guest786 Posted December 20, 2017 · Report post Добрый вечер Уважаемые форумчане! Столкнулся с проблемой. Имеется 9 этажное здание. Главным маршрутизатором является RB960PGS. Подключение к провайдеру идет посредством PPPOE. Проблема заключается в следующем. Периодически теряется связь с интернетом и с самим микротиком. Если запускать непрерывный пинг на адрес микротика и на внешний адрес ( например днс гугла), то бывает проходят пинги отлично, а бывает обрыв.Причем это может происходить продолжительно или одномоментно. Когда связь с микротиком пропадает, а на микротике настроен DHCP сервер,то и локальная сеть перестает работать, т.е. не пингуются локальные адреса ( причем не всегда, бывает что работает). После микротика идет коммутатор D-Link ( на нем отключено все что только можно) и от него посредством SFP и оптики подключаются неуправляемые коммутаторы на каждом этаже и дальше пользователи по витой паре подключаются к сети. Подскажите пожалуйста в чем может быть проблема. Сразу оговорюсь VLANов в сети пока что нет. VLAN11 который присутствует в конфиге, не используется создан был для тестирования не мной. Конфиг микротика прилагаю. Заранее спасибо за помощь. P.S. Сеть 192.168.0.0\20 /interface bridge add name=br1-lan /interface ethernet set [ find default-name=ether1 ] mtu=1452 name=eth1-wan set [ find default-name=ether5 ] name=eth5-lan poe-out=off /interface pppoe-client add add-default-route=yes disabled=no interface=eth1-wan name=tap1-wan \ password=11111 use-peer-dns=yes user=11111 /interface l2tp-client add connect-to=5.167.55.170 ipsec-secret=11111 keepalive-timeout=\ disabled name=l2tp-out1 password=111111 use-ipsec=yes user=admin /ip neighbor discovery set eth1-wan discover=no set sfp1 discover=no set tap1-wan discover=no /interface vlan add interface=br1-lan name=vlan11 use-service-tag=yes vlan-id=11 /interface ethernet set [ find default-name=ether2 ] master-port=eth5-lan name=eth2-lan set [ find default-name=ether3 ] master-port=eth5-lan name=eth3-lan set [ find default-name=ether4 ] master-port=eth5-lan name=eth4-lan /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp-pc ranges=192.168.1.10-192.168.15.200 /ip dhcp-server add address-pool=dhcp-pc disabled=no interface=br1-lan lease-time=9h name=\ dhcp-pc /interface bridge port add bridge=br1-lan interface=eth5-lan /ip address add address=192.168.1.1/20 interface=br1-lan network=192.168.0.0 /ip dhcp-server network add address=192.168.0.0/20 dns-server=83.221.202.254,80.254.111.13 gateway=\ 192.168.1.1 netmask=20 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.1.1 name=router.lan /ip firewall filter add action=accept chain=forward comment=RDPcrm connection-nat-state=dstnat \ connection-state="" dst-address=192.168.1.203 dst-port=3389 protocol=tcp /ip firewall mangle add action=change-mss chain=forward disabled=yes in-interface=tap1-wan new-mss=\ 1440 out-interface=tap1-wan passthrough=no protocol=tcp tcp-flags=syn \ tcp-mss=1440-65535 add action=change-mss chain=forward in-interface=eth1-wan log=yes new-mss=\ clamp-to-pmtu passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535 add action=change-mss chain=forward log=yes new-mss=clamp-to-pmtu \ out-interface=eth1-wan passthrough=no protocol=tcp tcp-flags=syn tcp-mss=\ 1300-65535 /ip firewall nat add action=dst-nat chain=dstnat comment=RDPCrm dst-address=Внешний IP \ dst-port=3389 protocol=tcp to-addresses=192.168.1.203 to-ports=3389 add action=masquerade chain=srcnat add action=netmap chain=dstnat comment=CRM dst-port=808 in-interface=tap1-wan \ protocol=tcp to-addresses=192.168.1.203 to-ports=808 add action=netmap chain=dstnat comment=SDO dst-port=80 in-interface=tap1-wan \ protocol=tcp to-addresses=192.168.1.203 to-ports=80 add action=dst-nat chain=dstnat dst-port=670 in-interface=eth1-wan protocol=tcp \ src-port="" to-addresses=192.168.1.76 to-ports=666 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ip upnp set enabled=yes /ip upnp interfaces add forced-ip=0.0.0.0 interface=eth1-wan type=external add interface=br1-lan type=internal /system clock set time-zone-autodetect=no time-zone-name=Europe/Moscow /system logging add topics=ppp,pppoe add topics=firewall add topics=dhcp /system ntp client set enabled=yes primary-ntp=48.8.40.31 secondary-ntp=91.206.6.4 /system routerboard settings set cpu-frequency=900MHz /tool sniffer set filter-interface=al l Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 20, 2017 · Report post Это не конфиг, а слезы... 18 часов назад, guest786 сказал: /interface ethernet set [ find default-name=ether1 ] mtu=1452 name=eth1-wan Зачем? Убирайте выделенное. 