Mikrotik RB4011iGS+5HacQ2HnD-IN не раздает интернет в локальную сеть
Добавлено: 14 мар 2019, 20:33
Приветствую.
Несколько лет жил у меня роутер Mikrotik hapAC. Где-то месяц назад приобрел Mikrotik RB4011iGS+5HacQ2HnD-IN. Из коробки прошивка была 6.43.7, обновил до последней на момент покупки 6.43.8 и стал настраивать.
Настраивал по скрипту сделанному из настроек hapAC. Естественно скрипт выполнял только по кускам и только для статичных данных, типа привязки MAC к IP для DHCP. Всё настроил, всё работало, прошил недавно 6.44, эта же проблема осталась на 6.44.1, и столкнулся с глюком следующего плана:
На роутере есть интернет, пинги из консоли нормально проходят куда надо, NTP синхронизируется, OpenVPN тоннель для обхода РКН c поднятом состоянии. Но ни на одном ПК или телефоне подключенном как по проводу, так и по WI-FI абсолютно нет доступа в глобальную сеть. Локальная сеть при этом работает. Не проходит ничего, даже ping 8.8.8.8. Лечится перезагрузкой роутера. Что это вообще может быть и как?
Из настроек:
eth1 подключен к оптическому конвертеру от Ростелеком, и поднят PPPoE тоннель. Конвертер Ростелекома просто в режиме Bridge. IP внешний, статический вижу на интерфейсе PPoE. Все остальные порты в Bridge.
Настроен постоянный коннект к личной VPS по OpenVPN для обхода РКН. Сам обход сделан через пометку трафика в Mangle и заворачивание этого трафика в интерфейс VPN-а.
Настроен WI-FI 2.4 и 5ГГЦ, так же настроены гостевые сети 2.4 и 5ГГц с другой подсетью и шейпером скорости.
Имеется 25 правил в Firewall и 12 правил в NAT. В Firewall в основном, чтобы открыть нужные порты для NAT + Port Knoking для того, чтобы можно было рулить роутером и сервером, стоящим за роутером из удаленного места.
Настроен 6to4 Tunnel через Hurricane Electric.
И самое для меня сложное (в смысле дольше всего настраивал): Настроен отдельный DNS сервер на Raspberry PI, который ходит на 1.1.1.1/1.0.0.1 по DNS over HTTPS и резолвит адреса. На Mikrotik-e DNS сервер прописан как моя Малина и в Firewall запрещен исходящий трафик на 53 порт и по TCP и по UDP.
Логи роутера пишутся на отдельный компьютер через SysLog сервер. При наступлении описанного выше бага в логах нет ничего подозрительного, только Яндекс станция начинает пытаться переподключиться к WI-FI, это у неё всегда так, когда интернета нет. Но это на совести разработчиков от яндекса.
Да, роутер питается через оригинальный Mikrotikовский POE injector. Модель RBGPOE.
Еще есть Watchdog, который пингует сам себя, на случай зависона роутера и скрипт, который тут был на форуме, который запускается каждые 5 минут, проверяет ping на гугл, яндекс, мэйл ру, и перезагружает роутер при отсутствии ping-а от 2-х из 3-х адресов. Но это не помогает, т.к. на роутере интернет в наличии.
Вроде всё описал. Подскажите, в какую сторону хоть копать, если кто сталкивался с подобным.
Несколько лет жил у меня роутер Mikrotik hapAC. Где-то месяц назад приобрел Mikrotik RB4011iGS+5HacQ2HnD-IN. Из коробки прошивка была 6.43.7, обновил до последней на момент покупки 6.43.8 и стал настраивать.
Настраивал по скрипту сделанному из настроек hapAC. Естественно скрипт выполнял только по кускам и только для статичных данных, типа привязки MAC к IP для DHCP. Всё настроил, всё работало, прошил недавно 6.44, эта же проблема осталась на 6.44.1, и столкнулся с глюком следующего плана:
На роутере есть интернет, пинги из консоли нормально проходят куда надо, NTP синхронизируется, OpenVPN тоннель для обхода РКН c поднятом состоянии. Но ни на одном ПК или телефоне подключенном как по проводу, так и по WI-FI абсолютно нет доступа в глобальную сеть. Локальная сеть при этом работает. Не проходит ничего, даже ping 8.8.8.8. Лечится перезагрузкой роутера. Что это вообще может быть и как?
Из настроек:
eth1 подключен к оптическому конвертеру от Ростелеком, и поднят PPPoE тоннель. Конвертер Ростелекома просто в режиме Bridge. IP внешний, статический вижу на интерфейсе PPoE. Все остальные порты в Bridge.
Настроен постоянный коннект к личной VPS по OpenVPN для обхода РКН. Сам обход сделан через пометку трафика в Mangle и заворачивание этого трафика в интерфейс VPN-а.
Настроен WI-FI 2.4 и 5ГГЦ, так же настроены гостевые сети 2.4 и 5ГГц с другой подсетью и шейпером скорости.
Имеется 25 правил в Firewall и 12 правил в NAT. В Firewall в основном, чтобы открыть нужные порты для NAT + Port Knoking для того, чтобы можно было рулить роутером и сервером, стоящим за роутером из удаленного места.
Настроен 6to4 Tunnel через Hurricane Electric.
И самое для меня сложное (в смысле дольше всего настраивал): Настроен отдельный DNS сервер на Raspberry PI, который ходит на 1.1.1.1/1.0.0.1 по DNS over HTTPS и резолвит адреса. На Mikrotik-e DNS сервер прописан как моя Малина и в Firewall запрещен исходящий трафик на 53 порт и по TCP и по UDP.
Логи роутера пишутся на отдельный компьютер через SysLog сервер. При наступлении описанного выше бага в логах нет ничего подозрительного, только Яндекс станция начинает пытаться переподключиться к WI-FI, это у неё всегда так, когда интернета нет. Но это на совести разработчиков от яндекса.
Да, роутер питается через оригинальный Mikrotikовский POE injector. Модель RBGPOE.
Еще есть Watchdog, который пингует сам себя, на случай зависона роутера и скрипт, который тут был на форуме, который запускается каждые 5 минут, проверяет ping на гугл, яндекс, мэйл ру, и перезагружает роутер при отсутствии ping-а от 2-х из 3-х адресов. Но это не помогает, т.к. на роутере интернет в наличии.
Вроде всё описал. Подскажите, в какую сторону хоть копать, если кто сталкивался с подобным.