Маркировка трафика

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

omen писал(а): 14 фев 2019, 14:44 eth1:MTS - порт ethernet1, в него вставлен провод МТС :-): т.е. в правиле в качестве шлюза указан первый порт в который приходит МТС
Если в качестве шлюза указан именно порт, то считаю это не совсем корректно.
Если мы оперируем IP-сетями, шлюз (IP-адрес шлюза) должен быть явно указан (адресом).
Микротик позволяет выбрать порт, но микротик это модульный роутер, можно по-разному
сделать конфигурацию, но главное ещё и сетевые нормы соблюсти.
omen писал(а): 14 фев 2019, 14:44 Раньше у МТСа была подсеть 192.168.0.0\16 до того как они перешли на белые адреса, сейчас судя по сканированию сети там уже ничего не осталось, всего пара хостов непонятных, поэтому этот маршрут я удалил.
Ну такую сеть описывать на роутере не стоит, и смысла мало, и с Вашими сетями пересекаться может.
omen писал(а): 14 фев 2019, 14:44 Достоверно известно что в течении дня у МТСа полностью пропадает интернет на 5-10 секунд, где то на их шлюзе в интернет, т.к. локальная сеть городская полностью работает в этот момент.. такое происходит 3-5 раз за сутки.. это может быть причиной? Если да, то что можно сделать?
Полный конфиг скину после вашего ответа, пока подготовлю :-):
Ого, уже и условия : :sh_ok: :-)
Сложно утвердительно ответить, по идеи если пропадает у провайдера доступ к внешним сетям,
то влиять почти не должно на Вас, тем более что до рекурсивных маршрутов мы не дошли.
Так же поработайте через 4г-модем ТОЛЬКО, с этим провайдером как...? теряется с ним как-то или
в каком-то в виде связь?

А вообще чё гадать, полный конфиг, пароли, часть адресации прикрыть, но чтобы было понятно
где и что....и посмотрим уже......мне кажется Вы где-то перестарались в конфигурировании....
(а лучше ещё + пару скриншотов).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Vlad-2 писал(а): 14 фев 2019, 15:34 Так же поработайте через 4г-модем ТОЛЬКО, с этим провайдером как...? теряется с ним как-то или
в каком-то в виде связь?
С модемом никаких проблем, ничего нигде не теряется..

Мой полнейший конфиг:

