hAP AC не открывает сайт

Обсуждение оборудования и его настройки
Ответить
Globusr
Сообщения: 13
Зарегистрирован: 02 дек 2019, 17:09

Всем привет!
Помогите, есть сабж, настроенный как домашний роутер с WiFi практически по дефолту + добавлены правила для его защиты от ботов. В какой то момент пытаюсь открыть сайт obi.ru с ноута подключенного по WiFi и понимаю что не открывается. Подключаюсь к другому (MGTS) и все Ок. DNS, trace - все Ок. Прокси и сервисы всякие не стандартные отсутствуют. На этом форуме нашел похожую тему (не открывался perekrestok.ru), там что то было с мак адресом ус-ва, но там по кабелю сайт открывался, тут нет. Что делать, куда копать?
Спасибо,


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Обычно, в таких случаях, копают в сторону MTU. В сторону его уменьшения.
Какой тип подключения у вас?
DNS микротика разрешает имя obi.ru?


Globusr
Сообщения: 13
Зарегистрирован: 02 дек 2019, 17:09

Что же может это запрещать? ISP? Тип подключения - витая пара от GPON MGTS, сначала стоит их старый роутер, потом микротик. DNS Микротика разрешает, в dns прописан MGTS и Google, на клиенте первым dns Микротик.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) в момент недоступности сайта с ноутбука, проверьте ещё раз трасерт в этот момент,
при этом ничего не делая с техникой (не перегружать и т.д.)

2) также, когда пропал доступ к сайту, так как Вы работаете по ВиФи - проверьте на смартфоне,
этот сайт через этот же ВиФИ-доступ будет доступен?
2.1) если не доступен и через смартфон, значит проблема в роутере или в провайдера или в них обоих
2.2) если со смартфона будет доступен, проблема у Вас на компьютере.
2.2.1) проверьте антивирусник, может сайт он блокирует?

3) не лишним будет и провайдеру позвонить, и тоже сказать(спросить у него) также мифически-загадочно,
через Вас не открывается сайт, а через конкурента ДА.

4) ну и перечитав Ваше первое сообщения по части защиты от ботов, посоветовал убрать/отключить их,
и хотя бы 1-2 дня поработать так, возможно Вы перестарались по части правил и что-то режете
нужное.

5) ну и гадать тоже не хочется, показали бы свой конфиг, может там проблема, из-за которой
может Вас провайдер регулярно как-то лимитирует/блочит Вас?
(были такие случаи, порты внешние/внутренние в один бридж делали, dhcp локальный в сторону провайдера
анонсировали и так далее).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Globusr
Сообщения: 13
Зарегистрирован: 02 дек 2019, 17:09

1. Трейс есть.
2. На смарте с этим же вайфай - нет доступа (unreacheable), с gpon рутера вайфай есть.
2.1 Рутер сегодня заменят на более новый (старый 100мбит макс), потестю в воскр. и отпишу.
2.2 Предоставить проблему прову не так просто т.к. с его оборудования нет проблем.
2.2.1 Отключал, к тому же на смарте также, а там только сберовский антивирь.

3. С оборудования прова все Ок, да совокупность мистическая, если не найду проблему - напишу.
4. Как оттестю в воскр новый, пришлю.
5. Также в воскр. или пон. отключу и отпишу.

Спасибо за идеи!


Globusr
Сообщения: 13
Зарегистрирован: 02 дек 2019, 17:09

Приветствую!
Что сделали;
поменяли рутер + отключили на нем некий мост, т.е. 3 порта работают без iptv, 4 для него, аплинк от Микротика в первом. В целом ничего не изменилось.
Правила не отключал, решил выложить сюда конфиг целиком - без пассов...

