=eth1:MTS
А зачем Вы тронули параметр arp? Да ещё и на провайдерском порту?
Вот уже это может минимум 45-55% быть виной. Провайдер на своём
порту видит Ваши маки (локальные) и может блокировать порт.
omen писал(а): ↑14 фев 2019, 16:11
/interface pptp-client
add connect-to=xxx.xxx.xxx.xxx disabled=no name=freenet password=*** user=***
Ваш роутер ещё и сервером является.....
omen писал(а): ↑14 фев 2019, 16:11
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n hide-ssid=yes mode=ap-bridge name="wlan1 (2.4Ghz)" security-profile=*** ssid=***
set [ find default-name=wlan2 ] band=5ghz-onlyn hide-ssid=yes mode=ap-bridge name="wlan2 (5Ghz)" security-profile=*** ssid=***
Скажите зачем Вам старые бэнды? зачем сразу и b/g/n использовать. Ставьте G/N или лучше N-only, скорость выше будет.
Так же справедливо и для 5ггц, зачем работать в N-, когда 5ггц должно работать в AC-only
Почитайте....стандарты.
omen писал(а): ↑14 фев 2019, 16:11
/ip neighbor discovery-settings
set discover-interface-list=all
Вот тут не надо чтобы роутер о себе рассказывал во все стороны, в том числе и в сторону провайдера.
(не важно, но лучше себя не анансировать, провайдеры не любят)
omen писал(а): ↑14 фев 2019, 16:11
/ip dhcp-server network
add address=192.168.1.0/27 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=10.6.100.1,85.117.68.1
А вот тут смотрите, Вы настроили DHCP, но он отдаёт лишь адрес и шлюз, DNS'ы компам не отдаёт,
но Вы включили галочку - использовать ДНС в микротике...
Всё равно что купить пива, но не пить его.
Зайдите в настройки DHCP, вторая закладка, и донастройки, чтобы DHCP выдавал DNS и в качестве
их должен быть адрес локальный микротика. Я вообще удивлён как Вы работаете, хотя скорее всего
на компе прописали ДНСы Гугла или Яндекса.
omen писал(а): ↑14 фев 2019, 16:11
/ip firewall filter
add action=accept chain=forward comment="allow lan" src-address=192.168.1.0/27
add action=accept chain=input src-address=192.168.1.0/29
Так маска /29 или всё же /27 ?????
Опять же, файрвол вообще надо пересмотреть....
omen писал(а): ↑14 фев 2019, 16:11
/ip firewall mangle
add action=mark-connection chain=input in-interface=eth1:MTS new-connection-mark=mts_in passthrough=no src-address-list="!LAN mts"
add action=mark-routing chain=output connection-mark=mts_in dst-address-list="!LAN mts" new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=forward in-interface=eth1:MTS new-connection-mark=mts_in_f passthrough=no src-address-list=\
"!LAN mts"
add action=mark-routing chain=prerouting connection-mark=mts_in_f dst-address-list="!LAN mts" in-interface="bridge lan" \
new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=input in-interface=lte1 new-connection-mark=modem_in passthrough=no
add action=mark-routing chain=output connection-mark=modem_in new-routing-mark=modem_route passthrough=no
add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=modem_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=modem_in_f in-interface="bridge lan" new-routing-mark=modem_route \
passthrough=no
add action=mark-connection chain=input in-interface=freenet new-connection-mark=freenet_in passthrough=no
add action=mark-routing chain=output connection-mark=freenet_in new-routing-mark=freenet_route passthrough=no
add action=mark-connection chain=forward in-interface=freenet new-connection-mark=freenet_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=freenet_in_f in-interface="bridge lan" new-routing-mark=freenet_route \
passthrough=no
Тут мне не нравиться порядок, OUTPUT должен идти после Форварда и Прероутинга.
Да и в марк-коннекшинах я у себя (посмотрите мой пример)..я принимаю любой трафик с первого провайдера (с порта его),
а Вы строите логику по маске с ещё и с отрицанием.... Не говорю что это так нельзя, я же не микротик...не могу весь код в голове прокрутить....но мне такая конструкция не понятно пока до конца...
Я принимаю пакеты с первого провайдера (с его интерфейса) цепочка INPUT, и даю им метку, я принимаю
пакеты также с первого провайдера (с его интерфейса) цепочка Форвард, и также даю им метку
потом прероутингом Форвардные пакеты направляю в указанную таблицу маршрутов, а
уже ответные пакеты направляю в цепочку OUTPUT
И опять же, посмотрите мой пример, последовательность этих 4-х правил важна.
omen писал(а): ↑14 фев 2019, 16:11
/ip firewall nat
По НАТУ скажу так...полный хаус....согласно диаграмме прохождения пакетов внутри роутера,
сначала делается DST-NAT (это dst и netmap) и лишь потом маскарайдинг.
Поэтому для логики и для красоты.....сначала пробросы вверх, а в самый низ уже маскарадинг.
И второе тут: зачем то Вы используете DST-NAT то NETMAP - остановитесь на одном уж.
И третье тут:
add action=masquerade chain=srcnat dst-address=192.168.1.3 dst-port=666 protocol=tcp src-address=192.168.1.0/27
Смысл этого правила у Вас ?
Я прочитал так, что надо сделать маскарад, если локальная вся сеть начнёт обращаться на адрес 1.3 и на порт 666,
только адрес 1.3 попадает в 0.1/27, а значит (если я других хитростей не увидел), такой пакет напрямую с любого компа
придёт сразу на 1.3 и роутер никак не сможет его изменить...
Да, я могу ошибаться..но я пока вижу Холостое правило...которое ничего не делает....
omen писал(а): ↑14 фев 2019, 16:11
/ip route
add distance=1 gateway=eth1:MTS routing-mark=mts_route
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
add distance=1 gateway=freenet routing-mark=freenet_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=eth1:MTS
add distance=3 gateway=freenet
Третью сеть добавили?
И всё же напомните = шлюз у МТСа = постоянный адрес?
Почему не прописали шлюз по адресу указав адрес шлюза, а используете порт ?
omen писал(а): ↑14 фев 2019, 16:11
add distance=5 dst-address=10.0.0.0/13 gateway=freenet
add distance=5 dst-address=10.203.0.0/16 gateway=eth1:MTS
add distance=5 dst-address=10.204.0.0/16 gateway=eth1:MTS
Обычные маршруты...зачем им дистанс 5 ? Вот если один и тот же маршрут
ссылался на МТС и на 4Г, тогда его надо было два раза описать...в одном
дистанция была больше, в другом меньше...а так ...странно...но не запрещено!
omen писал(а): ↑14 фев 2019, 16:11
/system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT-7
Вы в Канаде живёте?
Вроде по Евразии у нас везде GMT c плюсом идёт.
omen писал(а): ↑14 фев 2019, 16:11
По скриншотам подскажите какие окна нужны - сделаю..
Таблица маршрутов нужна...я её не могу понять по Вашим выкладкам.
omen писал(а): ↑14 фев 2019, 16:11
И спасибо что помогаете вообще)
Пока не за что.