Код: Выделить всё

# feb/14/2019 18:47:25 by RouterOS 6.42.12
# software id = IBPS-GXJH
#
# model = RouterBOARD 952Ui-5ac2nD
/interface lte
set [ find ] mac-address=0C:5B:8F:**:**:** name=lte1
/interface bridge
add fast-forward=no name="bridge lan" protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=eth1:MTS
/interface pptp-client
add connect-to=xxx.xxx.xxx.xxx disabled=no name=freenet password=*** user=***
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=*** supplicant-identity="" \
    wpa2-pre-shared-key=***
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=*** \
    supplicant-identity="" wpa-pre-shared-key=*** wpa2-pre-shared-key=***
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n hide-ssid=yes mode=ap-bridge name="wlan1 (2.4Ghz)" security-profile=*** ssid=***
set [ find default-name=wlan2 ] band=5ghz-onlyn hide-ssid=yes mode=ap-bridge name="wlan2 (5Ghz)" security-profile=*** ssid=***
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.30
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface="bridge lan" name=dhcp1
/port
set 0 baud-rate=9600 data-bits=8 flow-control=none name=usb1 parity=none stop-bits=1
/interface bridge port
add bridge="bridge lan" interface=ether2
add bridge="bridge lan" interface=ether3
add bridge="bridge lan" interface=ether4
add bridge="bridge lan" interface=ether5
add bridge="bridge lan" interface="wlan2 (5Ghz)"
add bridge="bridge lan" interface="wlan1 (2.4Ghz)"
/ip firewall connection tracking
set tcp-established-timeout=12h
/ip neighbor discovery-settings
set discover-interface-list=all
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.1.1/27 interface="bridge lan" network=192.168.1.0
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=eth1:MTS use-peer-dns=no
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=lte1 use-peer-dns=no
/ip dhcp-server network
add address=192.168.1.0/27 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=10.6.100.1,85.117.68.1
/ip firewall address-list
add address=10.203.0.0/16 list="LAN mts"
add address=10.204.0.0/16 list="LAN mts"
add address=85.117.64.0/19 list="LAN mts"
add address=91.186.96.0/19 list="LAN mts"
add address=91.229.74.0/23 list="LAN mts"
add address=95.129.144.0/21 list="LAN mts"
add address=213.128.0.0/19 list="LAN mts"
/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="allow established and related" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="allow ping" protocol=icmp
add action=accept chain=forward comment="allow lan" src-address=192.168.1.0/27
add action=accept chain=input src-address=192.168.1.0/29
add action=accept chain=forward comment="allow rdp" dst-port=3389 protocol=tcp
add action=accept chain=input comment=vpn dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=forward comment=games dst-port=27015-27037 protocol=tcp
add action=accept chain=forward comment=games dst-port=4380,27000-27036 protocol=udp
add action=accept chain=forward comment=hfs dst-port=666 protocol=tcp
add action=accept chain=forward comment=torrent dst-port=40666 protocol=tcp
add action=drop chain=forward
add action=drop chain=input comment="drop all"
/ip firewall mangle
add action=mark-connection chain=input in-interface=eth1:MTS new-connection-mark=mts_in passthrough=no src-address-list="!LAN mts"
add action=mark-routing chain=output connection-mark=mts_in dst-address-list="!LAN mts" new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=forward in-interface=eth1:MTS new-connection-mark=mts_in_f passthrough=no src-address-list=\
    "!LAN mts"
add action=mark-routing chain=prerouting connection-mark=mts_in_f dst-address-list="!LAN mts" in-interface="bridge lan" \
    new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=input in-interface=lte1 new-connection-mark=modem_in passthrough=no
add action=mark-routing chain=output connection-mark=modem_in new-routing-mark=modem_route passthrough=no
add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=modem_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=modem_in_f in-interface="bridge lan" new-routing-mark=modem_route \
    passthrough=no
add action=mark-connection chain=input in-interface=freenet new-connection-mark=freenet_in passthrough=no
add action=mark-routing chain=output connection-mark=freenet_in new-routing-mark=freenet_route passthrough=no
add action=mark-connection chain=forward in-interface=freenet new-connection-mark=freenet_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=freenet_in_f in-interface="bridge lan" new-routing-mark=freenet_route \
    passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat comment="nat mts" out-interface=eth1:MTS
add action=masquerade chain=srcnat comment="nat freenet" out-interface=freenet
add action=masquerade chain=srcnat comment="nat modem" out-interface=lte1
add action=dst-nat chain=dstnat dst-port=7777,27015 protocol=tcp to-addresses=192.168.1.3
add action=dst-nat chain=dstnat dst-port=7777,27015 protocol=udp to-addresses=192.168.1.3
add action=netmap chain=dstnat comment=rdp dst-port=4444 protocol=tcp to-addresses=192.168.1.3 to-ports=3389
add action=netmap chain=dstnat comment="games tcp" dst-port=27015-27037 protocol=tcp to-addresses=192.168.1.3
add action=netmap chain=dstnat comment="games udp" dst-port=4380,27000-27036 protocol=udp to-addresses=192.168.1.3
add action=dst-nat chain=dstnat comment=torrent dst-port=40666 protocol=tcp to-addresses=192.168.1.3
add action=dst-nat chain=dstnat comment="rdp2" dst-port=5555 in-interface=eth1:MTS protocol=tcp to-addresses=10.6.xxx.xxx \
    to-ports=3389
add action=netmap chain=dstnat comment=HFS dst-port=666 protocol=tcp to-addresses=192.168.1.3
add action=dst-nat chain=dstnat comment="iz lan na wan" dst-address=91.186.xxx.xxx dst-port=666 protocol=tcp src-address=\
    192.168.1.0/27 to-addresses=192.168.1.3
add action=masquerade chain=srcnat dst-address=192.168.1.3 dst-port=666 protocol=tcp src-address=192.168.1.0/27
/ip route
add distance=1 gateway=eth1:MTS routing-mark=mts_route
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
add distance=1 gateway=freenet routing-mark=freenet_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=eth1:MTS
add distance=3 gateway=freenet
add distance=5 dst-address=10.0.0.0/13 gateway=freenet
add distance=5 dst-address=10.203.0.0/16 gateway=eth1:MTS
add distance=5 dst-address=10.204.0.0/16 gateway=eth1:MTS
add distance=5 dst-address=85.117.64.0/19 gateway=eth1:MTS
add distance=5 dst-address=91.186.96.0/19 gateway=eth1:MTS
add distance=5 dst-address=91.229.74.0/23 gateway=eth1:MTS
add distance=5 dst-address=95.129.144.0/21 gateway=eth1:MTS
add distance=5 dst-address=192.169.0.0/24 gateway=freenet
add distance=5 dst-address=213.128.0.0/19 gateway=eth1:MTS
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=192.168.1.1 name=*** password=*** remote-address=192.168.1.10 service=pptp
add local-address=192.168.1.1 name=*** password=*** remote-address=192.168.1.11 service=pptp
add local-address=192.168.1.1 name=*** password=*** remote-address=192.168.1.12 service=pptp
/system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT-7
/system logging
add disabled=yes topics=pptp
/system ntp client
set enabled=yes primary-ntp=193.171.23.163 secondary-ntp=85.114.26.194
/system package update
set channel=long-term
/tool mac-server
set allowed-interface-list=none
/tool mac-server ping
set enabled=no
По скриншотам подскажите какие окна нужны - сделаю..
И спасибо что помогаете вообще)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

