Пятиминутный затык на внешнем интерфейсе - РЕШЕНО

[michaeldreamway]

Доброго времени суток!

Прошу помощи, столкнулся со следующей проблемой на моем mikrotik 951ui-2hnd, RouterOS mipsbe v6.17, RouterBoard 3.18. Сам справиться с проблемой не смог, запас терпения для бесплодных попыток иссяк.

Проблема:
При запуске dc или торрентов пропадает связь с шлюзом провайдера. После падения активные сессии не разрываются, но скорость падает. Новые соединения не устанавливаются.

Проблема также наблюдается при запуске теста пропускной способности сети на speedtest.net, при первом запуске скорость максимальна, при последующих скорость снижается, пока в конце концов интернет не пропадает совсем.

Диагностика:

WAN интерфейс настроен на белый IP в трехадресной сети.

По данным netwatch, который пингует шлюз провайдера связь по внешнему интерфейсу пропадает ровно на 5 минут. В это время роутер доступен с локали, с роутера доступна локаль и адрес внешнего интерфейса.

Что необычно в маршрутах можно удалить маршрут по умолчанию 0.0.0.0/0 и создать по новой адрес шлюза в nexthop будет иметь состояние reacheable.

Выглядит так как будто роутер игнорирует новые соединения с WAN интерфейса или на исходящие пакеты ван интерфейса нет ответов от шлюза. Если перезагрузить роутер выключением питания, то после загрузки роутера связь появится до истечении 5 минутного интервала. Отключение-включение интерфейса или кабеля не помогает. Если соединить ПК напрямую к провайдеру проблема исчезает с теми же настройками клиента.

Роутер не сообщает о каких либо проблемах или ошибках. На фаерволе правила предельно просты, никаких заумных блокировок или ограничений. Количество пакетов проходящих через цепочки в норме. Загрузка ЦП в момент падения (+200 мс) не превышает 30% при ~300 соединениях, свободной памяти хватает. В арпах все гладко. Радиатор охлаждения на месте.

Пробовал отключать беспроводную сеть, чтобы в роутере остался только один ПК и один мак. Перепроверял нат, чтобы во внешнюю сеть не уходили внутренние адреса и прочее. Провайдер на своем оборудовании проблем не видит, блокировок нет. Драйвер на сетевую карту (dlink 530tx переустанавливал), но не хотелось бы услышать универсальный ответ. Даже если причина в "кривых" драйверах сетевой карты хотелось бы понять, что это за баг, как его выявить.

Конфигурация:

 

