Почему не работает DLNA в RB4011iGS+5HacQ2HnD-IN

[MaxoDroid]

Всем доброго дня и иного времени суток!
Обращаюсь к вам за помощью.
Есть у меня NAS Synology, Smart TV Sony и TV – приставка на андроид Ugoos AM3. Настраивал я свой NAS Synology DS218Play и приставку Ugoos AM3 не дома и использовал корпоративный роутер MikroTik hAP (RB951). Вот его конфигурация:

Код: Выделить всё

# dec/02/2016 19:58:31 by RouterOS 6.37.3
# software id = XI1F-23B6
#
/interface bridge
add name=bridge protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
/ip neighbor discovery
set ether2 discover=no
set ether3 discover=no
set ether4 discover=no
set ether5 discover=no
set bridge discover=no
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=SWSPG02 \
    supplicant-identity="" wpa-pre-shared-key=5a94e608ec wpa2-pre-shared-key=\
    5a94e608ec
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge name=SWSPG02 \
    security-profile=SWSPG02 ssid=SWSPG02
/ip neighbor discovery
set SWSPG02 discover=no
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=portovaya ranges=10.10.146.10-10.10.146.30
/ip dhcp-server
add address-pool=portovaya disabled=no interface=bridge name=portovaya
/port
set 0 name=usb1
/interface ppp-client
add apn=internet.mts.ru dial-on-demand=no disabled=no info-channel=1 name=\
    usb-mts password=mts phone=*99# port=usb1 user=mts
/ip neighbor discovery
set usb-mts discover=no
/snmp community
add addresses=0.0.0.0/0 name=mordor
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=SWSPG02
/ip address
add address=10.10.146.62/26 interface=ether1 network=10.10.146.0
/ip dhcp-server network
add address=10.10.146.0/26 dns-server=8.8.8.8 gateway=10.10.146.62 netmask=26
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="Port scanners to list " \
    in-interface=usb-mts protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="dropping port scanners" \
    src-address-list="port scanners"
add action=accept chain=input comment="accept ICMP" protocol=icmp
add chain=input comment="Allow DNS from brigde" dst-port=53 in-interface=\
    !usb-mts protocol=udp
add chain=input comment="Allow DNS answers" in-interface=usb-mts protocol=udp \
    src-port=53
add action=accept chain=forward comment="accept established,related" \
    connection-state=established,related
add action=accept chain=forward comment="Accept from local to internet" \
    in-interface=!usb-mts out-interface=usb-mts
add action=drop chain=input comment="Drop invalid connections" \
    connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input in-interface=usb-mts
add action=accept chain=forward comment="Accept from local to internet" \
    in-interface=!usb-mts out-interface=usb-mts
add action=drop chain=forward comment="Drop all other forward" log-prefix=\
    dropall
/ip firewall nat
add action=masquerade chain=srcnat out-interface=usb-mts src-address=\
    10.10.146.0/26
/ip route
add check-gateway=ping distance=1 gateway=usb-mts
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=10.10.146.0/26
set api disabled=yes
set winbox address=10.10.146.0/26
set api-ssl disabled=yes
/snmp
set trap-community=mordor
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=85.114.26.194 secondary-ntp=85.21.78.8
/system routerboard settings
set cpu-frequency=650MHz init-delay=0s protected-routerboot=disabled

Суть в том, что через тот простой роутер без всяких проблем работал механизм DLNA. И все устройства видели файлы с хранилища. При этом в NAS Synology DS218Play сервер Мультимедиа установлен не был. Я не мог нарадоваться, как все чудно работает и для дома приобрел роутер той же фирмы - MikroTik RB4011iGS+5HacQ2HnD-IN, который настроил под себя:

