[GeeZeeNburg]

Такая проблема.

ether1 - линк на провайдера.

ether2-5 - домашняя локалка. Временами отваливается интернет - перестают ходить пакеты, в Firewall не бегают циферки (там несколько правил ip+mac на меня и моих соседей по общаге). Единственное правило, в котором бежит счетчик - chain=input TCP connection established. Все правила на forward стоят на месте. Настроен маскарадинг.

Если включить-выключить ether1, чаще всего проблема исчезает. Процессор не в полочку, 10-50% обычно. Управление через Winbox не отваливается. Интернет при этом на микротике есть, поэтому настраивать Netwatch на передергивание интерфейса - бесполезно.

Что делать? Возможно ли хотя бы как-то это отслеживать и ребутить роутер?

[Nuts]

Перестают ходить пакеты с клиентов в интернет? А между клиентами?

В момент Х посмотрите, что роутер пишет в лог, попробуйте выключить все правила файрвола.

Причин может быть сотня.

[GeeZeeNburg]

Да, пакеты в интернет не ходят. Между собой юзеры общаются через тупой свитч, так что за это не скажу.

Ок, сейчас попробую словить и по результатам отпишусь.

[Saab95]

Возможно у вас в сети кольцо, от этого и не работает интернет. Отделите один порт от остальных и повесьте на него IP для доступа в интернет, и посмотрите будет ли отключаться связь на нем. Если перестанет то проблема уже ясное дело где. Кроме всего привязки по макам могут быть источником проблем.

[GeeZeeNburg]

Выключил все правила в Filter, не помогло. В логах пусто.

На ether1 ничтожная активность (несколько пакетов в секунду что на Tx, что на Rx). Перезапуск ether1 решает проблему. При этом с Микротика пингуется, например, 8.8.8.8.

Может, что-то можно посмотреть в маскарадинге?

 

Возможно у вас в сети кольцо, от этого и не работает интернет. Отделите один порт от остальных и повесьте на него IP для доступа в интернет, и посмотрите будет ли отключаться связь на нем. Если перестанет то проблема уже ясное дело где. Кроме всего привязки по макам могут быть источником проблем.

Будь у меня в сети кольцо, меня бы выкидывало с моего микротика :)

Кроме того, между мной и микротиком есть свитч с Loopback Detection, я б тогда вообще не зашел.

>привязки по макам могут быть источником проблем

Выключил все правила, ноль реакции. Но поподробнее? У микротика туго с этим?

[Saab95]

Вы на микротик в момент проблемы по маку заходите, или по IP адресу?

[GeeZeeNburg]

По IP

[Saab95]

Тогда все должно работать. Нужно смотреть на предмет пропуска IP из локалки в интернет. Для этого снимают конфиг в текстовом виде, сбрасывают настройки микротика (особенно если начальную конфигурацию не отменяли) и настраивают только самые нужные настройки, смотрят как работает. Если проблем нет, начинают поштучно добавлять довески к ним и уже ловить момент появления неисправности.

[GeeZeeNburg]

Ух, уважаемый Saab95, проще поменять железку.

Есть у меня в загашниках RB751G-2hnd, по незнанию не было в фаерволе правила на запрет DNS снаружи. Роутер попал в ботнет, во время дудоса 2 часа процессор был в полочку. После этого стал калекой. Даже после полного сброса всех настроек виснет через полчаса работы. Если постепенно добавлять правила ip+mac, то мгновенно виснет после добавления N-ного правила (каждый раз по-разному).

Могу вам подарить его и бесплатно выслать, чтоб пошатнуть вашу непоколебимую веру в микротики.

[GeeZeeNburg]

И замечу, что со вчерашнего дня, как я выключил-включил все правила в filter, висуна словить больше не приходилось.

Правила включены те же - перед выключением сделал бэкап и потом развернул его обратно. Микротикомагия, одним словом.

[Saab95]

И замечу, что со вчерашнего дня, как я выключил-включил все правила в filter, висуна словить больше не приходилось.

Правила включены те же - перед выключением сделал бэкап и потом развернул его обратно. Микротикомагия, одним словом.

 

Бекап через Files или export compact? Настройки сохранять нужно только в текстовом виде, потому что бекап через files сохраняет все мак адреса, и при заливке его на другое устройство - мак адреса будут изменены. В свое время так многие создатели беспроводных сетей попали, заливая настройки на клиентские антенны из бекапа и везде оказались одинаковые маки=)

 

Даже после полного сброса всех настроек виснет через полчаса работы. Если постепенно добавлять правила ip+mac, то мгновенно виснет после добавления N-ного правила (каждый раз по-разному).

 

Микротик принимает все пакеты, которые на него приходят. И так же сколько же у вас правил?

 

Если стоит вопрос максимального увеличения производительности и надежности, нужно выключить MAC-Server и список соседей, а так же залить последнюю стабильную прошивку. Но при выключении мак-сервера пропадет доступ через мак-телнет и через винбокс по маку.

[GeeZeeNburg]

 

Бекап через Files или export compact?

 

Через Files, но я и заливал его на то же устройство.

 

Микротик принимает все пакеты, которые на него приходят. И так же сколько же у вас правил?

 

Еще раз - это я вам написал о другом микротике. Он действительно безнадежен, после ддоса стал бесполезным кирпичом. Если не верите - велком, он ваш, экспериментируйте. Не шучу, могу выслать.

 

Если стоит вопрос максимального увеличения производительности и надежности, нужно выключить MAC-Server и список соседей, а так же залить последнюю стабильную прошивку. Но при выключении мак-сервера пропадет доступ через мак-телнет и через винбокс по маку.

Мак-сервер и соседи светят только в LAN, в сторону ISP все отключено. Это сильно влияет на производительность?

[Saab95]

Мак-сервер и соседи светят только в LAN, в сторону ISP все отключено. Это сильно влияет на производительность?

 

Не сильно, но влияет. Если в LAN нет других микротиков, то соседство лучше отключить. Если по маку к микротику не подключаетесь, то и мак сервер лучше выключить в сторону портов LAN, при этом можно один свободный порт отвести для аварийного подключения. В зависимости от нагрузки и профиля трафика, можно заметить улучшения производительности, т.к. микротик уже не проверяет все входящие пакеты L2, адресованы они ему или нет.

[GeeZeeNburg]

О, я не знал этого. Спасибо, применю.