# jul/28/2014 19:44:12 by RouterOS 6.17
# software id = QYH4-KWD1
#
/interface ethernet
set [ find default-name=ether1 ] comment=wan mac-address=00:05:5D:6B:BD:8A \
name=eth1-wan
set [ find default-name=ether2 ] comment=lan name=eth2
set [ find default-name=ether3 ] master-port=eth2 name=eth3
set [ find default-name=ether4 ] master-port=eth2 name=eth4
set [ find default-name=ether5 ] master-port=eth2 name=eth5
/interface bridge
add l2mtu=1598 name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n comment=wifi country=russia disabled=no \
disconnect-timeout=9s distance=indoors frequency=2472 ht-rxchains=0 \
ht-txchains=0 l2mtu=2290 mode=ap-bridge mtu=1492 rate-set=configured \
ssid=ssid tx-power=7 tx-power-mode=all-rates-fixed wireless-protocol=\
802.11
/interface wireless nstreme
set wlan1 comment=wifi
/interface wireless manual-tx-power-table
set wlan1 comment=wifi
/ip neighbor discovery
set eth1-wan comment=wan discover=no
set eth2 comment=lan
set wlan1 comment=wifi
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=12312312 \
wpa2-pre-shared-key=12312312
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=dhcp-server
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/interface bridge port
add bridge=bridge-local interface=eth2
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.88.1/24 comment=local interface=eth2 network=192.168.88.0
add address=$my-host-ip/30 comment="my ext ip" interface=eth1-wan \
network=$my-network
/ip arp
add address=$my-gateway-ip interface=eth1-wan mac-address=C8:4C:75:E9:29:BF
add address=192.168.88.253 interface=bridge-local mac-address=\
00:05:5D:6B:BD:8A
add address=192.168.88.23 interface=bridge-local mac-address=\
18:E2:C2:E5:0B:D4
add address=192.168.88.25 interface=bridge-local mac-address=\
74:D0:2B:A7:8D:9C
add address=192.168.88.21 interface=bridge-local mac-address=\
20:10:7A:9D:EB:81
add address=192.168.88.22 interface=bridge-local mac-address=\
60:FE:C5:CE:AA:89
add address=192.168.88.18 interface=bridge-local mac-address=\
00:EE:BD:63:7E:48
/ip dhcp-server lease
add address=192.168.88.253 client-id=1:0:5:5d:6b:bd:8a comment=pc \
mac-address=00:05:5D:6B:BD:8A server=dhcp-server
add address=192.168.88.25 comment=asus mac-address=74:D0:2B:A7:8D:9C server=\
dhcp-server
add address=192.168.88.23 client-id=1:18:e2:c2:e5:b:d4 comment=samsung \
mac-address=18:E2:C2:E5:0B:D4 server=dhcp-server
add address=192.168.88.22 client-id=1:60:fe:c5:ce:aa:89 comment=ipad \
mac-address=60:FE:C5:CE:AA:89 server=dhcp-server
add address=192.168.88.21 client-id=1:20:10:7a:9d:eb:81 mac-address=\
20:10:7A:9D:EB:81 server=dhcp-server
add address=192.168.88.20 client-id=1:ec:17:2f:76:e1:35 comment="mercury pc" \
mac-address=EC:17:2F:76:E1:35 server=dhcp-server
add address=192.168.88.19 client-id=1:0:ee:bd:60:3e:d8 mac-address=\
00:EE:BD:60:3E:D8 server=dhcp-server
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=80.65.20.1,80.65.16.1 gateway=\
192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=80.65.16.1,80.65.20.1
/ip dns static
add address=192.168.88.253 name=PODVAL
/ip firewall address-list
add address=192.168.88.253 list=pc
add address=192.168.88.25 list=asus
add address=192.168.88.23 list=samsung
add address=127.0.0.0/8 list=LOOP
add address=192.168.88.0/24 list=LOCAL
add address=$my-workip list=work
add address=192.168.88.21 list=philips
add address=192.168.88.22 list=ipad
add address=192.168.88.18 list=htc
/ip firewall filter
add chain=forward comment="forward established accept" connection-state=\
established
add chain=forward comment="forward new out eth1-wan from LOCAL" \
connection-state=new out-interface=eth1-wan src-address-list=LOCAL
add chain=forward comment="uTorrent - forward new udp con from eth1-wan " \
connection-state=new dst-address=192.168.88.253 dst-port=38791 protocol=\
udp
add chain=forward comment="FileZilla - forward new tcp con from eth1-wan " \
connection-state=new dst-address=192.168.88.253 dst-port=65421 protocol=\
tcp
add chain=forward comment="uTorrent - forward new con from eth1-wan 38791" \
connection-state=new dst-address=192.168.88.253 dst-port=38791 protocol=\
tcp
add chain=forward comment=\
"FlyLinkDC - forward new tcp con from eth1-wan 30100" connection-state=\
new dst-address=192.168.88.253 dst-port=30100 protocol=tcp
add chain=forward comment=\
"FlyLinkDC - forward new udp con from eth1-wan 30200" connection-state=\
new dst-address=192.168.88.253 dst-port=30200 protocol=udp
add chain=forward comment=\