18 часов назад, guest786 сказал: /ip firewall mangle add action=change-mss chain=forward disabled=yes in-interface=tap1-wan new-mss=1440 out-interface=tap1-wan passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1440-65535 add action=change-mss chain=forward in-interface=eth1-wan log=yes new-mss= clamp-to-pmtu passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535 add action=change-mss chain=forward log=yes new-mss=clamp-to-pmtu out-interface=eth1-wan passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535 ... /ip upnp interfaces add forced-ip=0.0.0.0 interface=eth1-wan type=external Удаляйте вышележащее. Добавляйте следующее: Цитата /ip firewall filter add action=accept chain=input comment="established, related" connection-state=established,related add action=accept chain=forward comment="established, related" connection-state=established,related add action=drop chain=input comment="invalid, new" connection-state=invalid,new in-interface=tap1-wan add action=drop chain=forward comment=invalid connection-state=invalid in-interface=tap1-wan И еще 18 часов назад, guest786 сказал: add action=masquerade chain=srcnat Так NAT не настраивают, определите направление трансляций указав out-interface=tap1-wan. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 20, 2017 · Report post 25 минут назад, DRiVen сказал: Так NAT не настраивают, определите направление трансляций указав out-interface=tap1-wan. Если он к своему конфигу добавит такие советы, то вообще весь интернет ляжет=) Топикстартеру нужно вообще сбросить конфиг в ноль, и настроить только то, что ему требуется, для защиты достаточно отключить доступ на службы с внешних адресов, указав только разрешенные, например серые адреса локалки. Всякие там блокировки доступа извне вообще не нужны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 20, 2017 · Report post 1 минуту назад, Saab95 сказал: то вообще весь интернет ляжет=) А пояснить свое мнение не желаете? 2 минуты назад, Saab95 сказал: Всякие там блокировки доступа извне У ТС вообще ни одного фильтра нет, вы о чем? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted December 21, 2017 · Report post 8 часов назад, DRiVen сказал: У ТС вообще ни одного фильтра нет, вы о чем? +, хотя бы запретить запросы на dns, скорее всего из-за этого и ложиться Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
guest786 Posted December 21, 2017 · Report post 5 минут назад, Timax сказал: +, хотя бы запретить запросы на dns, скорее всего из-за этого и ложиться А можно поподробнее как это делать и для чего такое действие нужно делать (для самообразования)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted December 21, 2017 · Report post дропать пакеты в цепочке input на порт 53, отовсюду, кроме локальной сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted December 21, 2017 · Report post 5 часов назад, guest786 сказал: А можно поподробнее как это делать и для чего такое действие нужно делать (для самообразования)? /ip firewall filter add action=drop chain=input comment="Drop input DNS" dst-address=Ваш внешний IP dst-port=53 \ protocol=udp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 21, 2017 · Report post 15 часов назад, DRiVen сказал: А пояснить свое мнение не желаете? Вы советуете не верные настройки, касательно работы НАТ. 5 часов назад, guest786 сказал: А можно поподробнее как это делать и для чего такое действие нужно делать (для самообразования)? Что бы не блокировать никакие ДНС, не надо настраивать ДНС сервер на микротике, который имеет доступ в интернет. Обычно для этой цели ставят отдельный микротик, выдают ему серый IP, он и раздает ДНС для абонентов сети - никто на него извне не попадет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 21, 2017 · Report post 1 час назад, Saab95 сказал: Вы советуете не верные настройки, касательно работы НАТ. Да, для абсолютно верной настройки нужно еще указывать src-address, но у ТС на LAN адресация непрерывная, посему можно обойтись. И с учетом единичного туннельного WAN и монолитного LAN экзерсисы с "!" тут вообще ни в Красную Армию. 1 час назад, Saab95 сказал: не надо настраивать ДНС сервер на микротике, который имеет доступ в интернет. Обычно для этой цели ставят отдельный микротик Опять понесло? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted December 21, 2017 · Report post 2 часа назад, Saab95 сказал: не надо настраивать ДНС сервер на микротике А где Вы там DNS сервер нашли ? Сами разработчики говорят, что это Цитата DNS cache is used to minimize DNS requests to an external DNS server as well as to minimize DNS resolution time. This is a simple DNS cache with local items. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 21, 2017 · Report post 1 час назад, McSea сказал: А где Вы там DNS сервер нашли ? Сами разработчики говорят, что это Он отвечает со всех адресов, в том числе и внешних. Злоумышленник может использовать его для атак на другие ресурсы интернета. По этой причине закрывают порт DNS извне. Самое правильное это использовать отдельный ДНС сервер, вспомните картинки из учебников по сетям, там никогда на одном сервере все службы сети не размещают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted December 21, 2017 · Report post 7 часов назад, Saab95 сказал: Самое правильное это использовать отдельный ДНС сервер, вспомните картинки из учебников по сетям, там никогда на одном сервере все службы сети не размещают. Я несколько про другое - если есть и необходимость, и наличие бюджета на отдельную железку под DNS сервер, то вряд ли это будет микротик, т.к. в RoS нет DNS сервера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 22, 2017 · Report post Вопросов нет - поставьте что-то другое. Главное в интернет его не светить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...