Неведомая фигня: пропадают правила файрвола, но всё работает

Обсуждение оборудования и его настройки
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Добрый день!
С пол года назад мной были куплены 3 устройства для 3-х офисов:
RB2011UiAS-2HnD
и 2 штуки RB951G-2HnD

Были настроены ipec-туннели между ними, пробросы портов и прочие стандартные вещи.
Всё хорошо, всё работает. После того как всё окончательно настроил - забыл про существование микротиков. Всё хорошо и сказочно.
Но как то понадобилось что то перенастроить и я не увидел ни одного правила в ip-firewall. Хотя при этом устройство продолжало работать. VPN-ы, пробросы портов, запрещающие правила... всё-всё работало.
Думал глюк winbox, но через браузер та же история. Каково было удивление, когда я зашел на 2 других и там та же история. Благо есть бэкап и восстанавливается конфиг легко прямо на лету . После восстановления конфига, всё появилось как надо. Обновил прошивку и успокоился. Но затем всё повторилось.
Уже месяца 4 одинаковая история: примерно через месяц правила пропадают из файрвола, т.е всё работает но я их не вижу, их нет, но фактически они работают.
На данный момент firmware версии 6.43.8 , но уже обновлялся много раз и проблема спустя месяц появляется на разных прошивках.
Кто то встречался с подобной проблемой????
Если я чайник, то не пинайте сильно, это мои первые опыты с Латышами.


Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

ну, об этом нужно сообщать производителю, а не сюда


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Может кто сталкивался... и обращался к производителю например. Или глюк известный..


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) такова глюка не наблюдал.
2) а если через консоль(терминал) делать вывод конфигурации = там правила есть?
3) прошивке 6.43.8 - нет ещё и месяца....
4) я бы взял один роутер, очистил его руками, потом прошил NetInstall'ом, потом руками
в ручном режиме восстановил по-блокам конфигурацию, руками прописал нового админа,
с новым другим паролем. Дважды проверил ещё раз файрвол, всё это делал ТОЛЬКО через винбокс,
веб-интерфейс сразу отключить, И только после этого понаблюдал бы за роутером.

Возможно что у Вас косяк в бэкап-файле.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Vlad-2 писал(а): 11 янв 2019, 19:53 1) такова глюка не наблюдал.
2) а если через консоль(терминал) делать вывод конфигурации = там правила есть?
3) прошивке 6.43.8 - нет ещё и месяца....
4) я бы взял один роутер, очистил его руками, потом прошил NetInstall'ом, потом руками
в ручном режиме восстановил по-блокам конфигурацию, руками прописал нового админа,
с новым другим паролем. Дважды проверил ещё раз файрвол, всё это делал ТОЛЬКО через винбокс,
веб-интерфейс сразу отключить, И только после этого понаблюдал бы за роутером.

Возможно что у Вас косяк в бэкап-файле.
На данный момент восстановил бэкап. правила появились. Жду и наблюдаю за ситуацией последний раз. Если повторится, попробую как Вы пишете. Косяк в бэкап файле?? что с ним может быть??? --- не думаю...хотя хз.
Прошивке менее месяца --да, но я только обновился на неё, до этого были другие и самое что интересное у меня же 3 устройства!!!!!!

Вообщем тему оставляю отрытой. Жду время, как правила пропадут ( или не пропадут) отпишу сюда, заодно проверю отобразятся ли они если терминалом их вывод запросить.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

