Блокирует провайдер. Причина: более одного MAC-адреса ???

Обсуждение оборудования и его настройки
Ответить
YuriS
Сообщения: 5
Зарегистрирован: 07 июл 2014, 13:27

Добрый день, форумчанам !
Имеется устройство CCR1036-12G-4S
1. spf-порты отключены (disable)
2. порты ether1-ether7 объединены в Bridge (локальная сеть)
3. порты ether8-ether11 - вообще никак не задействованы
4. порт ether12 - подключён к провайдеру через PPPoE (есть также постоянный внешний "белый" ip-адрес)

Суть проблемы: периодически, раз в 2-3 дня, происходит обрыв связи с провайдером (причём почему-то в одно и то же время - в 10:00 утра). Связь сама не восстанавливается. Для восстановления связи с провайдером приходится вручную перетыкать коннект с 12-порта на любой незадействованный и затем в настройках роутера привязывать уже новый порт к PPPoE. И так периодически-постоянно.

Провайдер сообщает, что его CISCO автоматически блокирует нашу линию, т.к. с нашей линии якобы приходит на провайдера более одного MAC-адреса.

Перерыл кучу информации по настройке микротиков, много чего до-настроил, но проблема не исчезла.

Буду признателен за любую информацию !


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Ну а что тут сказать... Или провайдер не умеет настраивать своё оборудование, или у Вас на линии врезка стоит....
Где-то на форуме была такая-же тема, но не помню чём всё закончилось...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Топикстартеру:
А используется ли вообще NAT?
Или как-то еще все настроено?


YuriS
Сообщения: 5
Зарегистрирован: 07 июл 2014, 13:27

NAT используется.
- для выхода из локалки в интернет: Chain srcnat Src.Address 192.168.13.0/24 Out Interface pppoe-out1 Action masquerade
- для доступа в локальным серверам (почта, сайт и др.) из интернета.
- для доступа к корпоративному сайту (находящемуся в локальной сети) с локальных компьютеров, т.е. доступ к корпоративному сайту по его внешнему интернет-имени: Chain srcnat Src.Address 192.168.13.0/24 Dst.Address 192.168.13.21 Out Interface bridge1 Action masquerade


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

мда
Исходя из этой строчки Chain srcnat Src.Address 192.168.13.0/24 Dst.Address 192.168.13.21 Out Interface bridge1 Action masquerade

Выкладывайте весь конфиг


Есть интересная задача и бюджет? http://mikrotik.site
YuriS
Сообщения: 5
Зарегистрирован: 07 июл 2014, 13:27

[admin@MikroTik] > /export compact
# jul/09/2014 08:17:28 by RouterOS 6.15
# software id = AH9K-ARL3
#
/interface bridge
add l2mtu=1590 name=bridge1 protocol-mode=none
/interface ethernet
set [ find default-name=sfp1 ] disabled=yes speed=100Mbps
set [ find default-name=sfp2 ] disabled=yes
set [ find default-name=sfp3 ] disabled=yes speed=100Mbps
set [ find default-name=sfp4 ] disabled=yes
/ip neighbor discovery
set ether2 discover=no
set ether3 discover=no
set ether4 discover=no
set ether5 discover=no
set ether6 discover=no
set ether7 discover=no
set ether8 discover=no
set ether9 discover=no
set ether10 discover=no
set ether11 discover=no
set ether12 discover=no
set sfp1 discover=no
set sfp2 discover=no
set sfp3 discover=no
set sfp4 discover=no
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc
/ip pool
add name=dhcp_pool1 ranges=192.168.13.101-192.168.13.105
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 authoritative=yes disabled=no interface=bridge1 name=DHCP_server1
/port
set 0 name=serial0
set 1 baud-rate=9600 data-bits=8 flow-control=none name=usb2 parity=none stop-bits=1
set 2 name=serial1
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 default-route-distance=1 dial-on-demand=no disabled=no interface=ether12 keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe-out1 \
password=******** profile=default-encryption service-name="" use-peer-dns=yes user=*********
/queue type
set 0 kind=sfq
set 9 kind=sfq
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
/interface bridge settings
set use-ip-firewall=yes
/ip address
add address=192.168.13.2/24 interface=bridge1 network=192.168.13.0
/ip dhcp-server network
add address=192.168.13.0/24 dns-server=192.168.13.2,192.168.13.15 gateway=192.168.13.2 ntp-server=192.168.13.2
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=drop chain=input connection-state=invalid in-interface=pppoe-out1
add action=drop chain=input dst-port=8291 in-interface=pppoe-out1 protocol=tcp
add chain=input connection-state=established
add chain=input protocol=icmp
add chain=input in-interface=bridge1 src-address=192.168.13.0/24
add action=drop chain=input
add action=drop chain=forward connection-state=invalid protocol=tcp
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list="Blocked IP's" address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=add-src-to-address-list address-list="Blocked IP's" address-list-timeout=2w chain=input protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=forward dst-port=69 protocol=udp
add action=drop chain=forward dst-port=111 protocol=udp
add action=drop chain=forward dst-port=135 protocol=udp
add action=drop chain=forward dst-port=137-139 protocol=udp
add action=drop chain=forward dst-port=2049 protocol=udp
add action=drop chain=forward dst-port=3133 protocol=udp
add action=drop chain=forward dst-port=69 protocol=tcp
add action=drop chain=forward dst-port=111 protocol=tcp
add action=drop chain=forward dst-port=119 protocol=tcp
add action=drop chain=forward dst-port=135 protocol=tcp
add action=drop chain=forward dst-port=137-139 protocol=tcp
add action=drop chain=forward dst-port=445 protocol=tcp
add action=drop chain=forward dst-port=2049 protocol=tcp
add action=drop chain=forward dst-port=12345-12346 protocol=tcp
add action=drop chain=forward dst-port=20034 protocol=tcp
add action=drop chain=forward dst-port=3133 protocol=tcp
add action=drop chain=forward dst-port=67-68 protocol=tcp
add chain=forward icmp-options=0 limit=5,5 protocol=icmp
add chain=forward icmp-options=3:3 limit=5,5 protocol=icmp
add chain=forward icmp-options=3:4 limit=5,5 protocol=icmp
add chain=forward icmp-options=8 limit=5,5 protocol=icmp
add chain=forward icmp-options=11 limit=5,5 protocol=icmp
add action=drop chain=forward protocol=icmp
add chain=forward p2p=all-p2p
add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment="Detect and add-list SMTP virus or spammers" connection-limit=5,32 dst-limit=0,5,dst-address dst-port=25 limit=2/1m,0 \
protocol=tcp time=0s-23h59m59s,sun,mon,tue,wed,thu,fri,sat
/ip firewall mangle
add action=mark-connection chain=prerouting connection-limit=3,32 connection-state=new disabled=yes dst-port=25 limit=50,5 new-connection-mark=smtp passthrough=no protocol=tcp src-port=1024-65535
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=192.168.13.0/24
add action=netmap chain=dstnat dst-port=999 in-interface=pppoe-out1 protocol=tcp to-addresses=\
192.168.13.21 to-ports=999
add action=netmap chain=dstnat dst-port=666 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.13.13 to-ports=666
add action=netmap chain=dstnat comment="WCF" dst-port=7742 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.13.19 to-ports=7742
add action=netmap chain=dstnat dst-port=7743 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.13.19 to-ports=7743
add action=netmap chain=dstnat comment="SQL" dst-port=49267 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.13.13 to-ports=49267
add action=netmap chain=dstnat dst-port=25 in-interface=pppoe-out1 protocol=tcp src-address-list="SMTP-servers" to-addresses=192.168.13.20 to-ports=25
add action=netmap chain=dstnat dst-port=110 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.13.20
add action=masquerade chain=srcnat dst-address=192.168.13.21 dst-port=80 out-interface=bridge1 protocol=\
tcp src-address=192.168.13.0/24
add action=netmap chain=dstnat dst-address=217.19.212.146 dst-port=80 protocol=tcp to-addresses=192.168.13.21 \
to-ports=80
add action=netmap chain=dstnat dst-port=5061 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.13.20 to-ports=5061
add action=netmap chain=dstnat dst-port=15061 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.13.20 to-ports=5061
add action=netmap chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.13.20 to-ports=443
add action=netmap chain=dstnat dst-port=10443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.13.20 to-ports=443
add action=netmap chain=dstnat dst-port=8080 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.13.20 to-ports=8080
/ip proxy
set enabled=yes parent-proxy=0.0.0.0
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=808
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=ether1 type=internal
/lcd interface
set sfp1 interface=sfp1
set sfp2 interface=sfp2
set sfp3 interface=sfp3
set sfp4 interface=sfp4
set ether1 interface=ether1
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6 interface=ether6
set ether7 interface=ether7
set ether8 interface=ether8
set ether9 interface=ether9
set ether10 interface=ether10
set ether11 interface=ether11
set ether12 interface=ether12
/lcd interface pages
set 0 interfaces=sfp1,sfp2,sfp3,sfp4,ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8
/system clock
set time-zone-name=Europe/Kiev
/system clock manual
set time-zone=+03:00
/system leds
set 1 interface=sfp1
set 2 interface=sfp1
set 3 interface=sfp1
/system ntp client
set enabled=yes primary-ntp=132.163.4.103 secondary-ntp=64.4.10.33
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge1
add interface=ether1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge1
add interface=ether1
[admin@MikroTik] >


Ответить