Два канала на RB3011UIAS-RM - ПРОБЛЕМА.

[306013645]

Добрый день. Всем.
ситуация следующая. Есть RB3011UIAS-RM.
задача такая два провайдера один основной. один резервный канал.

везде статика IP у ISP1(основной канал, авторизация у провайдера по mAC.
У второго провайдера ISP2 НЕТ Авторизации. включил кабель работает.

дело в том что через минут 30-40 поле включение двух провайдеров и настройки резервирование.
ISP1 первый канал отваливается, хотя физически линк есть, ну пингов по этому интерфейсу на
шлюз провайдера не идут и соответсвенно дальше так же.
(перетыкаешь кабель в комп заводится, перетыкаешь обратно в микротик, работает минуит 30-40 и
опять пропадает.
в логах не у провайдера не у меня ничего нет. типа всё гуд.
менял и mtu и 10/100/1000.
инзначально было настроен два провайдера на eth9-ISP1 eth10-ISP2
потом думал вдруг порт, поменял с eth9 на eth1 поменял мак. авторизация прошла.. и опять через
30-40 минут отвал.
прошивка была не последняя прошил 6.42.4. ничего не поменялось.
ДУМАЮ, проблема с авторизацией по маку, ну как это решить? у кого есть подобный опыт? Заранее спасибо)

[Vlad-2]

ну а что тут решать, авторизацию делает провайдер,
отваливается связь/сессия со стороны его,
у роутера лишь порт есть (и то, по Вашим описаниям) он в UP'е,
на роутере вообще как бы нет инструментов, роутер это клиент,
такой же как и другие роутеры.

Провайдер должен у себя смотреть, не только логи на системе авторизации,
посмотреть что на порту, какие маки, есть/нету, сам свитч у него (на который Вы
подключены - работает исправно, нет ли где ошибки в свитче).
Сменить свитч в точке подключения, переключить Вам порт на другой?!

Итог таков:
авторизацию делает провайдер, и у него с этой авторизацией проблемы,
в рамках всей сети его или в рамках Вашей точки подключения. Он и должен решать,
на крайний случай, пусть явно прописывает мак на порту свитча (жёстко) и всё,
и только Вы и только Ваш порт будет работать.

P.S.
У нас тоже было, Ростелеком не так или не правильно политики сделал/применил (вводили какую-то доп.опцию к тарифам),
защита сработала на портах свичей = короче, с утра , ни физики, ни юрики - остались без связи.
Так что проблемы, недочёты у всех бывают....

[algerka]

eth9 на eth1

порты случайно не в бридже ?
и как у вас резервирование настроено ?
конфиг нет желания показать ?

[306013645]

eth9 на eth1

порты случайно не в бридже ?
и как у вас резервирование настроено ?
конфиг нет желания показать ?

1. порты смотрящие к провайдерам eth1-isp1 eth10-isp2 ну eth9 тоже не в бридже. eth2,3,4,5, - бридж LAN. eth6,7,8 - бридж DMZ
2. резервирование по этой схеме http://www.technotrade.com.ua/Articles/ ... entitstart
сначало работает первый канал главный , потом когда первый авторизацию у провайдера теряет.. уходит на второго и всегда работает на втором. ну это не выход.
3. конфиг могу показать. завтра залью.

[306013645]

ну а что тут решать, авторизацию делает провайдер,
отваливается связь/сессия со стороны его,
у роутера лишь порт есть (и то, по Вашим описаниям) он в UP'е,
на роутере вообще как бы нет инструментов, роутер это клиент,
такой же как и другие роутеры.

Провайдер должен у себя смотреть, не только логи на системе авторизации,
посмотреть что на порту, какие маки, есть/нету, сам свитч у него (на который Вы
подключены - работает исправно, нет ли где ошибки в свитче).
Сменить свитч в точке подключения, переключить Вам порт на другой?!

Итог таков:
авторизацию делает провайдер, и у него с этой авторизацией проблемы,
в рамках всей сети его или в рамках Вашей точки подключения. Он и должен решать,
на крайний случай, пусть явно прописывает мак на порту свитча (жёстко) и всё,
и только Вы и только Ваш порт будет работать.