Код: Выделить всё

# jun/04/2019 12:49:30 by RouterOS 6.44.3
# software id = 6RX7-Q1EM
#
# model = RB4011iGS+5HacQ2HnD
# serial number = XXXXXXXXXXX
/interface bridge
add admin-mac=XXXXXXXXXXXX auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no mode=ap-bridge ssid=MikroTik-39-5GHz \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-g/n basic-rates-b="" channel-width=\
    20/40mhz-XX disabled=no distance=indoors frequency=auto mode=ap-bridge \
    rate-set=configured ssid=MikroTik-39-2GHz supported-rates-b="" \
    wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface pppoe-client
add add-default-route=yes comment="MTC - Connection" disabled=no interface=\
    ether1-WAN name=pppoe-out1 password=XXXXXXX use-peer-dns=yes user=\
    XXXXXXXXXXXX
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=Val20Nik23 \
    wpa2-pre-shared-key=XXXXXXXX
/ip pool
add name=dhcp ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment="MTS-Internet Incomer" interface=ether1-WAN list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1-WAN
/ip dhcp-server lease
add address=192.168.88.8 client-id=1:78:24:af:c9:92:d8 comment=\
    "Maxim's LapTop" mac-address=78:24:AF:C9:92:D8 server=defconf
add address=192.168.88.2 client-id=1:0:11:32:8e:22:42 comment="NAS DS218Play" \
    mac-address=00:11:32:8E:22:42 server=defconf
add address=192.168.88.5 client-id=1:cc:98:8b:5:1:e comment="SONY TV" \
    mac-address=CC:98:8B:05:01:0E server=defconf
add address=192.168.88.4 client-id=1:20:18:e:e7:63:51 comment=\
    "UGOOS AM3 TV Box" mac-address=20:18:0E:E7:63:51 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=\
    8.8.8.8,8.8.4.4,77.88.8.8,77.88.8.1,82.200.69.80,84.200.70.40
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=fasttrack-connection chain=forward comment=\
    "0,1 fasttrack --------------------------------------- (defconf)" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "1.1 Forward and Input Established and Related connections" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "1.1.1 Accept established,related, untracked ---(defconf)" \
    connection-state=established,related,untracked
add action=drop chain=forward comment=\
    "1.2 ---------  drop invalid ------------------ (defconf)" \
    connection-state=invalid
add action=accept chain=input comment=\
    "1.3 ---------  accept established,related" connection-state=\
    established,related
add action=accept chain=input comment=\
    "1.4 ---------  accept established,related,untracked --- (defconf)" \
    connection-state=established,related,untracked
add action=drop chain=input comment=\
    "1.5 ---------  drop invalid ------------------ (defconf)" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "2.1 drop all from WAN not DSTNATed ----- (defconf)" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment="3.1 DDoS attack filter" \
    connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=tarpit chain=input comment="3.2 ---------  end of DDoS" \
    connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="4.1 DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input comment="4.2 ---------  ---------     SYN Flood" \
    connection-state=new in-interface-list=WAN jump-target=SYN-Protect \
    protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect comment=\
    "4.3 ---------  ---------     SYN Flood" connection-state=new limit=\
    200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect comment=\
    "4.4 ---------  end of    SYN Flood" connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="5.1 PSD \96 Port Scan Detection" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input comment=\
    "5.2 ---------  PSD" in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="6.1 WinBox Port LockOut protection" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List WinBox" \
    address-list-timeout=none-dynamic chain=input comment=\
    "6.2 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN log=yes log-prefix="BLACK WINBOX" \
    protocol=tcp src-address-list="WinBox Stage 3"
add action=add-src-to-address-list address-list="WinBox Stage 3" \
    address-list-timeout=1m chain=input comment=\
    "6.3 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=\
    "WinBox Stage 2"
add action=add-src-to-address-list address-list="WinBox Stage 2" \
    address-list-timeout=1m chain=input comment=\
    "6.4 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=\
    "WinBox Stage 1"
add action=add-src-to-address-list address-list="WinBox Stage 1" \
    address-list-timeout=1m chain=input comment=\
    "6.5 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "6.6 ---------  end of WinBox Protection" dst-port=8291 \