"FlyLinkDC - forward new udp con from eth1-wan 30300" connection-state=\
new dst-address=192.168.88.253 dst-port=30300 protocol=udp
add chain=forward comment="forward related" connection-state=related
add action=drop chain=forward comment="forward drop invalid" \
connection-state=invalid
add action=drop chain=forward comment="forward drop all"
add chain=input comment="input local established" connection-state=\
established in-interface=!eth1-wan
add chain=input comment="input eth1-wan established" connection-state=\
established in-interface=eth1-wan
add chain=input comment="input local eth2" in-interface=eth2
add chain=input comment="input local wlan" in-interface=wlan1 \
src-address-list=LOCAL
add chain=input comment="input related" connection-state=related
add action=jump chain=input comment="input jump work" connection-state=new \
jump-target=work src-address-list=work
add chain=work comment="input accept work"
add chain=input comment="input icmp" protocol=icmp
add action=drop chain=input comment="input drop invalid" connection-state=\
invalid in-interface=eth1-wan
add action=drop chain=input comment="input drop all wan" in-interface=\
eth1-wan
add chain=output comment="output local" out-interface=!eth1-wan
add chain=output comment="output wan" out-interface=eth1-wan
add action=drop chain=output comment="output drop all"
/ip firewall nat
add action=masquerade chain=srcnat comment=snat out-interface=eth1-wan \
src-address-list=LOCAL to-addresses=$my-host-ip
add action=dst-nat chain=dstnat comment="torrent 38791 tcp" dst-port=38791 \
in-interface=eth1-wan protocol=tcp to-addresses=192.168.88.253 to-ports=\
38791
add action=dst-nat chain=dstnat comment="filezilla 65421 tcp" dst-port=65421 \
in-interface=eth1-wan protocol=tcp to-addresses=192.168.88.253 to-ports=\
65421
add action=dst-nat chain=dstnat comment="torrent 38791 udp" dst-port=38791 \
in-interface=eth1-wan protocol=udp to-addresses=192.168.88.253 to-ports=\
38791
add action=dst-nat chain=dstnat comment="flylink dc 30100 tcp" dst-port=30100 \
in-interface=eth1-wan protocol=tcp to-addresses=192.168.88.253 to-ports=\
30100
add action=dst-nat chain=dstnat comment="flylink dc 30200 udp" dst-port=30200 \
in-interface=eth1-wan protocol=udp to-addresses=192.168.88.253 to-ports=\
30200
add action=dst-nat chain=dstnat comment="flylink dc 30300 dht" dst-port=30300 \
in-interface=eth1-wan protocol=udp to-addresses=192.168.88.253 to-ports=\
30300
add action=jump chain=dstnat comment=upnp disabled=yes jump-target=natupmp \
to-addresses=192.168.88.253
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip ipsec policy
add template=yes
/ip proxy
set parent-proxy=0.0.0.0
/ip route
add distance=1 gateway=$my-gateway-ip
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24
set ssh disabled=yes
set api address=192.168.88.0/24 disabled=yes
set winbox address=192.168.88.0/24
set api-ssl disabled=yes
/ip smb
set allow-guests=no interfaces=bridge-local
/ip traffic-flow
set cache-entries=1M interfaces=wlan1
/ip traffic-flow target
add address=192.168.88.253:9996 version=9
/ip upnp
set allow-disable-external-interface=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=eth5 type=internal
add interface=eth4 type=internal
add interface=eth3 type=internal
add interface=eth2 type=internal
add interface=eth1-wan type=external
/system clock manual
set time-zone=+08:00
/system identity
set name=PODVAL
/system leds
set 0 interface=wlan1
/system logging
add topics=critical
add action=echo topics=error
add action=echo topics=warning
add topics=interface
add topics=firewall
add topics=wireless
add prefix=diag topics=route,event,packet,rsvp,sstp,state
/system ntp client
set enabled=yes primary-ntp=193.27.209.1 secondary-ntp=193.27.209.211
/system routerboard settings
set cpu-frequency=700MHz
/system scheduler
add disabled=yes interval=15m name=wifi_powerdown on-event="# Script to turn d\
own radio power based on a schedule\r\
\n# Schedule this script to run every 10-15 minutes to make\r\
\n# certain the changeover has occurred.\r\
\n# User variables are listed below\r\
\n\r\
\n#####################################\r\
\n## Set the Radio HighPower and LowPower times here ##\r\
\n:local RadioHighPowerTime \"06:45\";\r\
\n:local RadioLowPowerTime \"00:15\";\r\
\n:local LowPower 1;\r\
\n:local HighPower 12;\r\
\n:local RadioName \"wlan1\";\r\
\n:local RadioPowerCut;\r\
\n:local RadioPower;\r\
\n:local UseNTPClientStatus \"no\";\r\
