mikrotik rb3011uias проблема в работе.

[Vinzah]

Добрый день! Имею провайдера МГТС и оптику домой, далее PON в режиме моста далее mikrotik rb3011uias - Интернет через VLAN - далее пользователи.
По инструкции сделал все настройки Два моста 1 для VLAN c DHCP клиентом в сторону провайдера, второй мост LAN для обьединение интерфейсов локальной сети, с DHCP сервером, еще на 6 и 7 порту висит сервер с агрегацией каналов (LACP) - он тоже обьединен в бридж LAN - все работает но стоит отключить физически один PC- пропадает интернет везде!
Вот снятый лог! Конфигурация очень простая в NAT только маскарад и проброс FTP портов к серверу! Помогите куда рыть?
[vinzah@MikroTik] > export compact
# mar/23/2019 18:20:06 by RouterOS 6.44.1
# software id = PUQ3-WISW
#
# model = RouterBOARD 3011UiAS
# serial number = 8EED09E89169
/interface bridge
add name=bridge_LAN
add name=bridge_WAN
/interface ethernet
set [ find default-name=ether1 ] loop-protect=on
set [ find default-name=ether2 ] loop-protect=on
set [ find default-name=ether3 ] loop-protect=on
set [ find default-name=ether4 ] loop-protect=on
set [ find default-name=ether5 ] loop-protect=on
set [ find default-name=ether7 ] mac-address=B8:69:F4:98:EF:01
set [ find default-name=ether8 ] loop-protect=on
/interface vlan
add interface=ether1 mtu=1492 name=vlan_WAN vlan-id=3
/interface bonding
add mode=802.3ad name=bonding_NAS slaves=ether6,ether7
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-LAN ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=pool-LAN disabled=no interface=bridge_LAN name=server_LAN
/interface bridge port
add bridge=bridge_LAN interface=ether1
add bridge=bridge_LAN interface=ether2
add bridge=bridge_LAN interface=ether3
add bridge=bridge_LAN interface=ether4
add bridge=bridge_LAN interface=ether5
add bridge=bridge_WAN interface=vlan_WAN
add bridge=bridge_LAN interface=bonding_NAS
add bridge=bridge_LAN interface=ether8
/ip address
add address=192.168.1.1/24 interface=bridge_LAN network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge_WAN
/ip dhcp-server lease
add address=192.168.1.251 client-id=1:b4:2e:99:24:a2:be mac-address=\
B4:2E:99:24:A2:BE server=server_LAN
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=62.112.106.130,62.112.113.170,8.8.8.8 \
gateway=192.168.1.1 netmask=24 ntp-server=88.147.254.229,88.147.254.230
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge_WAN src-address=\
192.168.1.0/24
add action=netmap chain=dstnat dst-address=xx.xxx.xxx.xx dst-port=21 \
in-interface=bridge_WAN protocol=tcp to-addresses=192.168.1.251 to-ports=21
add action=netmap chain=dstnat dst-address=xx.xxx.xxx.xx dst-port=1024-65535 \
protocol=tcp to-addresses=192.168.1.251 to-ports=1024-65535
/ip route
add distance=1 gateway=91.77.160.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.229 \
server-dns-names=8.8.8.8
/tool graphing interface
add
/tool graphing queue
add
/tool graphing resource
add
[vinzah@MikroTik] >

[Vinzah]

При выключении одного PC (ether 2) на другом стал следить за поведением роутера линки на 1,2,3 порту падают и поднимаются, опять падают и поднимаются, - включаю компьютер все опять налаживается!
ЧУДЕСА!

[Vlad-2]

1-й вопрос: если у Вас вилан на порту и Вы этот вилан далее никуда не передаёте,
зачем бридж_WAN Вы сделали? Это лишний слой абстракции, но здесь он не нужен.
Уберите бридж_WAN, вилан перенесети на порт1 и в DHCP Client замените там
бридж на вилан-интерфейс, и он будет сразу получать адрес и будет обычным интерфейсом.
В НАТ правилах тоже надо будет убрать где было явно указано bridge_WAN поменять на вилан.