    in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="7.1 OpenVPN Port Connections protection" \
    src-address-list="Black List OpenVPN"
add action=add-src-to-address-list address-list="Black List OpenVPN" \
    address-list-timeout=none-dynamic chain=input comment=\
    "7.2 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN log=yes log-prefix="BLACK OVPN" \
    protocol=tcp src-address-list="OpenVPN Stage 3"
add action=add-src-to-address-list address-list="OpenVPN Stage 3" \
    address-list-timeout=1m chain=input comment=\
    "7.3 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list=\
    "OpenVPN Stage 2"
add action=add-src-to-address-list address-list="OpenVPN Stage 2" \
    address-list-timeout=1m chain=input comment=\
    "7.4 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list=\
    "OpenVPN Stage 1"
add action=add-src-to-address-list address-list="OpenVPN Stage 1" \
    address-list-timeout=1m chain=input comment=\
    "7.5 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "7.6 ---------  end of OpenVPN Protection" dst-port=1194 \
    in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "Accept ICMP ------------------------------ (defconf)" protocol=icmp
add action=accept chain=input comment="Accept ICMP --- With correct ping" \
    in-interface-list=WAN limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment=\
    "Drop all not coming from LAN ---- (defconf)" in-interface-list=!LAN
add action=accept chain=forward comment=\
    "Accept in ipsec policy -------------- (defconf)" ipsec-policy=in,ipsec
add action=accept chain=forward comment=\
    "Accept out ipsec policy ------------ (defconf)" ipsec-policy=out,ipsec
/ip firewall nat
add action=masquerade chain=srcnat comment="masquerade ------- (defconf)" \
    disabled=yes ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=Masquerade ipsec-policy=out,none \
    out-interface-list=WAN src-address=192.168.88.0/24
add action=netmap chain=dstnat comment="FTP, FTP SSL, FTP" dst-port=20 in-interface=\
    ether1-WAN protocol=tcp to-addresses=192.168.88.2 to-ports=20
add action=netmap chain=dstnat comment="FTP, FTP SSL, FTP  TLS" dst-port=21 in-interface=\
    ether1-WAN protocol=tcp to-addresses=192.168.88.2 to-ports=21
add action=netmap chain=dstnat comment="Photo Station, Web Station, DS photo, Mail Station (HTTP)" dst-port=80 in-interface=\
    ether1-WAN protocol=tcp to-addresses=192.168.88.2 to-ports=80
add action=netmap chain=dstnat comment=\
    "Photo Station, Web Station,  DS photo, Mail Station, (HTTPS)" dst-port=\
    443 in-interface=ether1-WAN protocol=tcp to-addresses=192.168.88.2 \
    to-ports=443
add action=netmap chain=dstnat comment="rsync" \
    dst-port=873 in-interface=ether1-WAN protocol=tcp to-addresses=\
    192.168.88.2 to-ports=873
add action=netmap chain=dstnat comment="Audio Station, (UDP), Video Station" \
    dst-port=1900 in-interface=ether1-WAN protocol=udp to-addresses=\
    192.168.88.2 to-ports=1900
add action=netmap chain=dstnat comment="DSM (HTTP), File Station, Audio Statio (CMS), Download Station, Drive, Video Station, DS audio, DS cam, DS down\
    load, DS file, DS finder, DS note, DS video, Moments" dst-port=5000 \
    in-interface=ether1-WAN protocol=tcp to-addresses=192.168.88.2 to-ports=\
    5000
add action=netmap chain=dstnat comment="DSM (HTTPS), File Station, Audio Stati (CMS), Drive, Video Station, DS audio, DS cam, DS download, DS file, DS \
    finder, DS note, DS video, Moments" dst-port=5001 in-interface=ether1-WAN \
    protocol=tcp to-addresses=192.168.88.2 to-ports=5001
add action=netmap chain=dstnat comment=\
    "Audio Station, (Bonjour)" dst-port=5353 in-interface=ether1-WAN protocol=tcp \
    to-addresses=192.168.88.2 to-ports=5353
add action=netmap chain=dstnat comment="Cloud Station, Drive, DS cloud" \
    dst-port=6690 in-interface=ether1-WAN protocol=tcp to-addresses=\
    192.168.88.2 to-ports=6690
add action=netmap chain=dstnat comment="Synology Assistant" dst-port=\
    9997-9999 in-interface=ether1-WAN protocol=udp to-addresses=192.168.88.2 \
    to-ports=9997-9999
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=pppoe-out1 type=external
add interface=ether2 type=internal
add interface=ether4 type=internal
add interface=ether3 type=internal
add interface=ether5 type=internal
add interface=ether6 type=internal
/system clock
set time-zone-name=Europe/Volgograd
/system clock manual
set time-zone=+03:00
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Да только вот DLNA не работает. Уже голову всю поломал, режимы моста Fast Forvard и режим STP пробовал другой, и все правила фаервола отключал, да вот где-то об что-то спотыкаюсь.
Может быть, причина в настройке /ip neighbor discovery?
Помогите, пожалуйста!