omen писал(а): 14 фев 2019, 16:11 Мой полнейший конфиг:
/interface bridge
add fast-forward=no name="bridge lan" protocol-mode=none
В названии бриджа уберите пробел.
omen писал(а): 14 фев 2019, 16:11 /interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=eth1:MTS
А зачем Вы тронули параметр arp? Да ещё и на провайдерском порту?
Вот уже это может минимум 45-55% быть виной. Провайдер на своём
порту видит Ваши маки (локальные) и может блокировать порт.
omen писал(а): 14 фев 2019, 16:11 /interface pptp-client
add connect-to=xxx.xxx.xxx.xxx disabled=no name=freenet password=*** user=***
Ваш роутер ещё и сервером является.....
omen писал(а): 14 фев 2019, 16:11 /interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n hide-ssid=yes mode=ap-bridge name="wlan1 (2.4Ghz)" security-profile=*** ssid=***
set [ find default-name=wlan2 ] band=5ghz-onlyn hide-ssid=yes mode=ap-bridge name="wlan2 (5Ghz)" security-profile=*** ssid=***
Скажите зачем Вам старые бэнды? зачем сразу и b/g/n использовать. Ставьте G/N или лучше N-only, скорость выше будет.
Так же справедливо и для 5ггц, зачем работать в N-, когда 5ггц должно работать в AC-only
Почитайте....стандарты.
omen писал(а): 14 фев 2019, 16:11 /ip neighbor discovery-settings
set discover-interface-list=all
Вот тут не надо чтобы роутер о себе рассказывал во все стороны, в том числе и в сторону провайдера.
(не важно, но лучше себя не анансировать, провайдеры не любят)
omen писал(а): 14 фев 2019, 16:11 /ip dhcp-server network
add address=192.168.1.0/27 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=10.6.100.1,85.117.68.1
А вот тут смотрите, Вы настроили DHCP, но он отдаёт лишь адрес и шлюз, DNS'ы компам не отдаёт,
но Вы включили галочку - использовать ДНС в микротике...
Всё равно что купить пива, но не пить его. :-)
Зайдите в настройки DHCP, вторая закладка, и донастройки, чтобы DHCP выдавал DNS и в качестве
их должен быть адрес локальный микротика. Я вообще удивлён как Вы работаете, хотя скорее всего
на компе прописали ДНСы Гугла или Яндекса.
omen писал(а): 14 фев 2019, 16:11 /ip firewall filter
add action=accept chain=forward comment="allow lan" src-address=192.168.1.0/27
add action=accept chain=input src-address=192.168.1.0/29
Так маска /29 или всё же /27 ?????
Опять же, файрвол вообще надо пересмотреть....
omen писал(а): 14 фев 2019, 16:11 /ip firewall mangle
add action=mark-connection chain=input in-interface=eth1:MTS new-connection-mark=mts_in passthrough=no src-address-list="!LAN mts"
add action=mark-routing chain=output connection-mark=mts_in dst-address-list="!LAN mts" new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=forward in-interface=eth1:MTS new-connection-mark=mts_in_f passthrough=no src-address-list=\
"!LAN mts"
add action=mark-routing chain=prerouting connection-mark=mts_in_f dst-address-list="!LAN mts" in-interface="bridge lan" \
new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=input in-interface=lte1 new-connection-mark=modem_in passthrough=no
add action=mark-routing chain=output connection-mark=modem_in new-routing-mark=modem_route passthrough=no
add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=modem_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=modem_in_f in-interface="bridge lan" new-routing-mark=modem_route \
passthrough=no
add action=mark-connection chain=input in-interface=freenet new-connection-mark=freenet_in passthrough=no
add action=mark-routing chain=output connection-mark=freenet_in new-routing-mark=freenet_route passthrough=no
add action=mark-connection chain=forward in-interface=freenet new-connection-mark=freenet_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=freenet_in_f in-interface="bridge lan" new-routing-mark=freenet_route \
passthrough=no
Тут мне не нравиться порядок, OUTPUT должен идти после Форварда и Прероутинга.
Да и в марк-коннекшинах я у себя (посмотрите мой пример)..я принимаю любой трафик с первого провайдера (с порта его),
а Вы строите логику по маске с ещё и с отрицанием.... Не говорю что это так нельзя, я же не микротик...не могу весь код в голове прокрутить....но мне такая конструкция не понятно пока до конца...

