nkusnetsov

@calutiya , физика всегда может влиять. Посмотрите с обеих сторон статистику на ethernet-портах. Есть там вкладка "Rx Stats", где ошибки можно попытаться увидеть. Ну и во вкладке "Status" поля Last Link up/down

К сожалению, подключение к CAPsMAN по L2, бывает, даёт странные глюки и отвалы. Всегда рекомендую использовать подключение по IP. admin-mac прописаный на бридже в том числе избавляет от отвалов, т.к. для работы IP используется ARP (сочетание port+mac+ip) и в случае "плавающего" mac на одном из бриджей, связность может теряться. А для L2 mac вообще ключевой.

@calutiya , для профилактики первым делом: 1) на точках доступа убрать capsman autodiscovery и прописать подключение с CAPsMAN по IP-адресу. 2) на хосте CAPsMAN добавить в фаервол правило разрешающее трафик UDP на порты 5246,5247 3) убедиться, что IP-адрес установлен НЕ на Slave-интерфейсе (ethernet включенный в бридж) 4) на бридже прописать вручную жестко admin-mac

@ERROR_404-2015 , netinstall

MAC-telnet тоже выключили?

На ethernet-порт можно привязать очередь (interface queue). Например, типа pcq. Но ограничение будет тогда только в одном направлении, либо upload, либо download.

@777BLOODER777 , ничего странного. Трояна-дроппера дятлу присунули.

@lamyk , могу. В микротике есть инструмент address-list. У записей вносимых туда есть таймаут. Процедура сводится к отлову нового пакета открывающего соединение и запуску таймаутов. Потребуются два списка: короткоживущий разрешающий и долгоживущий запрещающий. Проверка выполняется в отдельной цепочке. /ip fi fi add action=accept chain=rdpcontrol src-address-list=list10 add action=reject chain=rdpcontrol src-address-list=list60 add action=add-src-to-address-list address-list=list10 address-list-timeout=10m chain=rdpcontrol connection-state=new add action=add-src-to-address-list address-list=list60 address-list-timeout=1h10m chain=rdpcontrol connection-state=new add action=accept chain=rdpcontrol В цепочке forward следующее правило надо расположить выше, чем дефолтное разрешающее для соединений со статусом established. /ip fi fi add chain=forward protocol=tcp dst-port=3389 action=jump jump-target=rdpcontrol place-before=0

Вполне возможно. 4-5 строк в фаерволе.

Тогда этот адрес тоже лучше добавить на внешний интерфейс аналогично ".114" : "эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)" т.к., в отличие от циски, на микротике по-умолчанию выключен proxy-arp, и иначе ответы идущие на .115 могут не приниматься без адреса.

Уточняющий вопрос. Вижу у Вас два адреса, один заканчивается на ".114", другой на ".115". Они оба на внешнем интерфейсе были? Процитированная команда, на микротике соответствует параметру "to-addresses", в правиле NAT. К какому адресу производить трансляцию. Например: "/ip firewall nat add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.115" (сокращенный вариант. без критериев. не рекомендуется) Правильнее с критериями: "/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 action=src-nat to-addresses=xxx.xxx.xxx.115" (адреса локалки и имя внешнего интерфейса подставьте свои) Неясная ситуация. .113 - догадываюсь, что это шлюз провайдера .114 - адрес на Вашем интерфейсе. .115 - что за за адрес?

@kosmich7 , если там не видно, то рядом https://wiki.mikrotik.com/index.php?title=Supported_Hardware&oldid=29723#Ethernet_chipsets

К чему плодить столько правил? Winbox и WebFig работают по tcp. Ловить надо только их. В приведенном выше примере остальные протоколы (icmp, gre, ipip, ipsec) не проброшены. Сделать лучше так: /ip firewall nat add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8219 protocol=tcp to-ports=8291 add action=redirect chain=dstnat in-interface=l2tp-out1 dst-port=8080 protocol=tcp to-ports=80 add action=dst-nat chain=dstnat in-interface=l2tp-out1 to-addresses=192.168.1.254

Нормально Вы так народ подзапутали с фильтром. А отваливается он, согласно интервалу в параметрах ospf

@maxkst , если вы про forward (Default Forward) на беспроводном интерфейсе, то нет. Эта настройка изолирует между собой только клиентов подключенных к одной радиокарте. При этом в/из проводной сети трафик льётся беспрепятственно.

@pingz ,там много разных вероятностей, т.к. сеть была без какой-либо документации и даже без примитивных схем. Я уж не говорю о конфигах, где неправильная настройка бриджей может привести к непредсказуемым глюкам.

Это не догадка. Это инфо от автора темы. Отсюда, при наличии несегментированной сети с радиолинками, arp-запрос на выключенный хост будет генерироваться и доставляться бродкастом во всю сеть, по все свитчи. Пойдет через все мосты (включая радио) и приведет к росту TX.

@slv700 , вы действительно не в курсе или только делаете вид, что не знаете об управлении разрешенными модуляциями на микротике? Набор модуляций возможно ограничить как сверху так и снизу. При низком SNR и росте BER, элементарно запрещаются высокие модуляции. Обычно это входит в настройку линка. Если только админ лютый пионер, то ему без ACM, конечно, никуда.

Проверьте, перечислены ли интерфейсы VLAN14_MGMT и VLAN14_MGMT в оснастке /tool->mac-server->max-winbox среди разрешенных (входят ли в "interface-list" на который идет ссылка).

У Вас сеть не сегментирована. Иметь два по /24 в одном бродкаст-домене, в сочетании с отсутствием элементарной документации даже о линках - путь в никуда. Бесполезно спрашивать здесь, пока не потрудитесь нарисовать карту сети, Вам никто ничего толком не подскажет. Если Вы такой ленивый - увольняйте админа и продавайте бизнес.

@DAF , всегда пожалуйста. Вот пруф: https://wiki.mikrotik.com/wiki/Manual:Scripting#Variables " Note: Variable value size is limited to 4096bytes "

@DAF , из вики. Просто скопировать файл можно. Если брать и обрабатывать содержимое, то работает ограничение на размер переменной в памяти. .rsc это только для импорта. Целиком. Либо кусками (from-line). При объёме 14,1Мб, средствами RouterOS вы не сможете прочитать его построчно, чтобы, например, найти внутри запрещенные команды.

@QWE , задача невыполнима средствами встроенного языка RouterOS. В RouterOS предельный размер читаемого для обработки файла - 4 килобайта. Решайте средствами иной ОС. Для них примеров множество.

@nikolaevalexandr92 , если у Вас дефолтный фаервол, то там есть правило дропающее пакеты пришедшие с интерфейса НЕ в списке "LAN". Добавьте интерфейс "bridge_guest" в список "LAN" в разделе "Interfces"-"Interface List"

@LostSoul , мне действительно интересна причина такого поведения устройства. Если не нуждаетесь в техпомощи, покажите проблемный вариант, чтобы другие знали. У меня не на железе, не на стенде описанная Вами ситуация не воспроизводится. При перемещении клиента в другой vlan адреса назначаются корректно.