# dec/12/2019 08:45:25 by RouterOS 6.45.7
# software id = SHPL-YN0T
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number =
/interface bridge
add admin-mac=CC:2D:E0:C4:CF:05 arp=proxy-arp auto-mac=no comment=defconf \
name=bridge
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=962 \
wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=\
ap-bridge ssid=962 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key= \
wpa2-pre-shared-key=
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf hw=no interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=wlan1 list=discover
add interface=wlan2 list=discover
add interface=ether2-master list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=sfp1 list=discover
add interface=bridge list=discover
add interface=bridge list=mactel
add interface=bridge list=mac-winbox
/interface pptp-server server
set authentication=mschap2 enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-master network=\
192.168.88.0
add address=192.168.2.150/8 interface=ether1 network=192.0.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=192.168.2.200,8.8.8.8
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=88.214.26.10 comment=hidecomment list=blacklist
add address=54.38.82.14 comment=hidecomment list=blacklist
add address=112.85.116.55 comment=hidecomment list=blacklist
add address=42.225.250.11 comment=hidecomment list=blacklist
add address=188.99.5.38 comment=hidecomment list=blacklist
add address=176.32.33.88 comment=hidecomment list=blacklist
add address=193.105.134.97 comment=hidecomment list=blacklist
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=jump chain=input comment="sshbruteforces chain" connection-state=\
new dst-port=22 jump-target=sshbruteforces protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input dst-address=192.168.2.150 dst-port=1723 \
in-interface=ether1 protocol=tcp
add action=accept chain=input dst-address=192.168.2.150 in-interface=ether1 \
protocol=gre
add action=accept chain=input comment="hAC ext access" dst-port=8291,443,22 \
protocol=tcp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=sshbruteforces connection-state=new \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=sshbruteforces connection-state=new
add chain=sshbruteforces dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add chain=sshbruteforces connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=ether1
/ip firewall raw
add action=drop chain=prerouting comment=BlackList src-address-list=blacklist
/ip route
add distance=1 gateway=192.168.2.200
add distance=1 dst-address=192.168.5.0/24 gateway=192.168.88.10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set www-ssl address=0.0.0.0/0 certificate=server.crt_0 disabled=no
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/ppp secret
add local-address=192.168.88.1 name=vpnuser password= \
remote-address=192.168.88.10 service=pptp
add local-address=192.168.88.1 name=vpnuser2 password= \
remote-address=192.168.88.11 service=pptp
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Globusr писал(а): 12 дек 2019, 18:45 Приветствую!
Что сделали;
поменяли рутер + отключили на нем некий мост, т.е. 3 порта работают без iptv, 4 для него, аплинк от Микротика в первом. В целом ничего не изменилось.
Правила не отключал, решил выложить сюда конфиг целиком - без пассов...
НЕ совсем понял, Вы взяли другой микротик, и заново настроили, проблема осталась и конфиг
который ниже = это конфиг с этого нового-временного роутера?

Теперь по-конфигу:
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/interface bridge
add admin-mac=CC:2D:E0:C4:CF:05 arp=proxy-arp auto-mac=no comment=defconf \
    name=bridge
Зачем ВЫ включили proxy-arp на бридже? Верните значение просто - enable
(хотя я догадываюсь почему было включено).
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
Мастер-портов давно нет, значит конфиг (прототип брали со старого роутера).
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf hw=no interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
Вы сказали что порт4 вне бриджа? Тут я вижу что все порты вместе!?
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/interface pptp-server server
set authentication=mschap2 enabled=yes
Вам провайдер даёт реальный адрес? Вы для чего-то поднимали сервер
удалённого доступа?
И из-за него у Вас на бридже включён proxy-arp
Если у Вас нет в надобности удалённого подключения, если провайдер
не предоставляет реальный адрес, то не вижу логики в этом.
Хотя наличие защиты от брут-форса = опять же намекает что у Вас
есть реальный адрес.
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-master network=\
    192.168.88.0
add address=192.168.2.150/8 interface=ether1 network=192.0.0.0
Тут вообще:
а) адрес локальный роутера должен быть установлен на бридже, а не на порту,
входящий в этот бридж, из-за этого масса глюков и проблем, перенесите
адрес 88.1 на бридж.
б) и что за адрес у Вас 2.150/8 ? КТО зачем его поставил? Да ещё и с такой маской.
В ЭТОМ и может быть проблема? Тем более задан адрес на порту1 и ниже,
Вы на порту1 пытаетесь у провайдера получить адрес автоматом.
Мягко-мягкое получается.
Да и маска /8 перекрывается с Вашим внутренним адресом, если уж формально
делать пример = всё равно что 5вольт смешать с 220.
Поэтому адрес 2.150 с маской /8 на порту1 = УДАЛИТЬ.
И проверить что Вам отдаёт провайдер на порту1 в автоматическом режиме.
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/ip route
add distance=1 gateway=192.168.2.200
add distance=1 dst-address=192.168.5.0/24 gateway=192.168.88.10
Что за сеть 5 ? И что за 88.10?


ИТОГ:
конфиг средний, судя по всему сборная солянка, не ясны условия,
в частности - что даёт провайдер, или реальный адрес или
серый, с какой маской, если даёт адрес со 192.168. и маска /8,
то Ваш роутер уже не сможет внутри использовать тоже адресацию начиная
со 192.168 и Вам придётся делать другую подсеть.

Опять же вопросы с прокси-арп, и прочего. Я на стал делать акцент на вифи настройках,
на всяких UPnP и прочего.
Да и опять же, по услуги IPTV и порта4 = не вижу её в конфиге.

Поэтому Вам надо всё же по-русски описать что есть по факту, адресация,
как это предоставляется, и как работает, вопросов стало больше, а информации
= увы, а гадать нам не хочется.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Globusr
Сообщения: 13
Зарегистрирован: 02 дек 2019, 17:09

Доброе утро!
Спасибо за критику, комментирую;
Vlad-2 писал(а): 13 дек 2019, 00:40
Globusr писал(а): 12 дек 2019, 18:45 Приветствую!
Что сделали;
поменяли рутер + отключили на нем некий мост, т.е. 3 порта работают без iptv, 4 для него, аплинк от Микротика в первом. В целом ничего не изменилось.
Правила не отключал, решил выложить сюда конфиг целиком - без пассов...
НЕ совсем понял, Вы взяли другой микротик, и заново настроили, проблема осталась и конфиг
который ниже = это конфиг с этого нового-временного роутера?
Нет, поменяли входящий первый рутер от МГТС, с Микротик ничего не делали.