Я принимаю пакеты с первого провайдера (с его интерфейса) цепочка INPUT, и даю им метку, я принимаю
пакеты также с первого провайдера (с его интерфейса) цепочка Форвард, и также даю им метку
потом прероутингом Форвардные пакеты направляю в указанную таблицу маршрутов, а
уже ответные пакеты направляю в цепочку OUTPUT
И опять же, посмотрите мой пример, последовательность этих 4-х правил важна.

omen писал(а): 14 фев 2019, 16:11 /ip firewall nat
По НАТУ скажу так...полный хаус....согласно диаграмме прохождения пакетов внутри роутера,
сначала делается DST-NAT (это dst и netmap) и лишь потом маскарайдинг.
Поэтому для логики и для красоты.....сначала пробросы вверх, а в самый низ уже маскарадинг.
И второе тут: зачем то Вы используете DST-NAT то NETMAP - остановитесь на одном уж.
И третье тут:
add action=masquerade chain=srcnat dst-address=192.168.1.3 dst-port=666 protocol=tcp src-address=192.168.1.0/27
Смысл этого правила у Вас ?
Я прочитал так, что надо сделать маскарад, если локальная вся сеть начнёт обращаться на адрес 1.3 и на порт 666,
только адрес 1.3 попадает в 0.1/27, а значит (если я других хитростей не увидел), такой пакет напрямую с любого компа
придёт сразу на 1.3 и роутер никак не сможет его изменить...
Да, я могу ошибаться..но я пока вижу Холостое правило...которое ничего не делает....
omen писал(а): 14 фев 2019, 16:11 /ip route
add distance=1 gateway=eth1:MTS routing-mark=mts_route
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
add distance=1 gateway=freenet routing-mark=freenet_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=eth1:MTS
add distance=3 gateway=freenet
Третью сеть добавили?
И всё же напомните = шлюз у МТСа = постоянный адрес?
Почему не прописали шлюз по адресу указав адрес шлюза, а используете порт ?
omen писал(а): 14 фев 2019, 16:11 add distance=5 dst-address=10.0.0.0/13 gateway=freenet
add distance=5 dst-address=10.203.0.0/16 gateway=eth1:MTS
add distance=5 dst-address=10.204.0.0/16 gateway=eth1:MTS
Обычные маршруты...зачем им дистанс 5 ? Вот если один и тот же маршрут
ссылался на МТС и на 4Г, тогда его надо было два раза описать...в одном
дистанция была больше, в другом меньше...а так ...странно...но не запрещено!
omen писал(а): 14 фев 2019, 16:11 /system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT-7
Вы в Канаде живёте? :-)
Вроде по Евразии у нас везде GMT c плюсом идёт.
omen писал(а): 14 фев 2019, 16:11 По скриншотам подскажите какие окна нужны - сделаю..
Таблица маршрутов нужна...я её не могу понять по Вашим выкладкам.
omen писал(а): 14 фев 2019, 16:11 И спасибо что помогаете вообще)
Пока не за что.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Полный разнос :) я постараюсь ответить на большинство вопросов, как я это вижу, возможно я не прав :)
Vlad-2 писал(а): 14 фев 2019, 17:13
omen писал(а): 14 фев 2019, 16:11 /interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=eth1:MTS
А зачем Вы тронули параметр arp? Да ещё и на провайдерском порту?
Вот уже это может минимум 45-55% быть виной. Провайдер на своём
порту видит Ваши маки (локальные) и может блокировать порт.
Без proxy-arp не видно локальную сеть мтса если подключаться по VPN ко мне, если можно это сделать как-то по другому, подскажите пожалуйста.. так настроено давно еще до того как я подключил модем, каких-то блокировок со стороны мтс небыло..
omen писал(а): 14 фев 2019, 16:11 /interface pptp-client
add connect-to=xxx.xxx.xxx.xxx disabled=no name=freenet password=*** user=***
Ваш роутер ещё и сервером является.....
Написано pptp-client :) адрес сервера находится в локальной сети МТСа (85.117.х.х), использую для доступа в сеть другого местного провайдера ну и там есть чуть-чуть интернета на черный день)
omen писал(а): 14 фев 2019, 16:11 /interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n hide-ssid=yes mode=ap-bridge name="wlan1 (2.4Ghz)" security-profile=*** ssid=***