[Vlad-2]

Всё равно мало рассказали:

1) в какие порты что куда подключено, и задействован ли HW функция?

2) не работает DLNA совсем, частично или кое-как?
2.1) не работают на всех устройствах или на одном?

3) с настройками UPnP = перемудрили, если порты у Вас в бридже,
отдельно порты 2,4,3,5 и 6 добавлять (описывать) не надо.

4) не пойму зачем делать проброс портов, если Вы используете
уже UPnP ?

5) Считаю что это тоже ошибка, но если что поправьте:
у Вас есть рррое-клиент, и есть WAN (переменная указывает на порт1)
= в файрволе у Вас WAN указывается часто, но если брать типичную
ситуацию, то такие правила работать не будут, потому что провайдер
адрес, маршрутизацию Интернета делает на рррое-интерфейсе,
его и надо обзывать в переменную WAN, а порт1 обычно просто порт.
(у Вас оба интерфейса в этой переменной, но лучше поправить и задайте явно рррое).

6) адрес локальный надо ЗАДАВАТЬ на бридже локальном, а не на порту,
который входит в этот бридж. ЭТО практика, и не знать такое....печально.
Перенесите адресацию на бридж.

7) частично и из-за этого может быть: у Вас заданы внешние ДНСы,
получается каждое устройство постоянно делая запрос, за каждым запросом
ныряет в Интернет, возвращается ответ от внешних ДНСов, и опять идёт
запрос уже куда надо, зачем так?
а) задайте чтобы DHCP отдавал клиентам и ДНС микротика
б) включите работу ДНС-микротика.

DLNA = это локальный трафик, роутеры в большей части на него пофиг,
отключите не только файрвол (Фильтрес), но и на всякий случай временно
все правила в NAT закладке.
Ну и попробуйте разными клиентами и прочее.....

P.S.
А в целом роутер как-то перегружен....по правилам...такое ощущение,
что часть каких-то правил наложили поверх заводского конфига,
кстати, ну ктож такую железку настраивает поверх пре-конфига...

(offtop):
Кстати, железка у Вас греется? Получил вчера, за час она такая, тёплая
(и моя версия проще, без ВиФи модуля).

[MaxoDroid]

Огромное СПАСИБО за поддержку! Действительно, в отличие моих первых hAP -ов, этот оказался для меня затруднением. Просмотрел с помощью Ваших замечаний сой конфиг и исправил множество ошибок.
Даю ответы на вопросы:
1) в какие порты что куда подключено, и задействован ли HW функция?
-- NAS Synology – Ethernet 2,
-- TV Box Ugoos - – Ethernet 4,
-- Notebook ASUS – Ethernet 5,
TV Sony – Ethernet 6,

2) не работает DLNA совсем, частично или кое-как?
-- после установки Сервера Мультимедиа – видны только фотографии.
2.1) не работают на всех устройствах или на одном?
-- Не работают на всех

3) с настройками UPnP = перемудрили, если порты у Вас в бридже,
отдельно порты 2,4,3,5 и 6 добавлять (описывать) не надо.
-- это было добавлено так, для пробы. А вдруг именно это и надо… Убрал, как ненужное.

4) не пойму зачем делать проброс портов, если Вы используете
уже UPnP ?
-- Убрал. Замечание корректное. NAS Synology умеет пробрасывать порты сам.

5) Считаю что это тоже ошибка, но если что поправьте:
у Вас есть рррое-клиент, и есть WAN (переменная указывает на порт1)
= в файрволе у Вас WAN указывается часто, но если брать типичную
ситуацию, то такие правила работать не будут, потому что провайдер
адрес, маршрутизацию Интернета делает на рррое-интерфейсе,
его и надо обзывать в переменную WAN, а порт1 обычно просто порт.
(у Вас оба интерфейса в этой переменной, но лучше поправить и задайте явно рррое).
-- А за то, что Вы нашли ошибку, что я два раза привязал WAN и к физическому интерфейсу, и к выходу интерфейса pppoe-out1, который и привязан к нему же, - большое спасибо!

6) адрес локальный надо ЗАДАВАТЬ на бридже локальном, а не на порту,
который входит в этот бридж. ЭТО практика, и не знать такое....печально.
Перенесите адресацию на бридж.
-- Да, вижу, что в /ip address add address=192.168.88.1/24 comment=defconf interface=ether2 network=\ 192.168.88.0 по случайности указал ether2, а не bridge.
За это большое спасибо.

7) частично и из-за этого может быть: у Вас заданы внешние ДНСы,
получается каждое устройство постоянно делая запрос, за каждым запросом
ныряет в Интернет, возвращается ответ от внешних ДНСов, и опять идёт
запрос уже куда надо, зачем так?
а) задайте чтобы DHCP отдавал клиентам и ДНС микротика
б) включите работу ДНС-микротика.
-- попробовал удалить все адреса. Вы, как я понял, про это мне говорили?