Теперь по-конфигу:
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/interface bridge
add admin-mac=CC:2D:E0:C4:CF:05 arp=proxy-arp auto-mac=no comment=defconf \
    name=bridge
Зачем ВЫ включили proxy-arp на бридже? Верните значение просто - enable
(хотя я догадываюсь почему было включено).

Это было включено из за VPN.
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
Мастер-портов давно нет, значит конфиг (прототип брали со старого роутера).

Это дефолтный конфиг, я его правил по статьям, через GUI. Где почитать про это?
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf hw=no interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
Вы сказали что порт4 вне бриджа? Тут я вижу что все порты вместе!?

порт4 - это про новый рутер от МГТС
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/interface pptp-server server
set authentication=mschap2 enabled=yes
Вам провайдер даёт реальный адрес? Вы для чего-то поднимали сервер
удалённого доступа?
И из-за него у Вас на бридже включён proxy-arp
Если у Вас нет в надобности удалённого подключения, если провайдер
не предоставляет реальный адрес, то не вижу логики в этом.
Хотя наличие защиты от брут-форса = опять же намекает что у Вас
есть реальный адрес.

Есть реальный, для VPN.
Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-master network=\
    192.168.88.0
add address=192.168.2.150/8 interface=ether1 network=192.0.0.0
Тут вообще:
а) адрес локальный роутера должен быть установлен на бридже, а не на порту,
входящий в этот бридж, из-за этого масса глюков и проблем, перенесите
адрес 88.1 на бридж.
б) и что за адрес у Вас 2.150/8 ? КТО зачем его поставил? Да ещё и с такой маской.
В ЭТОМ и может быть проблема? Тем более задан адрес на порту1 и ниже,
Вы на порту1 пытаетесь у провайдера получить адрес автоматом.
Мягко-мягкое получается.
Да и маска /8 перекрывается с Вашим внутренним адресом, если уж формально
делать пример = всё равно что 5вольт смешать с 220.
Поэтому адрес 2.150 с маской /8 на порту1 = УДАЛИТЬ.
И проверить что Вам отдаёт провайдер на порту1 в автоматическом режиме.

a) Это из дефолта, не трогал это. Где про это прочитать? Перенес.
б) Это мой косяк, не знаю как так получилось. 2.150 - это адрес в подсети рутера МГТС, на него бинд в dhcp по маку Микротик. Изменил на правильную маску и сеть.

Globusr писал(а): 12 дек 2019, 18:45

Код: Выделить всё

/ip route
add distance=1 gateway=192.168.2.200
add distance=1 dst-address=192.168.5.0/24 gateway=192.168.88.10
Что за сеть 5 ? И что за 88.10?

сеть 5 - это сеть VPN, отдаленная, 88.10 - это адрес выдаваемый юзеру VPN.


ИТОГ:
конфиг средний, судя по всему сборная солянка, не ясны условия,
в частности - что даёт провайдер, или реальный адрес или
серый, с какой маской, если даёт адрес со 192.168. и маска /8,
то Ваш роутер уже не сможет внутри использовать тоже адресацию начиная
со 192.168 и Вам придётся делать другую подсеть.

Опять же вопросы с прокси-арп, и прочего. Я на стал делать акцент на вифи настройках,
на всяких UPnP и прочего.
Да и опять же, по услуги IPTV и порта4 = не вижу её в конфиге.

Поэтому Вам надо всё же по-русски описать что есть по факту, адресация,
как это предоставляется, и как работает, вопросов стало больше, а информации
= увы, а гадать нам не хочется.

По итогу Ваших комментов;
перенес адрес на бридж
поправил сеть верхнего рутера
сайт теперь открывается, ошибка скорее была в сети настройке сети 192.168.2.0
Прошу прислать линки на темы 'где почитать' и сделать акцент на 'вифи настройках,
на всяких UPnP и прочего. Да и опять же, по услуги IPTV и порта4 = не вижу её в конфиге. - IPTV - это все было про новый рутер МГТС, просто не правильно поняли'.
Спасибо Вам!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Посмотрите тут, на форуме по названиям или по поиску тему с настройкой WiFi,
особенно за последние 2-3 месяца, прочитайте их.
Сделайте ряд конспектов и настраивайте уже у себя.

В ряде случаев и без сверх диких стараний, но на 15-25% скорость и в целом улучшить
работу вифи относительно Ваших текущий показаний можно.
А инструкции в целом такой общей нет, ВиФи это всегда с кучей "НО", где в зависимости
от этих "НО" и делаются те или иные настройки.

И я рад, что у Вас после корректировки настроек роутера - заработал сайт и т.д.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить