Пропадает интернет, но есть пинг

Обсуждение оборудования и его настройки
Ответить
BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

Добрый вечер. Настраиваю mikrotik, для раздачи нескольким клиентам.
Клиенты подключаются по PPPoE. Раз в 15-20 минут на клиентских машинах пропадает интернет, но соединение не рвется, пинг во вне проходит. Просто не отображаются страницы в браузере.
Подскажите, в какой стороне может быть проблема. Конфиг:

Код: Выделить всё

/interface bridge
add arp=reply-only fast-forward=no name=bridge_provider
/interface ethernet
set [ find default-name=combo1 ] comment=WAN
set [ find default-name=ether2 ] comment="Provider 1"
set [ find default-name=ether3 ] comment="Provider 2"
set [ find default-name=ether4 ] comment="Provider 3"
set [ find default-name=ether5 ] comment="Provider 4"
set [ find default-name=ether6 ] comment="Provider 5"
set [ find default-name=ether7 ] comment="Provider 6"
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ppp profile
add change-tcp-mss=yes local-address=172.16.1.1 name=speed_100M/100M only-one=\
    yes rate-limit=100M/100M use-compression=no use-encryption=no use-mpls=no
add change-tcp-mss=yes local-address=172.16.1.1 name=speed_10M/10M only-one=yes \
    rate-limit=10M/10M use-compression=no use-encryption=no use-mpls=no
add change-tcp-mss=yes local-address=172.16.1.1 name=speed_5M/5M only-one=yes \
    rate-limit=5M/5M use-compression=no use-encryption=no use-mpls=no
/interface bridge port
add bridge=bridge_provider interface=ether3
add bridge=bridge_provider interface=ether4
add bridge=bridge_provider interface=ether5
add bridge=bridge_provider interface=ether6
add bridge=bridge_provider interface=ether7
add bridge=bridge_provider interface=ether2
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add list=LAN
/interface pppoe-server server
add default-profile=speed_5M/5M disabled=no interface=bridge_provider max-mru=\
    1480 max-mtu=1480 one-session-per-host=yes service-name=pppoe_provider
/ip address
add address=10.10.10.63/8 interface=combo1 network=10.0.0.0
add address=172.16.1.1/16 interface=bridge_provider network=172.16.0.0
/ip arp
add address=172.16.1.2 interface=bridge_provider mac-address=2C:D4:44:93:
/ip dns
set allow-remote-requests=yes servers=10.10.10.10,8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat dst-address=!172.0.0.0/8 src-address=\
    172.16.0.0/16
/ip route
add distance=1 gateway=10.10.10.10
/ppp secret
add name=user1 password=pass1 profile=speed_5M/5M remote-address=172.16.1
    service=pppoe
add name=user2 password=pass2 profile=speed_10M/10M remote-address=172.16
    service=pppoe
add name=user3 password=pass3 profile=speed_100M/100M remote-address=\
    172.16.1.13 service=pppoe
Минут, через 10-15 - опять появляется.

Заранее, спасибо

UPD: TeamViewer тоже работает, в то время как web-страницы не отбражаются


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) а поясните, у Вас клиенты по рррое подключаются, это логика, а физика как сделана?
Каждый клиент в отдельный порт ether ? Ну и так далее про физические порты.

2) скажите, а брать маску /8 и /16 для 3-5х, или даже для 100 юзеров - не уж то так необходимо?
(всё равно что ядерным взрывом рыбу ловить) :sh_ok:
2.1) Из-за маски Вы можете в нахслёст по IP-адресации пересекаться где-то и с кем-то.

3) WAN порт и его адресация - обычная статика?
3.1) привязки по МАКу нету на вышестоящем оборудовании/у Вашего провайдера?
3.2) отслеживания TTL нету на вышестоящем оборудовании/у Вашего провайдера?

4) какие значения MTU у WAN порта и какие значения у PPPoE пользователей?

5) правило НАТ мне не нравиться, разве нельзя без отрицания сделать? Не уж что
явно прописать логику сложно, что если пакет идёт с локальной адресации(172.ххх) и хочет
в Интернет, то НАТить только в этом случаи и через WAN интерфейс
(указания интерфейса очень полезно).

6) сам Интернет работает перед роутером нормально? Я так понимаю что адресация
10.10.10.63 - это какой-то внутренний роутер уже стоит, а Ваш тут как дополнительный,
чисто для РРРоЕ логики? Может проблема с пропаданием работоспособности на 80 порту -
не у Вас (в рамках роутера), а на вышестоящем оборудовании?