DLNA = это локальный трафик, роутеры в большей части на него пофиг,
отключите не только файрвол (Фильтрес), но и на всякий случай временно
все правила в NAT закладке.
-- про NAT также увидел, что проброс портов привязал по ошибке к физическому интерфейсу, а не к pppoe-out1. За это большое спасибо.
Ну и попробуйте разными клиентами и прочее.....

P.S.
А в целом роутер как-то перегружен....по правилам...такое ощущение,
что часть каких-то правил наложили поверх заводского конфига,
кстати, ну ктож такую железку настраивает поверх пре-конфига...
-- я просмотрел весь конфиг и правила «из коробки» и просто упорядочил их. Оставил только нужное, а ненужное – удалил или переместил. Просто для себя, для памяти, оставил подписанным то, что было «из коробки». По поводу перегруженности – это я начитался вот этой статьи: https://gregory-gost.ru/sozdanie-domash ... a-dostupa/


(offtop):
Кстати, железка у Вас греется? Получил вчера, за час она такая, тёплая
(и моя версия проще, без ВиФи модуля).
-- Да, греется. И она ОЧЕНЬ теплая.

[MaxoDroid]

Однако, все изменения результата не дали.

[MaxoDroid]

Вот что в итоге имею:

Код: Выделить всё

# jun/04/2019 21:28:46 by RouterOS 6.44.3
# software id = 6RX7-Q1EM
#
# model = RB4011iGS+5HacQ2HnD
# serial number = 96890A63CFA2
/interface bridge
add admin-mac=74:4D:28:4F:E0:B9 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no mode=ap-bridge ssid=MikroTik-39-5GHz \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-g/n basic-rates-b="" channel-width=\
    20/40mhz-XX disabled=no distance=indoors frequency=auto mode=ap-bridge \
    rate-set=configured ssid=MikroTik-39-2GHz supported-rates-b="" \
    wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
/interface pppoe-client
add add-default-route=yes comment="MTC - Connection" disabled=no interface=\
    ether1-WAN name=pppoe-out1 password=me5QZkMA use-peer-dns=yes user=\
    ep79182447764_serv201
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=Val20Nik23 \
    wpa2-pre-shared-key=Val20Nik23
/ip pool
add name=dhcp ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment="MTS-Internet Incomer" interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1-WAN
/ip dhcp-server lease
add address=192.168.88.8 client-id=1:78:24:af:c9:92:d8 comment=\
    "Maxim's LapTop" mac-address=78:24:AF:C9:92:D8 server=defconf
add address=192.168.88.2 client-id=1:0:11:32:8e:22:42 comment="NAS DS218Play" \
    mac-address=00:11:32:8E:22:42 server=defconf
add address=192.168.88.5 client-id=1:cc:98:8b:5:1:e comment="SONY TV" \
    mac-address=CC:98:8B:05:01:0E server=defconf
add address=192.168.88.4 client-id=1:20:18:e:e7:63:51 comment=\
    "UGOOS AM3 TV Box" mac-address=20:18:0E:E7:63:51 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=fasttrack-connection chain=forward comment=\
    "0,1 fasttrack --------------------------------------- (defconf)" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "1.1 Forward and Input Established and Related connections" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "1.1.1 Accept established,related, untracked ---(defconf)" \
    connection-state=established,related,untracked
add action=drop chain=forward comment=\
    "1.2 ---------  drop invalid ------------------ (defconf)" \
    connection-state=invalid
add action=accept chain=input comment=\
    "1.3 ---------  accept established,related" connection-state=\
    established,related
add action=accept chain=input comment=\
    "1.4 ---------  accept established,related,untracked --- (defconf)" \
    connection-state=established,related,untracked
add action=drop chain=input comment=\
    "1.5 ---------  drop invalid ------------------ (defconf)" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "2.1 drop all from WAN not DSTNATed ----- (defconf)" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment="3.1 DDoS attack filter" \
    connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=tarpit chain=input comment="3.2 ---------  end of DDoS" \
    connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="4.1 DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input comment="4.2 ---------  ---------     SYN Flood" \
    connection-state=new in-interface-list=WAN jump-target=SYN-Protect \
    protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect comment=\
    "4.3 ---------  ---------     SYN Flood" connection-state=new limit=\
    200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect comment=\
    "4.4 ---------  end of    SYN Flood" connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="5.1 PSD \96 Port Scan Detection" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input comment=\
    "5.2 ---------  PSD" in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="6.1 WinBox Port LockOut protection" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List WinBox" \
    address-list-timeout=none-dynamic chain=input comment=\
    "6.2 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN log=yes log-prefix="BLACK WINBOX" \
    protocol=tcp src-address-list="WinBox Stage 3"
add action=add-src-to-address-list address-list="WinBox Stage 3" \
    address-list-timeout=1m chain=input comment=\
    "6.3 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=\
    "WinBox Stage 2"
add action=add-src-to-address-list address-list="WinBox Stage 2" \
    address-list-timeout=1m chain=input comment=\
    "6.4 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=\
    "WinBox Stage 1"
add action=add-src-to-address-list address-list="WinBox Stage 1" \
    address-list-timeout=1m chain=input comment=\
    "6.5 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "6.6 ---------  end of WinBox Protection" dst-port=8291 \
    in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="7.1 OpenVPN Port Connections protection" \
    src-address-list="Black List OpenVPN"
add action=add-src-to-address-list address-list="Black List OpenVPN" \
    address-list-timeout=none-dynamic chain=input comment=\
    "7.2 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN log=yes log-prefix="BLACK OVPN" \
    protocol=tcp src-address-list="OpenVPN Stage 3"
add action=add-src-to-address-list address-list="OpenVPN Stage 3" \
    address-list-timeout=1m chain=input comment=\
    "7.3 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list=\
    "OpenVPN Stage 2"
add action=add-src-to-address-list address-list="OpenVPN Stage 2" \
    address-list-timeout=1m chain=input comment=\
    "7.4 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list=\
    "OpenVPN Stage 1"
add action=add-src-to-address-list address-list="OpenVPN Stage 1" \
    address-list-timeout=1m chain=input comment=\
    "7.5 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "7.6 ---------  end of OpenVPN Protection" dst-port=1194 \
    in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "Accept ICMP ------------------------------ (defconf)" protocol=icmp
add action=accept chain=input comment="Accept ICMP --- With correct ping" \
    in-interface-list=WAN limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment=\
    "Drop all not coming from LAN ---- (defconf)" in-interface-list=!LAN
add action=accept chain=forward comment=\
    "Accept in ipsec policy -------------- (defconf)" ipsec-policy=in,ipsec
add action=accept chain=forward comment=\
    "Accept out ipsec policy ------------ (defconf)" ipsec-policy=out,ipsec
/ip firewall nat
add action=masquerade chain=srcnat comment="masquerade ------- (defconf)" \
    disabled=yes ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=Masquerade ipsec-policy=out,none \
    out-interface-list=WAN src-address=192.168.88.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=pppoe-out1 type=external
/system clock
set time-zone-name=Europe/Volgograd
/system clock manual
set time-zone=+03:00
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Vlad-2]