\n# set to \"no\" if clock is being set manually after each reboot #\r\
\n# set to \"yes\" if clock is being set using NTP client #\r\
\n\r\
\n#####################################\r\
\n\r\
\n#:log info \"RadioHighLow Script Starting\";\r\
\n#:log info \"Radio Name = \$RadioName\";\r\
\n\r\
\n# First check if system clock has been syncronized with local time #\r\
\n:local NTPSyncState [/system ntp client get status];\r\
\n#:log info \"NTP Client Status = \$NTPSyncState\";\r\
\n\r\
\n# Don't perform radio HighPower or LowPower operation, if current real t\
ime is unknown\r\
\n# May disable this by adjusting UseNTPClientStatus variable\r\
\n:if ((\$NTPSyncState=\"synchronized\") or (\$UseNTPClientStatus=\"no\"))\
\_do {\r\
\n# :log info \"NTP okay\";\r\
\n :local CurrentTime [/system clock get time];\r\
\n# :log info \"Current Time = \$CurrentTime\";\r\
\n :set RadioPower [:put [/interface wireless get value-name=tx-power \
\$RadioName]];\r\
\n# :log info \"Radio Power = \$RadioPower\";\r\
\n :if (\$RadioPower = \$LowPower) do {\r\
\n :set RadioPowerCut true;\r\
\n } else {\r\
\n :set RadioPowerCut false;\r\
\n }\r\
\n# :log info \"Radio PowerCut = \$RadioPowerCut\";\r\
\n :log info \"Current Time = \$CurrentTime / Radio Power =\
\_\$RadioPower / Radio PowerCut = \$RadioPowerCut\";\r\
\n\r\
\n# Where the HighPower time is set earlier than the LowPower time #\r\
\n :if (\$RadioHighPowerTime < \$RadioLowPowerTime) do {\r\
\n\r\
\n# Radio should be HighPower between these times #\r\
\n :if ((\$CurrentTime > \$RadioHighPowerTime) and (\$CurrentTime <\
\_\$RadioLowPowerTime)) do {\r\
\n\r\
\n :if (\$RadioPowerCut=true) do {\r\
\n :log info \"Radio was LowPower, now switching HighPower\
\";\r\
\n :put [/interface wireless set \$RadioName tx-power=\$Hig\
hPower];\r\
\n :put [/interface wireless enable wlan];\r\
\n }\r\
\n } else {\r\
\n\r\
\n :if (\$RadioPowerCut=false) do {\r\
\n :log info \"Radio was HighPower, now switching LowPower\
\";\r\
\n :put [/interface wireless set \$RadioName tx-power=\$Low\
Power];\r\
\n :put [/interface wireless disable wlan];\r\
\n }\r\
\n }\r\
\n }\r\
\n\r\
\n# Where the HighPower time is set later than the LowPower time #\r\
\n :if (\$RadioHighPowerTime > \$RadioLowPowerTime) do {\r\
\n\r\
\n# Radio should be LowPower between these times #\r\
\n :if ((\$CurrentTime < \$RadioHighPowerTime) and (\$CurrentTime >\
\_\$RadioLowPowerTime)) do {\r\
\n\r\
\n :if (\$RadioPowerCut=false) do {\r\
\n :log info \"Radio was HighPower, now switching LowPower\
\";\r\
\n :put [/interface wireless set \$RadioName tx-power=\$Low\
Power];\r\
\n :put [/interface wireless disable wlan];\r\
\n }\r\
\n } else {\r\
\n :if (\$RadioPowerCut=true) do {\r\
\n :log info \"Radio was LowPower, now switching HighPower\
\";\r\
\n :put [/interface wireless set \$RadioName tx-power=\$Hig\
hPower];\r\
\n :put [/interface wireless enable wlan];\r\
\n }\r\
\n\r\
\n }\r\
\n }\r\
\n\r\
\n#} else {\r\
\n# :log info \"System clock problem, unable to perform operation\";\r\
\n}\r\
\n\r\
\n#:log info \"RadioHighLow Script completed\";" policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
start-date=jan/01/1970 start-time=00:30:00
add disabled=yes interval=1d name=WiFiOff on-event="/interface disable wlan1" \
policy=reboot,read,write,policy,test,password,sniff,sensitive start-date=\
jan/01/1970 start-time=00:45:00
add disabled=yes interval=1d name=WiFiOn on-event="/interface enable wlan1" \
policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
start-date=jan/01/1970 start-time=06:45:00
/tool bandwidth-server
set authenticate=no
/tool graphing resource
add store-on-disk=no
/tool mac-server
set [ find default=yes ] disabled=yes
add disabled=yes interface=bridge-local
add interface=eth2
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add disabled=yes interface=bridge-local
add interface=eth2
/tool netwatch
add comment=gw down-script=":log warning \"### NetWatch - Gate $my-gateway-ip\
\_Down ###\";\r\
\n:log warning \"CPU: \$[/system resource get cpu-load]%\";\r\
\n:log warning \"RAM: \$(([/system resource get total-memory]-[/system res\
ource get free-memory])/1024)/\$([/system resource get total-memory]/1024)\
M\";\r\
\n:log warning \"CON: \$[/ip firewall connection tracking get total-entrie\
s]\";\r\
\n:beep;" host=$my-gateway-ip interval=1s timeout=500ms up-script=\
":log warning \"### NetWatch - Gate Up ###\";\r\
\n:beep;"
/tool sniffer
set filter-interface=eth1-wan memory-limit=1000KiB only-headers=yes