set [ find default-name=wlan2 ] band=5ghz-onlyn hide-ssid=yes mode=ap-bridge name="wlan2 (5Ghz)" security-profile=*** ssid=***
Скажите зачем Вам старые бэнды? зачем сразу и b/g/n использовать. Ставьте G/N или лучше N-only, скорость выше будет.
Так же справедливо и для 5ггц, зачем работать в N-, когда 5ггц должно работать в AC-only
Почитайте....стандарты.
Оба wi-fi выключены, я их не использую, поэтому не настроены :)
omen писал(а): 14 фев 2019, 16:11 /ip neighbor discovery-settings
set discover-interface-list=all
Вот тут не надо чтобы роутер о себе рассказывал во все стороны, в том числе и в сторону провайдера.
(не важно, но лучше себя не анансировать, провайдеры не любят)
Тут мне сказать нечего,можно и выключить анонсы)
omen писал(а): 14 фев 2019, 16:11 /ip dhcp-server network
add address=192.168.1.0/27 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=10.6.100.1,85.117.68.1
А вот тут смотрите, Вы настроили DHCP, но он отдаёт лишь адрес и шлюз, DNS'ы компам не отдаёт,
но Вы включили галочку - использовать ДНС в микротике...
Всё равно что купить пива, но не пить его. :-)
Зайдите в настройки DHCP, вторая закладка, и донастройки, чтобы DHCP выдавал DNS и в качестве
их должен быть адрес локальный микротика. Я вообще удивлён как Вы работаете, хотя скорее всего
на компе прописали ДНСы Гугла или Яндекса.
Как не странно днсы получаю, скриншот приложил :) Но опять же спасибо за совет, сделаю!
Изображение
omen писал(а): 14 фев 2019, 16:11 /ip firewall filter
add action=accept chain=forward comment="allow lan" src-address=192.168.1.0/27
add action=accept chain=input src-address=192.168.1.0/29
Так маска /29 или всё же /27 ?????
Опять же, файрвол вообще надо пересмотреть....
29 маска на input сделана не просто так, вы могли заметить что адреса для PPTP сервера я отдаю из своей подсети, после 10-го адреса..
адреса с 1.1 по 1.6 я использую сам и поэтому доступ непосредственно к роутеру оставил только для себя, что бы у клиентов впн сервера небыло соблазна, хоть и все люди как бы свои)
omen писал(а): 14 фев 2019, 16:11 /ip firewall mangle
add action=mark-connection chain=input in-interface=eth1:MTS new-connection-mark=mts_in passthrough=no src-address-list="!LAN mts"
add action=mark-routing chain=output connection-mark=mts_in dst-address-list="!LAN mts" new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=forward in-interface=eth1:MTS new-connection-mark=mts_in_f passthrough=no src-address-list=\
"!LAN mts"
add action=mark-routing chain=prerouting connection-mark=mts_in_f dst-address-list="!LAN mts" in-interface="bridge lan" \
new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=input in-interface=lte1 new-connection-mark=modem_in passthrough=no
add action=mark-routing chain=output connection-mark=modem_in new-routing-mark=modem_route passthrough=no
add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=modem_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=modem_in_f in-interface="bridge lan" new-routing-mark=modem_route \
passthrough=no
add action=mark-connection chain=input in-interface=freenet new-connection-mark=freenet_in passthrough=no
add action=mark-routing chain=output connection-mark=freenet_in new-routing-mark=freenet_route passthrough=no
add action=mark-connection chain=forward in-interface=freenet new-connection-mark=freenet_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=freenet_in_f in-interface="bridge lan" new-routing-mark=freenet_route \
passthrough=no
Тут мне не нравиться порядок, OUTPUT должен идти после Форварда и Прероутинга.
Да и в марк-коннекшинах я у себя (посмотрите мой пример)..я принимаю любой трафик с первого провайдера (с порта его),
а Вы строите логику по маске с ещё и с отрицанием.... Не говорю что это так нельзя, я же не микротик...не могу весь код в голове прокрутить....но мне такая конструкция не понятно пока до конца...