Вот что в итоге имею:

1) убрать получение адреса на порту1 (зачем нам это?)
(IP - DHCP Client, и в появившемся окне убрать привязку порта1)
Вы работаете через рррое, получение на порту адреса Вам не нужно.

2) на счёт портов и режима HW - не сказали работает у Вас HW или нет.
А устройство с 6 порта я бы вернул или подключил в первый блок.
Вообще лучше порт Интернета сделать 9, а первые 5 портов чисто под
локальные подключения ТОЛЬКО.
При работе локальных устройств в рамках одной группы (с 1-по-5 и
с 6-по-10) при включении HW = локальный трафик не обрабатывается
процессором микротика, а напрямую через свитч-чип трафик бегает.
Это в разы поднимает локальную скорость между компьютерами в рамках
одной этой группы....

3) на счёт ДНСа = увы, сделали Вы плохо и не то что я советовал.
а) сначала Вы заходите в IP - DHCP Server, во второй закладке
она DHCP Servera там будет параметры которые DHCP должен отдавать
клиентам, там, надо задать отдавать DNS'ы, и прописать 192.168.88.1
б) потом в настройках рррое-клиента поставиить галочку Peer use DNS,
это позволит микротику использовать провайдерские ДНСы, или руками
задать 2-3 штуки.
И тогда компы будут запросы слать по ДНСам на ДНС микротика, а он
будет эти запросы сам обрабатывать и уже кешировать.