Много вопросов

Что может быть причиной подобного поведения?
Стоит ли мне обменять железо или искать проблему в ОС и настройках маршрутизатора?
Что убедит меня в том что проблема не на стороне провайдера?
Что можно сделать чтобы выявить причину? Откатить ли мне прошивку? Испытать ли роутер в качестве тупаря?
Какую информацию мне предоставить чтобы было проще понять проблему?

[DeLL]

Неплохо бы увидеть конфигурацию)

А так по всем симптомам - блокировка провайдером. По какой причине он блокирует - лучше позвоните ему и узнайте у него, чем гадать на кофейной гуще.

[michaeldreamway]

я и сам не могу отделаться от мысли что проблема в провайдере. после мороки с 32 маской подсети и бардаком в арпах присутствует инерция всех собак спускать на прова, но поговорил с инженерами, адекватны, вежливы, утверждают обратное :)

да и то что работа восстанавливается после перезагрузки роутера и то что при подключении пк все ок, все же наводит на мысли.

к тому же оформлял заявку на платую настройку роутера, приходил инженер посидел полтора два часа и ушел не взяв денег.

[gmx]

Прежде чем менять микротик, я бы делал следующее по шагам.

1. Конфиг какой есть. Отключил бы все кабели от микротика, только WAN. Ждем. Не упало - проблема в локальной сети, возможно есть петля. Упало, дальше...
2. Сброс до чистого конфига. Поднимаем только интерфейс WAN. Больше ничего. Пингуем, ждем. Не упало - очень хорошо, проблема была в конфиге. Упало, дальше...
3. Перешиваем через Netinstall. Возвращаемся к пункту 2. Не упало - супер. Упало, дальше.
4. Занимаем у знакомого другой микротик. Идем к пункту 2. Не упало - едем менять наш микротик, упало - меняем/пинаем провайдера.

Все это справедливо при условии, что проблема только при микротике появляется. Если подключаться напрямую компом проблемы точно нет?

[plin2s]

У вас есть

/ip dns
set allow-remote-requests=yes servers=80.65.16.1,80.65.20.1

При этом нет правила не внешнем интерфейсе дроп на 53 порту.
Уверены, что у вас нет паразитного трафика из-за которого железка не справляется и падает?

Да и в принципе в правилах какая-то мешанина наблюдается. Попробуйте отключить все правила фаервола и поработать без них некоторое время, для тестирования.

[michaeldreamway]

Прежде чем менять микротик, я бы делал следующее по шагам.

1. Конфиг какой есть. Отключил бы все кабели от микротика, только WAN. Ждем. Не упало - проблема в локальной сети, возможно есть петля. Упало, дальше...
2. Сброс до чистого конфига. Поднимаем только интерфейс WAN. Больше ничего. Пингуем, ждем. Не упало - очень хорошо, проблема была в конфиге. Упало, дальше...
3. Перешиваем через Netinstall. Возвращаемся к пункту 2. Не упало - супер. Упало, дальше.
4. Занимаем у знакомого другой микротик. Идем к пункту 2. Не упало - едем менять наш микротик, упало - меняем/пинаем провайдера.

Все это справедливо при условии, что проблема только при микротике появляется. Если подключаться напрямую компом проблемы точно нет?

техника хороша, но в моем случае проблема практически не наблюдается без запуска активных закачек в дц, да и запущенный дц или торрент могут проработать продолжительное время. как смоделировать множество соединений tcp и udp средствами микротик я пока не знаю. средствами роутера типа пинг флудилки канал уронить не удалось. сброс на заводские делал. у меня мак на порту провайдера дублируется от мака пк, но не думаю что в этом может быть проблема.

напрямую скачал гигабайт 50 при нескольких сотнях соединений, ни разу канал не упал. 1% потерь на оборудовании провайдера был превышен, но не более.

[michaeldreamway]

У вас есть

/ip dns
set allow-remote-requests=yes servers=80.65.16.1,80.65.20.1

При этом нет правила не внешнем интерфейсе дроп на 53 порту.
Уверены, что у вас нет паразитного трафика из-за которого железка не справляется и падает?

Да и в принципе в правилах какая-то мешанина наблюдается. Попробуйте отключить все правила фаервола и поработать без них некоторое время, для тестирования.

пошарю свой конфиг, наверное просто отключу удаленные запросы. если я правильно понимаю логику днс конечно или последую совету с дропом. пока читаю твои комменты на смайл нет :)

смущает что проблема проявляется и при дц и при спидтестах.