P.S.
У нас тоже было, Ростелеком не так или не правильно политики сделал/применил (вводили какую-то доп.опцию к тарифам),
защита сработала на портах свичей = короче, с утра , ни физики, ни юрики - остались без связи.
Так что проблемы, недочёты у всех бывают....

Спасибо за совет, я всё понимаю, ну почему тогда другой роутер длинк и обычный комп работают, и давно и стабильно.
провайдер не сильно сговорчивый говорит у нас всё хорошо разбирайтесь. я уже всё перелопатил.
попробую уговорить сменить порт на их коммутаторе. хотя там порт вроде один приходит, с оптики на витуху - медик висит..

[Vlad-2]

отключайте второго провайдера,
отключайте всё что связано со вторым провайдером:

а) адресацию
б) маршруты
в) даже порты отключите
и попробуйте на первом провайдере (у которого слетает авторизация через 30-40 мин.) и Вас отключают, попробуйте поработать.

Я тоже склоняюсь с высказанной мысли algerka - что, что-то у Вас возможно
не так сделано/состыковано и Вы где-то "коротите" порт/логику и провайдер Вас вырубает.
Вдруг такое происходит?

Тут народ и рррое в сеть локальную кидал, и DHCP свой в сторону провайдера анонсировал,
вариаций была масса, главное найти не стыковку.
Так что ждём-с конфиг!

[306013645]

отключайте второго провайдера,
отключайте всё что связано со вторым провайдером:

а) адресацию
б) маршруты
в) даже порты отключите
и попробуйте на первом провайдере (у которого слетает авторизация через 30-40 мин.) и Вас отключают, попробуйте поработать.

Я тоже склоняюсь с высказанной мысли algerka - что, что-то у Вас возможно
не так сделано/состыковано и Вы где-то "коротите" порт/логику и провайдер Вас вырубает.
Вдруг такое происходит?

Тут народ и рррое в сеть локальную кидал, и DHCP свой в сторону провайдера анонсировал,
вариаций была масса, главное найти не стыковку.
Так что ждём-с конфиг!

вот конфиг. у первого провайдера шлюз находится в другой подсети.

# jun/27/2018 10:35:34 by RouterOS 6.42.4
# software id = 6Y1U-T9P9
#
# model = RouterBOARD 3011UiAS
# serial number = 783D0801
/interface bridge
add fast-forward=no name=bridge-dmz
add fast-forward=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] advertise="" full-duplex=no mac-address=\
00:13:D4:AD:95:25
set [ find default-name=ether9 ] arp=disabled auto-negotiation=no \
mac-address=00:13:D4:AD:55:55 tx-flow-control=on
set [ find default-name=ether10 ] poe-out=off
set [ find default-name=sfp1 ] disabled=yes
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=local ranges=192.168.10.50-192.168.10.99
/ip dhcp-server
add address-pool=institute disabled=no interface=bridge-local lease-time=10h \
name=dhcp1
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-dmz interface=ether6
add bridge=bridge-dmz interface=ether7
add bridge=bridge-dmz interface=ether8
/ip address
add address=192.168.10.1/24 comment="institute local" interface=bridge-local \
network=192.168.10.0
add address=46.10.10.2/19 comment=ISP1 interface=ether1 network=\
46.10.10.0
add address=93.10.10.2/24 comment=ISP2 interface=ether10 network=\
93.10.10.0
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1,8.8.8.8 gateway=\
192.168.10.1
/ip dns
set allow-remote-requests=yes servers=\
8.8.8.8
/ip firewall filter
add action=drop chain=output comment=NetWatch dst-address=8.8.4.4 \
out-interface=ether10
add action=drop chain=forward comment="Drop Invalid Connections" \
connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="OUT INTERNET ETH10" \
out-interface=ether10
add action=masquerade chain=srcnat comment="OUT INTERNET ETH1" out-interface=\
ether1
add action=dst-nat chain=dstnat comment="in " dst-port=9999 \
in-interface=!bridge-local protocol=tcp to-addresses=192.168.10.254 \
to-ports=9990
add action=dst-nat chain=dstnat comment="in" dst-port=8888 \
in-interface=!bridge-local protocol=tcp to-addresses=192.168.10.254 \
to-ports=8888
add action=dst-nat chain=dstnat comment="in" dst-port=3355 \
in-interface=!bridge-local protocol=tcp to-addresses=192.168.10.252 \
to-ports=3389
/ip route
add comment=ISP2 distance=2 gateway=93.10.10.1
add comment=ISP1 distance=3 gateway=46.10.11.1
add comment=GOOGLE distance=1 dst-address=8.8.4.4/32 gateway=46.10.10.1
/ip service
set telnet disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=no
/tool netwatch
add down-script="/ip route enable [find comment=\"ISP2\"" host=8.8.4.4 \
interval=15s up-script="/ip route disable [find comment=\"ISP2\""