2) на счёт бондинга, тут Вы не совсем правильно сделали и думаю в этом проблема,
да, можно бондинг делать в состав бриджа и делаем, но у Вас другая схема,
Вы делаете LACP, это ближе работа к уровню сети L2, поэтому бондинг должен быть
ниже (раньше) бриджа (если грубо так словами сказать) (вся сеть).

Я даже не знаю как в Вашей ситуации сделать, у меня используется бонгдинг,
но у меня на микротике взяты два порта, сделан бондинг и уже он добавлен
в бридж, то есть у меня вся сеть приходит через бондинг на роутер.

Вы же хотите сделать чисто для НАСа, но сеть то у Вас одна, пока лишь как быстрый вариант, я вижу
так: создаётся два лан-бриджа, один с портами сети(для компов) и отдельный лан-бридж
для наса, туда в этот бридж подключаете бондинг-интерфейс.
То есть "физика" НАСа живёт/приходит на один БРИДЖ, "физика" сети домашней приходит/живёт
на другом Бридже. Роутер между собой их свяжет.
Не знаю, пробовать надо, но интересно...

[Vlad-2]

Ещё проблема (не увидел я сразу):

ПЕРВЫЙ порт = на нём настроен вилан для Интернета, и он же входит в состав Локального Бриджа!
=== ВОПРОС === Зачем?
Уберите срочно порт1 с локального бриджа.

Провайдер может ещё из-за этого Вам Интернет и блокировать,
видя "грязь" на порту.

[Vinzah]

Vlad-2 Спасибо сейчас попробую выкинуть бондинг из моста!
По поводу VLAN сейчас так же попробую все поправить! Отпишусь о результате!
Спасибо за скорую помощь!!!
Первый порт я обычно исключал из бриджа, подключил что бы проверить морду PONа так как он иногда слетает из режима моста поднимая свой VLAN и включая NAT!!!

[Vinzah]

Лаги и падения линка вылечил следуя вашему совету - удалил бридж WAN и DHCP клиент на прямую на VLAN - с бондингом буду разбираться дальше но даже сейчас все работает все пингуется и летает УРА! В планах настроить NAT и FIREWALL защититься от подбора паролей на FTP! СПАСИБО!!!

Вот правленный конфиг
[vinzah@MikroTik] > export compact
# mar/23/2019 19:34:47 by RouterOS 6.44.1
# software id = PUQ3-WISW
#
# model = RouterBOARD 3011UiAS
# serial number = 8EED09E89169
/interface bridge
add name=bridge_LAN
/interface ethernet
set [ find default-name=ether1 ] loop-protect=on
set [ find default-name=ether2 ] loop-protect=on
set [ find default-name=ether3 ] loop-protect=on
set [ find default-name=ether4 ] loop-protect=on
set [ find default-name=ether5 ] loop-protect=on
set [ find default-name=ether7 ] mac-address=B8:69:F4:98:EF:01
set [ find default-name=ether8 ] loop-protect=on
/interface vlan
add interface=ether1 mtu=1492 name=vlan_WAN vlan-id=3
/interface bonding
add mode=802.3ad name=bonding_NAS slaves=ether6,ether7
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-LAN ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=pool-LAN disabled=no interface=bridge_LAN name=server_LAN
/interface bridge port
add bridge=bridge_LAN interface=ether2
add bridge=bridge_LAN interface=ether3
add bridge=bridge_LAN interface=ether4
add bridge=bridge_LAN interface=ether5
add bridge=bridge_LAN interface=bonding_NAS
add bridge=bridge_LAN interface=ether8
/ip address
add address=192.168.1.1/24 interface=bridge_LAN network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=vlan_WAN
/ip dhcp-server lease
add address=192.168.1.251 client-id=1:b4:2e:99:24:a2:be mac-address=\
B4:2E:99:24:A2:BE server=server_LAN
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=62.112.106.130,62.112.113.170,8.8.8.8 \
gateway=192.168.1.1 netmask=24 ntp-server=88.147.254.229,88.147.254.230
/ip firewall nat
add action=masquerade chain=srcnat out-interface=vlan_WAN src-address=\
192.168.1.0/24
add action=netmap chain=dstnat dst-address=xx.xxx.xx.xx dst-port=21 \
in-interface=vlan_WAN protocol=tcp to-addresses=192.168.1.251 to-ports=21
add action=netmap chain=dstnat dst-address=xx.xxx.xxx.xx dst-port=1024-65535 \
in-interface=vlan_WAN protocol=tcp to-addresses=192.168.1.251 to-ports=\
1024-65535
/ip route
add distance=1 gateway=91.77.160.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.229 \
server-dns-names=8.8.8.8
/tool graphing interface
add
/tool graphing queue
add
/tool graphing resource
add
[vinzah@MikroTik] >