7) какая прошивка у Вас стоит в роутере? Если сильно старая, то значения MSS и MTU раньше
правили ещё и в MANGLE, в новых прошивках это уже внедрили внутри роутера. Да и в свете
последних ошибок, советуя явно обновиться.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

1) Интернет будет раздаваться по селу. Получается он по воздуху в одну точку и раздается. Пока предполагается 1 клиент - 1 порт. Портов не много, но ижелающих пока тоже - так что пока так, но все может изменится
2) настраивал по статье - https://www.lanmart.ru/blogs/how-to-become-isp/ - решил, что ничего страшного, но такого масштаба, даже физически не достичь
3) wan - статика. пока тестируется на офисе, но провайдер тоже обещает статику
4) wan - 1500, pppoe - 1480
5) опять же статья, где утверждалось, что но именно так правильно настраивается NAT, что бы без проблем в дальнейшем управлять сетью и осуществлять удаленный доступ через Интернет. Указывать просто подсеть адресов, или выходной интерфейс не верно - из-за этого будут проблемы с маршрутизацией."" А как лучше? Всегда именно указывал интерфейс
6) Перед роутером офисная сеть - никаких проблем
7) прошивка последняя. обновлял

спасибо, за ваши комментарии


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

BestiAA писал(а): 11 май 2018, 20:54 1) Интернет будет раздаваться по селу. Получается он по воздуху в одну точку и раздается. Пока предполагается 1 клиент - 1 порт. Портов не много, но ижелающих пока тоже - так что пока так, но все может изменится
Ну смотрите, тут Вам виднее, просто проще в будущем сразу свитч поставить, портов на микротике всё равно не много.
Кстати, какую модельку используете?
BestiAA писал(а): 11 май 2018, 20:54 2) настраивал по статье - https://www.lanmart.ru/blogs/how-to-become-isp/ - решил, что ничего страшного, но такого масштаба, даже физически не достичь
Ну Вы измените слегка адресацию и сделайте её иную, если нравиться 172 подсеть, используйте, но хотя бы в рамках обычной
длины сети (например /24 - думаю 254 клиента пока Вам хватит). Большие сети не всегда удобны, да
и провайдеры тоже их используют. Так что ограничте пожалуйста. Меньше проблем будет.
Вы же мини-провайдерство делаете :-)
BestiAA писал(а): 11 май 2018, 20:54 3) wan - статика. пока тестируется на офисе, но провайдер тоже обещает статику
4) wan - 1500, pppoe - 1480
Вроде бы цифры стандартные, но тоже как-то странно, Вы получаете Интернет по проводу,
а сам Интернет через радио-аппаратуру, понятно что микротик выставил стандартные значения,
но думаю что тут и могут быть проблемы, что пакет не может уйти через радиоканал ибо
там...в радиоканале размер пакетов меньше должен быть.
BestiAA писал(а): 11 май 2018, 20:54 5) опять же статья, где утверждалось, что но именно так правильно настраивается NAT, что бы без проблем в дальнейшем управлять сетью и осуществлять удаленный доступ через Интернет. Указывать просто подсеть адресов, или выходной интерфейс не верно - из-за этого будут проблемы с маршрутизацией."" А как лучше? Всегда именно указывал интерфейс
Если тупо дома так настраивать то наверно можно, но у Вас уже расширенная конфигурация, да и само правило хитрое,
я понимаю если у Вас были куча сетей и да, порой надо сделать исключение из правил и сделать так,
как в правиле, но лучше делать правильные правила, особенно когда мы знаем наши локальные сети
и знаем куда должен пойти пакет после НАТа, поэтому указания интерфейса тоже нужно порой.
В любом случаи правила НАТ бывают обобщённые и точными. Вот эти нюансы и надо использовать,
иначе при неправильном порядке правил, пакеты будут НАТиться не всегда оттого чего Вам будет
нужно.
И указывания исходящих адресов в НАТе поднимает защищённость, то есть правило НАТ будет
работать только с этими адресами и левый пакет не пройдёт.
BestiAA писал(а): 11 май 2018, 20:54 6) Перед роутером офисная сеть - никаких проблем
7) прошивка последняя. обновлял
Ну проверьте ещё раз всё, а лучше очистить конфигурацию Вашу и постепенно делать,
где-то перемудрили....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
BestiAA
Сообщения: 19
Зарегистрирован: 11 май 2018, 16:23

Перенес роутер за офисную сеть - подключаюсь через PPPoE провайдера - эта проблема перестала появляться. Пока буду считать - что косяк в офисном роутере.
Ну, и по вашей рекомендации уменьшил масштабы сети - большое спасибо


Ответить