Я принимаю пакеты с первого провайдера (с его интерфейса) цепочка INPUT, и даю им метку, я принимаю
пакеты также с первого провайдера (с его интерфейса) цепочка Форвард, и также даю им метку
потом прероутингом Форвардные пакеты направляю в указанную таблицу маршрутов, а
уже ответные пакеты направляю в цепочку OUTPUT
И опять же, посмотрите мой пример, последовательность этих 4-х правил важна.
Просто я решил что нету смысла маркировать трафик который ходит внутри города, т.к. есть прямые маршруты, остальное - я вас понял, пересмотрю схему :)
omen писал(а): 14 фев 2019, 16:11 /ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.1.3 dst-port=666 protocol=tcp src-address=192.168.1.0/27
Смысл этого правила у Вас ?
Я прочитал так, что надо сделать маскарад, если локальная вся сеть начнёт обращаться на адрес 1.3 и на порт 666,
только адрес 1.3 попадает в 0.1/27, а значит (если я других хитростей не увидел), такой пакет напрямую с любого компа
придёт сразу на 1.3 и роутер никак не сможет его изменить...
Да, я могу ошибаться..но я пока вижу Холостое правило...которое ничего не делает....
Данное правило я почерпунул в данной статье (https://lantorg.com/article/kak-zajti-p ... a-mikrotik не реклама), что бы проверить доступность своего HFS сервера из локальной сети по внешнему адресу, в статье есть схема почему у меня ничего не получится если я не создам это правило)
omen писал(а): 14 фев 2019, 16:11 /ip route
add distance=1 gateway=eth1:MTS routing-mark=mts_route
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
add distance=1 gateway=freenet routing-mark=freenet_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=eth1:MTS
add distance=3 gateway=freenet
Третью сеть добавили?
И всё же напомните = шлюз у МТСа = постоянный адрес?
Почему не прописали шлюз по адресу указав адрес шлюза, а используете порт ?
Шлюз - постоянный адрес, 254-й в той же подсети что и мой ип, про freenet я выше написал :)
В рамках борьбы с проблемой доступности со стороны мтса, я пробовал указывать в правиле не интерфейс, а конкретный ип шлюза, разницы не заметил поэтому и вернул как было.. но если так будет правильнее, то поменяю снова на ип..
omen писал(а): 14 фев 2019, 16:11 /system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT-7
Вы в Канаде живёте? :-)
Вроде по Евразии у нас везде GMT c плюсом идёт.
Честно говоря незнаю почему так, ntp сервер правит мое время на нужное))
Таблица маршрутов нужна...я её не могу понять по Вашим выкладкам.
Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) не полный разнос, но считаю что сети (новые) пока не надо добавлять..надо разобраться с текущими задачами