[Vlad-2]

Я рад что получилось, я даже думаю и основываясь на втором Вашем сообщении,
где у Вас всё сразу отключалось, думаю в этом проблема.
И на счёт неправильности подключения бондинга, я скорее всего был не прав.

Теперь предлагаю заняться "косметикой":

1) У РБ3011 две группы портов, (это группа с 1-по-5 и с 6-по-10). Любой трафик (даже локальный),
с порта первой группы, до любого порта второй группы и наоборот пойдёт через процессор Роутера.
Поэтому иногда надо планировать для повышения производительности как использовать порты.
Предлагаю:
а) 1-й порт (который используется под провайдера) перенести на 9й порт. Переносим порт только,
то есть, в настройках вилана указываем, работать не на 1-м порту, а на 9-м порту. И переключаем
физически потом провод с 1-ого в 9-й разъём. Интернет должен пере-подключиться.
Так как адрес и НАТ сделаны на вилане-интерфейсе, а мы его не трогали, менять нигде более ничего не надо.
б) 10-й порт не трогаем, на нём питание, вдруг в будущем понадобиться. Поэтому советую пока его не использовать.

2) Мы освободили 1-й порт и теперь в локальный бридж у нас идут 1,2 и 3-й порты, 4-и-5 -Внимание,
я предлагаю сделать для НАСа, почему, как я написал выше, любой трафик между группами = программный,
значит компьютеры по текущей Вашей схеме будут данные с НАСа(порт 6 и 7) тянуть уже "программно" и нагружая роутер.
Поэтому из бриджа убираем порт4 и порт5, идём в настройки Бондинга, и там меняем, что в Бондинг входит
порт4 и порт5, провода с портов 6 и 7 перетыкаем в 4-и-5 соответственно. Проверяем что Бондинг в Бридже.
Всё: компьютер(ы) у нас идут в 1-й или 2-й или 3-й порты, НАС задействован на 4м и 5м портах. Всё вместе
сидят на одной группе портов (на 1-й группе). Трафик такой должен идти с максимальной производительностью,
так как это локальный трафик.
Ещё надо для проверки: щёлкнуть слева по окну Bridge, в появившемся окне настроек Бриджей, зайди на вторую закладку
Ports и убедиться, что на против как минимум портов 1,2 и 3 стоит флаг "Н".
И да, я помню что У Вас по конфигурации был 8-й порт ещё в локальном бридже, Вы можете добавлять порты в локальный
бридж, но должны понимать, что скорость взаимодействия порта в бридже который находиться в другой логической
группе - будет соразмерно ниже, поэтому как я и писал выше, надо продумывать тип подключения.
Если есть принтер, можно его засунуть в освободившиеся порты 6, 7 и так далее...Но рекомендую первые порты
использовать, подключить в первые порты самые основные потребители, и так далее...