[Vlad-2]

/ip route
add comment=ISP1 distance=3 gateway=46.10.11.1
add comment=GOOGLE distance=1 dst-address=8.8.4.4/32 gateway=46.10.10.1

1)
Я не совсем понимаю:
то указывается шлюз: 46.10.11.1, то потом в другом маршруте как 46.10.10.1
где истина? и какой шлюз у Вас реально/выданный и правильный (для провайдера)?

2)
И что там за настройки на 9-м порту?
(лучше провайдеров завести на 8-й и 9-й порты, 10-в резерве оставить (из-за РОЕ лучше порт
не юзать, особенно с провайдерами).

3) я всё же настаиваю на своём предыдущем совете, убрать второго оператора,
убрать лишнее (хотя бы временно), и поработать традиционно, стандартно и лишь
только на одном этом провайдере.

[algerka]

add address=46.10.10.2/19 comment=ISP1 interface=ether1 network=\
46.10.10.0

а с маской не ошиблись ?
Думаю это, вместе с ошибкой что Vlad-2 заметил и получаете чудеса.

[306013645]

/ip route
add comment=ISP1 distance=3 gateway=46.10.11.1
add comment=GOOGLE distance=1 dst-address=8.8.4.4/32 gateway=46.10.10.1

1)
Я не совсем понимаю:
то указывается шлюз: 46.10.11.1, то потом в другом маршруте как 46.10.10.1
где истина? и какой шлюз у Вас реально/выданный и правильный (для провайдера)?

2)
И что там за настройки на 9-м порту?
(лучше провайдеров завести на 8-й и 9-й порты, 10-в резерве оставить (из-за РОЕ лучше порт
не юзать, особенно с провайдерами).

3) я всё же настаиваю на своём предыдущем совете, убрать второго оператора,
убрать лишнее (хотя бы временно), и поработать традиционно, стандартно и лишь
только на одном этом провайдере.

1. просто ошибся при замене ip на самом деле всё так.
ISP1 ШЛЮЗ В ДРУГОЙ ПОДСЕТИ. 46.10.11.1
ВОТ ТАКОЙ ПРАВИЛЬНЫЙ КОНФИГ:
маски точные
isp1 255.255.224.0/19 (шлюз провайдера в другой подсети.)
isp2 255.255.255.0/24


/ip address

add address=192.168.10.1/24 comment="institute local" interface=bridge-local \
network=192.168.10.0
add address=46.10.10.2/19 comment=isp1 interface=ether1 network=\
46.10.10.0
add address=93.10.10.2/24 comment=isp2 interface=ether10 network=\
93.10.10.0

/ip route
add comment=ISP2 distance=2 gateway=93.10.10.1
add comment=ISP1 distance=3 gateway=46.10.11.1
add comment=GOOGLE distance=1 dst-address=8.8.4.4/32 gateway=46.10.11.1

/ip service
/tool netwatch
add down-script="/ip route enable [find comment=\"ISP2\"" host=8.8.4.4 \
interval=15s up-script="/ip route disable [find comment=\"ISP2\"

2. на eth9 , ,был первый раз настроен ISP1 он без PoE . сейчас ISP1 на eth1 там нет PoE - ну это не изменило ситуацию.
второй провайдер ISP2 работает на eth10 c PoE с ним как раз нет никаких проблем - работает всё хорошо .

3. ISP2 один работает без проблем.
сейчас попробую удалить всё о втором ISP2 и подать ISP1 просто на eth1 и как обычный роутер без балансировок всякий. ну так я делал вроде по началу. был тоже отвал.
подключил, 5 минут уже работает наблюдаем