2) прокси-арп и удалённое подключение = тоже отдельная тема, я против таких настроек (когда
используют прокса-арп), красиво надо делать = это отдельная IP-сеть для клиентов рртр, ни как не связанная
с локальной. Реально перемудрено, у меня юзер может подключиться куда захочет/куда укажу,
и будет видеть что надо, и будет выходить только и всегда через нужный канал, и меня выбивать не будет.

3) а можно в виде таблицы (условно) свести все данные про Ваши провайдеров,
там адрес, статика, и что у нас с 4г ? Не могу понять все Ваши подключения.

4) DHCP и DNS = я что увидел то и сказал, Ваш DHCP не отдаёт (по конфигу) DNS значения.
То что у Вас они стоят = мож руками Вы их прописали?
Так же не увидел аренды (времени адреса), и прочие пару важных параметров DHCP!?

5) если у Вас канал используется для глобала (интернет) (для Вас или для Ваших ВПН-щиков) = такой канал
надо маркировать.

6) NTP сервер даёт лишь клиенту таймкод, а часовой пояс, даже день недели, надо выставлять руками,
поэтому в System - Clock = там сделайте настройку часового пояса руками (галочку автоматом снять).

7) таблицу маршрутизации лучше делать как я говорил по IP, а не по портам (где возможно).

Ну и в целом, для закрепления:
а) сделать полностью мой пример
б) ощутить его
и уже на базе его доделать Ваши хотения.

В целом пока у меня смутная картина по Вашей конфигурации, (трудно всё сразу усвоить),
2 провайдера, серые сети, потом сервер доступа...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Vlad-2 писал(а): 14 фев 2019, 18:28 1) не полный разнос, но считаю что сети (новые) пока не надо добавлять..надо разобраться с текущими задачами

2) прокси-арп и удалённое подключение = тоже отдельная тема, я против таких настроек (когда
используют прокса-арп), красиво надо делать = это отдельная IP-сеть для клиентов рртр, ни как не связанная
с локальной. Реально перемудрено, у меня юзер может подключиться куда захочет/куда укажу,
и будет видеть что надо, и будет выходить только и всегда через нужный канал, и меня выбивать не будет.

3) а можно в виде таблицы (условно) свести все данные про Ваши провайдеров,
там адрес, статика, и что у нас с 4г ? Не могу понять все Ваши подключения.

4) DHCP и DNS = я что увидел то и сказал, Ваш DHCP не отдаёт (по конфигу) DNS значения.
То что у Вас они стоят = мож руками Вы их прописали?
Так же не увидел аренды (времени адреса), и прочие пару важных параметров DHCP!?

5) если у Вас канал используется для глобала (интернет) (для Вас или для Ваших ВПН-щиков) = такой канал
надо маркировать.