А после настройки я надеюсь Вы делаете перезагрузку устройства (через System > Reboot)?
А то данные на NAND флешку обычно скидываются при завершении работы устройства...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

imaoskol писал(а): 11 янв 2019, 22:14 На данный момент восстановил бэкап. правила появились.
Эх... :sh_ok: ....бэкап у Вас какой кстати?
(тот что делает микротик по-умолчанию, или в виде скрипта-текстовик?)
imaoskol писал(а): 11 янв 2019, 22:14 Жду и наблюдаю за ситуацией последний раз. Если повторится, попробую как Вы пишете.
А чего ждать, даже в лотерее так не везёт, чтобы 3 роутера и теряли правила?
Лечить надо проблему.
imaoskol писал(а): 11 янв 2019, 22:14 Косяк в бэкап файле?? что с ним может быть??? --- не думаю...хотя хз.
А другого не дано, есть уже свои так сказать "приметы", что любит микротик, а что нет.
С бекапами тоже, как и с конфигами пре-заводскими бывают нюансы.
imaoskol писал(а): 11 янв 2019, 22:14 Прошивке менее месяца --да, но я только обновился на неё, до этого были другие и самое что интересное у меня же 3 устройства!!!!!!
Как там говорят: один раз - случайность, второй раз - закономерность, а третий = (не помню).
Такой проблемы у меня, как возникла у Вас - нет, хотя если учесть то кол-во микротиков что я имею доступ
(с учётом микротиков рабочих + коллеги/друзья) наверно будет под 30-40 штук, разных моделей и архитектур...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Vlad-2 писал(а): 13 янв 2019, 03:51
imaoskol писал(а): 11 янв 2019, 22:14 На данный момент восстановил бэкап. правила появились.
Эх... :sh_ok: ....бэкап у Вас какой кстати?
(тот что делает микротик по-умолчанию, или в виде скрипта-текстовик?)
imaoskol писал(а): 11 янв 2019, 22:14 Жду и наблюдаю за ситуацией последний раз. Если повторится, попробую как Вы пишете.
А чего ждать, даже в лотерее так не везёт, чтобы 3 роутера и теряли правила?
Лечить надо проблему.
imaoskol писал(а): 11 янв 2019, 22:14 Косяк в бэкап файле?? что с ним может быть??? --- не думаю...хотя хз.
А другого не дано, есть уже свои так сказать "приметы", что любит микротик, а что нет.
С бекапами тоже, как и с конфигами пре-заводскими бывают нюансы.
imaoskol писал(а): 11 янв 2019, 22:14 Прошивке менее месяца --да, но я только обновился на неё, до этого были другие и самое что интересное у меня же 3 устройства!!!!!!
Как там говорят: один раз - случайность, второй раз - закономерность, а третий = (не помню).
Такой проблемы у меня, как возникла у Вас - нет, хотя если учесть то кол-во микротиков что я имею доступ
(с учётом микротиков рабочих + коллеги/друзья) наверно будет под 30-40 штук, разных моделей и архитектур...
Лечить то надо... Но как??? Диагноза у меня нет. Всё это похоже на глюк.
Теперь по порядку:
1) Бэкап у меня тот что делает Микротик Files--Backup
2) Жду не знаю чего.. Может прошивка?? Хотя 99% что нет так как прошивки за пол года были разные
3) По поводу конфига.... НА 2-х Микротиках конфиг отредактированный стандартный. На третьем я снес все правила и прописал все заново. Но результата не дало. Вот в последний раз пропали все правила на всех трех устройствах снова ( до того как создал тут тему)


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Проблемы нет если всё работает.
Проблема в подключении через VPN, Winbox и RDP сам несколько раз такое наблюдал. Заходишь, а он ничего не показывает. Для того чтобы убедится откройте себе доступ к устройству на прямую и посмотрите. Второй способ выгрузите конфиг в текст и посмотрите наличие правил.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Ca6ko писал(а): 13 янв 2019, 13:57 Проблемы нет если всё работает.
Проблема в подключении через VPN, Winbox и RDP сам несколько раз такое наблюдал. Заходишь, а он ничего не показывает. Для того чтобы убедится откройте себе доступ к устройству на прямую и посмотрите. Второй способ выгрузите конфиг в текст и посмотрите наличие правил.
Я winbox открыл напрямую. Картина одна и таже, если посмотреть через windox напрямую или локально через браузер. Даже если запросить вывод правил через терминал.....

Как это проблемы нет? Т.е. если мне надо что то изменить,то надо сначала восстановить бэкап, а потом добавлять/менять правила..


Ответить