На счёт DLNA = к сожалению, я не вижу никаких ограничений, да и ещё раз
повторю свою мысль = локальный трафик (а DLNA = это локальный трафик,
между одним устройством и другим) никак роутер на этот трафик не влияет.
Поэтому если не работает DLNA = думаю проблема в самом сервере DLNA,
надо проверять как-то иначе.
Ну и чтобы уж окончательно убедиться, найдите свитч какой-то на 3-5 портов,
и вместо роутера, подключите Ваши устройства временно в этот свитч,
если через свитч DLNA не будет работать, проблема или в клиентах, или в сервере,
или в них обоих.

Микротик в целом у Вас настроен сейчас более-менее, я конечно бы выгрузил конфиг,
очистил бы роутер, не делал заводские пре-настройки, и на чистый роутер
с копии конфига руками, мышкой за 40 минут перенёс основное и уже радовался.
И конечно, я все правила файрвола Ваши не проверял, но буду верить наслово,
что Вы их отключали и тестировали без них.

[Erik_U]

Попробуйте на бридже включить ARP = proxy-arp.

Вот здесь описано очень сложное и технически навороченное решение
https://forum.mikrotik.com/viewtopic.php?t=135405

Но у меня тот же твонки работает даже без настроек на микротике UPNP просто в бридже с включенным proxy-arp.

А если пакеты DLNA нужно маршрутизировать, уменьшите MTU на интерфейсе, к которому подключен сервер DLNA.

[MaxoDroid]

Спасибо Вам, Vlad-2, за поддержку.
По ошибке выложил не последний конфиг. После Ваших замечаний я прошелся по конфигу более тщательно и нашел много косяков от «Из Коробки». До того, как прочел Ваш пост, выполнил пункт 1 Вашего замечания и DLNA ожил.

1) убрать получение адреса на порту1 (зачем нам это?)
(IP - DHCP Client, и в появившемся окне убрать привязку порта1)
Вы работаете через рррое, получение на порту адреса Вам не нужно.
-- Это было от завода. Удалил за ненадобностью.

2) на счёт портов и режима HW - не сказали работает у Вас HW или нет.
А устройство с 6 порта я бы вернул или подключил в первый блок.
Вообще лучше порт Интернета сделать 9, а первые 5 портов чисто под
локальные подключения ТОЛЬКО.
При работе локальных устройств в рамках одной группы (с 1-по-5 и
с 6-по-10) при включении HW = локальный трафик не обрабатывается
процессором микротика, а напрямую через свитч-чип трафик бегает.
Это в разы поднимает локальную скорость между компьютерами в рамках
одной этой группы....
-- Спасибо большое за совет! Только ткните меня, пожалуйста, носом, где режим HW включается.

3) на счёт ДНСа = увы, сделали Вы плохо и не то что я советовал.
а) сначала Вы заходите в IP - DHCP Server, во второй закладке
она DHCP Servera там будет параметры которые DHCP должен отдавать
клиентам, там, надо задать отдавать DNS'ы, и прописать 192.168.88.1
-- Спасибо, я, наконец, догнал эту мысль.
б) потом в настройках рррое-клиента поставиить галочку Peer use DNS,
это позволит микротику использовать провайдерские ДНСы, или руками
задать 2-3 штуки.
И тогда компы будут запросы слать по ДНСам на ДНС микротика, а он
будет эти запросы сам обрабатывать и уже кешировать.
-- Вы, наверное, имели ввиду свойства “Dial Out” интерфейса <pppoe-out1>? Так там галочка напротив “Use Per DNS” установлена.
Тут у меня еще вопрос. Стоит ли в IP – DNS указать IP-адреса дополнительных DNS серверов для того, что бы обходить запреты провайдера на некоторые сауты

На счёт DLNA = к сожалению, я не вижу никаких ограничений, да и ещё раз
повторю свою мысль = локальный трафик (а DLNA = это локальный трафик,
между одним устройством и другим) никак роутер на этот трафик не влияет.
Поэтому если не работает DLNA = думаю проблема в самом сервере DLNA,
надо проверять как-то иначе.
Ну и чтобы уж окончательно убедиться, найдите свитч какой-то на 3-5 портов,
и вместо роутера, подключите Ваши устройства временно в этот свитч,
если через свитч DLNA не будет работать, проблема или в клиентах, или в сервере,
или в них обоих.
-- я просмотрел параметр MTU в том роутере, где система работала. Там, почему-то, он стоял равным 2000. В Микротике он установлен 1500. Тогда я задал значение MTU Вручную свойственное роутеру значение и NAS (в котором стояло значение 2000) просто сделал пересчет сети

Микротик в целом у Вас настроен сейчас более-менее, я конечно бы выгрузил конфиг,
очистил бы роутер, не делал заводские пре-настройки, и на чистый роутер
с копии конфига руками, мышкой за 40 минут перенёс основное и уже радовался.
И конечно, я все правила файрвола Ваши не проверял, но буду верить наслово,
что Вы их отключали и тестировали без них.
-- за ненадобность пользования удаленным входом в роутер я просто удалил защиты от перебора портов WinBox. Оставшиеся правила никакого воздействия ни на внутренний, ни на внешний трафик не влияют.