3) Теперь по доступу к РОНу. С такой штукой я не работал, нет у нас, нам оптику провайдеры ведут
на дом, а в квартиру по витой паре. НО вспоминая xDSL-модемы, я также делал (как и Вы), я имею
ввиду - подключался к модему чтобы увидеть, вышел он на связь и так далее.
Поэтому мой совет будет обобщённый, но думаю правильный в плане технического решения.
И поэтому сами его перенесёте с учётом Вашего РОНа.
Итак, чтобы не дёргать и не химичать, не вводить внешний интерфейс в локальный бридж, не "замыкать",
сеть, мы должны сделать отдельную маленькую сеть чисто для доступа к РОНу и уже пользоваться всегда,
без перетыканий, и когда захочется, поэтому:
а) берём сеть скажем 192.168.30.0/30 (это сеть на 2 адреса, то есть у Вас будет 30.1 и 30.2 адреса)
б) временно и в последний раз Вы подключаете РОН к компу, заходите на него и задаёте ему адрес
скажем 192.168.30.2, главное сохранить и проверить что адрес у РОНа сохранился.
в) берём наш порт 9 (интернетовский, опять же даю пояснение, у Вас трафик, Интернет идёт по вилану,
туда влезать не надо, но сам порт 9 - это физика, поэтому надо порту 9 задать адрес 192.168.30.1/30
г) что мы сделали = мы сделали маленькую сетку между физикой РОНа и физикой роутера(на внешнем порту).
д) я не знаю, если пинги работают на РОНе или пинг на РОН не закрыты, Вы с роутера (подчёркиваю, ТОЛЬКО
пока с роутера) открыв на роутере пинг = должны уже пропинговать его по новому адресу 30.2
е) теперь надо понять почему пока РОН ещё не доступен с нашей сети локальный: обычно "тупые" железки
(я рассматриваю РОН как тупой xDSL свитч) которые не имеют понятие шлюза, значит они не умеют работать
с сетями, а точнее с маршрутами, значит когда Вы из локальной сети будете пытаться его пингануть,
то пакет идёт с 192.168.1.ххх и приходит на РОН на 30.2, но как я написал выше, РОН не знает куда отдавать
ответы, поэтому осталось сделать хитрость: надо сделать "маленькое" узкое правило НАТ, которое будет
нас скрывать, а РОН будет думать что мы идёт к нему из сети 30.0/30 и с адреса роутера 30.1
Поэтому задайте правило НАТ что если идёт запрос с сети 192.168.1.0/24 и идёт на 192.168.30.0/30 то
сделать src-nat от адреса 192.168.30.1, и это правило, так как оно "узкое" точное надо поставить выше
основного правило Маскарайдинга для Интернета.
ж) (А ВДРУГ) если всё же РОН умное устройство и у него в настройках есть понятие шлюза, то укажите шлюз
192.168.30.1 и попробуйте пока без маленького узкого правила НАТ.
После этого, при удачном решении = Вы сможете на РОН заходить с любого компьютера Вашей локальной сети
всегда, ничего при этом заранее не подключать, не втыкать и т.д.

Фу...
Ну как-то так...

P.S.
Настройте правильно Loop Protect для портов.

[Vinzah]

Спасибо большое! прошло почти 2 года стабильной работы! Но как бы смешно не звучало падение линков вернулось! Я даже пере прошил роутер с помощью NETINSTAL! Линки все равно падают! Изменил схему подключения исключил VLAN исключит BONDING... Линки падают! Все максимально упростил минимум правил! Линки все равно падают! Начинаю подозревать что это железка на аппаратном уровне чудит!

[Vinzah]

Моя конфигурация!

Код: Выделить всё

# jan/17/2021 12:25:40 by RouterOS 6.48
# software id = PUQ3-WISW
#
# model = RouterBOARD 3011UiAS
# serial number = 8EED09E89169
/interface bridge
add admin-mac=B8:69:F4:98:EE:FC auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip kid-control
add fri=8h-1d1h mon=8h-23h59m name=MATVEY sat=8h-1d1h sun=8h-23h59m thu=\
    8h-23h59m tue=8h-23h59m wed=8h-23h59m
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
add address=91.77.161.60 interface=ether1 network=91.77.160.0
/ip dhcp-client
add dhcp-options=hostname disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.1.14 client-id=1:f4:6d:4:21:be:18 mac-address=\
    F4:6D:04:21:BE:18 server=defconf
add address=192.168.1.10 client-id=1:fc:3:9f:ac:80:a1 mac-address=\
    FC:03:9F:AC:80:A1 server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=ether1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip kid-control device
add mac-address=70:85:C2:60:BA:11 name=Mat user=MATVEY
/ip route
add distance=1 gateway=91.77.160.1 pref-src=0.0.0.0
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=88.147.254.229 secondary-ntp=88.147.254.230
/system watchdog
set automatic-supout=no ping-start-after-boot=10m ping-timeout=4m \
    watch-address=8.8.8.8
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[xvo]

Вы случаем на 6.48 не обновлялись?

Вопрос снят: обновлялись.
Ну вот откатывайтесь обратно.
А в следующий раз, перед тем, как обновляться, лучше читайте на офф форуме, что и для каких железок новая версия ломает.