убрал галочку с allow remote requests дропнутых пакетов входящих на внешнем интерфейсе стало меньше. адреса днс раздаются по дхцп. спасибо за замечание :)

по поводу флуда в общем, за 10 минут работы дц с раздачей но без закачек дропнулось 6 входящих инвалидов и 12 остальных входящих. статистика дропа форвард пакетов втрое выше. но от общего числа в 208 тысяч пакетов в цепочке форвад в состоянии соединение установлено не критично на мой взгляд.

пробовал дефолтовые правила и отключать все дропы ситуацию не меняло.

[DeLL]

А в момент появления проблемы что пишет в логи?
Меня смущает несколько пунктов в вашем конфиге

Код: Выделить всё

/ip traffic-flow
set cache-entries=1M interfaces=wlan1
/ip traffic-flow target
add address=192.168.88.253:9996 version=9

и

Код: Выделить всё

/tool sniffer
set filter-interface=eth1-wan memory-limit=1000KiB only-headers=yes

Объясните, пожалуйста, что там такого вы шейпите или слушаете на компе на порту 9996 и зачем снифать внешку

[michaeldreamway]

А в момент появления проблемы что пишет в логи?
Меня смущает несколько пунктов в вашем конфиге

Код: Выделить всё

/ip traffic-flow
set cache-entries=1M interfaces=wlan1
/ip traffic-flow target
add address=192.168.88.253:9996 version=9

и

Код: Выделить всё

/tool sniffer
set filter-interface=eth1-wan memory-limit=1000KiB only-headers=yes

Объясните, пожалуйста, что там такого вы шейпите или слушаете на компе на порту 9996 и зачем снифать внешку

в момент падения в логе только сообщение netwatch моего даун скрипта.

запускал нет флоу чтобы слить трафик на пк и проанализировать почему на мои эхо запросы ответы от шлюза ко мне не приходят, но маршрут выстраивается. но не удалось, так как не разобрался в по.

с той же целью запускал сниф внешнего интерфейса во время затыка, что странно снюхивал соседские маки и широковещательные запросы.

вот так выглядит лог при запущенном дц:

 лог

22:48:54 system,info,account user admin logged in from 192.168.88.253 via telnet
22:49:12 script,warning ### NetWatch - Gate $gwip Down ###
22:49:12 script,warning CPU: 2%
22:49:12 script,warning RAM: 24160/131072M
22:49:12 script,warning CON: 24
22:50:59 system,info,account user admin logged in from 192.168.88.253 via telnet
22:54:00 script,warning ### NetWatch - Gate Up ###
22:56:41 script,warning ### NetWatch - Gate $gwip Down ###
22:56:41 script,warning CPU: 3%
22:56:41 script,warning RAM: 24280/131072M
22:56:41 script,warning CON: 20
23:01:10 script,warning ### NetWatch - Gate Up ###
23:03:25 script,warning ### NetWatch - Gate $gwip Down ###
23:03:25 script,warning CPU: 1%
23:03:25 script,warning RAM: 24328/131072M
23:03:25 script,warning CON: 17
23:08:20 script,warning ### NetWatch - Gate Up ###
23:09:09 wireless,info 00:EE:BD:63:7E:48@wlan1: disconnected, received disassoc: sendi
ng station leaving (8)
23:09:09 wireless,info wlan1: data from unknown device 00:EE:BD:63:7E:48, sent deauth
23:11:21 script,warning ### NetWatch - Gate $gwip Down ###
23:11:21 script,warning CPU: 0%
23:11:21 script,warning RAM: 24308/131072M
23:11:21 script,warning CON: 17
23:16:13 script,warning ### NetWatch - Gate Up ###
23:24:01 script,warning ### NetWatch - Gate $gwip Down ###
23:24:01 script,warning CPU: 3%
23:24:01 script,warning RAM: 24292/131072M
23:24:01 script,warning CON: 22
23:28:24 script,warning ### NetWatch - Gate Up ###
23:33:08 script,warning ### NetWatch - Gate $gwip Down ###
23:33:08 script,warning CPU: 2%
23:33:08 script,warning RAM: 24352/131072M
23:33:08 script,warning CON: 16
23:37:42 script,warning ### NetWatch - Gate Up ###
23:38:53 system,info,account user admin logged in from 192.168.88.253 via telnet

[michaeldreamway]

кто нибудь может подсказать маршрутизация это хардовая функция микротика? иптэйблс очевидно софтовая, может быть тогда в этом причина "частичного отказа".