[MaxoDroid]

Попробуйте на бридже включить ARP = proxy-arp.

Спасибо за совет, попробую.

А если пакеты DLNA нужно маршрутизировать, уменьшите MTU на интерфейсе, к которому подключен сервер DLNA.

Спасибо, до этого я уже дошел. Действительно, параметр MTU очень сильно влияет на стабильность работы в режиме DLNA в особенности, да и в общем тоже.

[Vlad-2]

По ошибке выложил не последний конфиг. После Ваших замечаний я прошелся по конфигу более тщательно и нашел много косяков от «Из Коробки». До того, как прочел Ваш пост, выполнил пункт 1 Вашего замечания и DLNA ожил.

Не совсем я понял что именно Вы сделали и что "излечило" работу DLNA?

-- Спасибо большое за совет! Только ткните меня, пожалуйста, носом, где режим HW включается.

Когда создаёте бридж, во второй закладке окна Бридж, есть список портов,
какой порт к какому бриджу относиться, и рядом, с портом каждым, слева
есть флаг - буква H, если она есть, значит для этого порта режим HW включён.
(проверить, включен HW для порта просто - кликнуть дважды на порт и
убедиться или явно поставить галочку на против Hardware Offload)

Надо постараться для локальной сети, для локальных компов, в рамках
одной свитч-группы чтобы у портов было HW, тогда между портами
локальный трафик будет идти по прямой и сразу.

Так как у РБ4011 две свитч-группы, то Вы можете HW включать
и между портами 6-7-8-9-10 (не обязательно всеми).
Поэтому и рекомендовал, с 1 по 5 сделать локальные подключения,
а уже в порты 6-7-8 подключать тоже локальных клиентов, но не сильно
требовательных к скорости. 10-й порт он с функицей РоЕ - я обычно такие порты
берегу, и не использую (или функцию РоЕ в свойствах 10-го порта отключаю).
Но это уже мои тонкости и как я называю про себя = "косметика" настроек.

-- Вы, наверное, имели ввиду свойства “Dial Out” интерфейса <pppoe-out1>? Так там галочка напротив “Use Per DNS” установлена.
Тут у меня еще вопрос. Стоит ли в IP – DNS указать IP-адреса дополнительных DNS серверов для того, что бы обходить запреты провайдера на некоторые сауты

Да, Вы нашли галочку нужную, и правильную, и если провайдер поддерживает отдачу ДНСов
по протоколу подключения, то да, Вы в настройках ДНСа увидите эти значения.
Если их нет, то конечно надо Обязательно задать ДНСы, а также ДА- Вы можете не принимать ДНСы
провайдера, и вставлять явно свои ДНСы (статично прописать) и уже вся Ваша сеть
будет через их работать. Тут гибкость есть.

-- я просмотрел параметр MTU в том роутере, где система работала. Там, почему-то, он стоял равным 2000. В Микротике он установлен 1500. Тогда я задал значение MTU Вручную свойственное роутеру значение и NAS (в котором стояло значение 2000) просто сделал пересчет сети

Я стараюсь параметры тонкие и очень ответственные редко трогать.
Лично мне как-то странно воспринимать, что сервис DLNA такой особенный, что ему
нужно менять МТУ....скорее это специфика именно Вашего сервиса.
Просто меняя МТУ = Вы меняете параметр, который может для одной задачи идти во благо,
а потом для другого будет целая проблема...Всё тонко в этой жизни.

-- за ненадобность пользования удаленным входом в роутер я просто удалил защиты от перебора портов WinBox. Оставшиеся правила никакого воздействия ни на внутренний, ни на внешний трафик не влияют.

Так как ДНС у Вас включён на микротике, а когда его включают, ДНС доступен на любом интерфейсе
роутера, на котором есть адрес, значит он доступен будет и на внешнем адресе, а значит хакеры будут
его дёргать и атаковать запросами, поэтому лучше сделать защиту от брут-форса по портам ДНС (тсп/удп 53),
Создать своего пользователя с полными правами, админа отключить.