6) NTP сервер даёт лишь клиенту таймкод, а часовой пояс, даже день недели, надо выставлять руками,
поэтому в System - Clock = там сделайте настройку часового пояса руками (галочку автоматом снять).

7) таблицу маршрутизации лучше делать как я говорил по IP, а не по портам (где возможно).

Ну и в целом, для закрепления:
а) сделать полностью мой пример
б) ощутить его
и уже на базе его доделать Ваши хотения.

В целом пока у меня смутная картина по Вашей конфигурации, (трудно всё сразу усвоить),
2 провайдера, серые сети, потом сервер доступа...
Я вас понял :)
+прокси-арп пока выключил, для проверки вашего варианта с провайдером
+днс прописал, теперь вместо 3-х получаю один - адрес микротика, время аренды стоит дефолтное 10 минут, постоянные устройства зафиксированы со статическими адресами
+clock выставил
+шлюзы сменил с интерфейсов на ip адреса

пункт 5 не понял)

Подробности про провайдеров:
1) мтс, проводное подключение 100мбит, постоянный ип адрес получаемый по dhcp (насколько мне известно у провайдера адрес привязан к порту в который подключена моя квартира в подъездном коммутаторе ) (условно 91.186.1.66, шлюз 91.186.1.254)
2) 4g свисток, в режиме hilink, имеет свой dhcp, выдает мне адрес 192.168.8.100, сам имеет адрес 192.168.8.1
3) про freenet наверное нет смысла рассказывать, там большая цепочка устройств, прямого доступа от туда ко мне нету, адрес получаю там 192.169.х.х, шлюз 192.169.х.1, там меня интерисует лишь эта сеть 10.0.0.0/13

Займусь вашей статьей)


Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Добрый день!
В общем воссоздавал я вашу схему, она работает, но проблема та же, с интернета становится не видно спустя какое-то время..
Брал новую железку (хап какой-то) из коробки, минимальная конфигурация, чисто проверить - проблема осталась..
Нашел еще несколько ребят с точно такой же проблемой, тоже МТС.. опытным путем выяснили что когда кончается доступ, если пингануть что-то в интернете через шлюз МТСа, он снова становится доступным, есть предположение, что они так защищаются от паразитного трафика..
По итогу написал рекурсивный маршрут до яндекс днса,и включил check gateway, благодаря чему теперь каждые 10 секунд туда улетает 1 пинг и все работает)))
Спасибо за помощь, тему наверное можно удалить, т.к. по сути не имеет отношения к микротику, тут виноват провайдер :-):


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

omen писал(а): 19 фев 2019, 06:39 По итогу написал рекурсивный маршрут до яндекс днса,и включил check gateway, благодаря чему теперь каждые 10 секунд туда улетает 1 пинг и все работает)))
Спасибо за помощь, тему наверное можно удалить, т.к. по сути не имеет отношения к микротику, тут виноват провайдер :-):
Зачем удалять. Пусть знания, опыт останутся.

Тем более было подозрение сразу на Вашего провайдера, но я всё же думал,
ошибка в маршрутизации или как-то около этого.
А что провайдер, вообще ничего не ответил на такое ?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Vlad-2 писал(а): 19 фев 2019, 06:46
omen писал(а): 19 фев 2019, 06:39 По итогу написал рекурсивный маршрут до яндекс днса,и включил check gateway, благодаря чему теперь каждые 10 секунд туда улетает 1 пинг и все работает)))
Спасибо за помощь, тему наверное можно удалить, т.к. по сути не имеет отношения к микротику, тут виноват провайдер :-):
Зачем удалять. Пусть знания, опыт останутся.

Тем более было подозрение сразу на Вашего провайдера, но я всё же думал,
ошибка в маршрутизации или как-то около этого.
А что провайдер, вообще ничего не ответил на такое ?
Я даже пробовать звонить не буду.. у нас оптика в городе появилась в октябре 2017, и девочки на телефоне на любую проблему с интернетом отвечают что идет настройка оборудования у них (постоянно) т.к. волс в тестовом режиме.. :-)


Ответить