Jump to content
Калькуляторы

Теряется связь на RB960PGS

Добрый вечер Уважаемые форумчане! Столкнулся с проблемой. Имеется 9 этажное здание. Главным маршрутизатором является RB960PGS. Подключение к провайдеру идет посредством PPPOE. Проблема заключается в следующем. Периодически теряется связь с интернетом и с самим микротиком. Если запускать непрерывный пинг на адрес микротика и на внешний адрес ( например днс гугла), то бывает проходят пинги отлично, а бывает обрыв.Причем это может происходить продолжительно или одномоментно. Когда связь с микротиком пропадает, а на микротике настроен DHCP сервер,то и локальная сеть перестает работать, т.е. не пингуются локальные адреса ( причем не всегда, бывает что работает).  После микротика идет коммутатор D-Link ( на нем отключено все что только можно) и от него посредством SFP и оптики подключаются неуправляемые коммутаторы на каждом этаже и дальше пользователи по витой паре подключаются к сети. Подскажите пожалуйста в чем может быть проблема. Сразу оговорюсь VLANов в сети пока что нет. VLAN11 который присутствует в конфиге, не используется создан был для тестирования не мной. Конфиг микротика прилагаю. Заранее спасибо за помощь. P.S. Сеть 192.168.0.0\20

/interface bridge
add name=br1-lan
/interface ethernet
set [ find default-name=ether1 ] mtu=1452 name=eth1-wan
set [ find default-name=ether5 ] name=eth5-lan poe-out=off
/interface pppoe-client
add add-default-route=yes disabled=no interface=eth1-wan name=tap1-wan \
    password=11111 use-peer-dns=yes user=11111
/interface l2tp-client
add connect-to=5.167.55.170 ipsec-secret=11111 keepalive-timeout=\
    disabled name=l2tp-out1 password=111111 use-ipsec=yes user=admin
/ip neighbor discovery
set eth1-wan discover=no
set sfp1 discover=no
set tap1-wan discover=no
/interface vlan
add interface=br1-lan name=vlan11 use-service-tag=yes vlan-id=11
/interface ethernet
set [ find default-name=ether2 ] master-port=eth5-lan name=eth2-lan
set [ find default-name=ether3 ] master-port=eth5-lan name=eth3-lan
set [ find default-name=ether4 ] master-port=eth5-lan name=eth4-lan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp-pc ranges=192.168.1.10-192.168.15.200
/ip dhcp-server
add address-pool=dhcp-pc disabled=no interface=br1-lan lease-time=9h name=\
    dhcp-pc
/interface bridge port
add bridge=br1-lan interface=eth5-lan
/ip address
add address=192.168.1.1/20 interface=br1-lan network=192.168.0.0
/ip dhcp-server network
add address=192.168.0.0/20 dns-server=83.221.202.254,80.254.111.13 gateway=\
    192.168.1.1 netmask=20
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall filter
add action=accept chain=forward comment=RDPcrm connection-nat-state=dstnat \
    connection-state="" dst-address=192.168.1.203 dst-port=3389 protocol=tcp
/ip firewall mangle
add action=change-mss chain=forward disabled=yes in-interface=tap1-wan new-mss=\
    1440 out-interface=tap1-wan passthrough=no protocol=tcp tcp-flags=syn \
    tcp-mss=1440-65535
add action=change-mss chain=forward in-interface=eth1-wan log=yes new-mss=\
    clamp-to-pmtu passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535
add action=change-mss chain=forward log=yes new-mss=clamp-to-pmtu \
    out-interface=eth1-wan passthrough=no protocol=tcp tcp-flags=syn tcp-mss=\
    1300-65535
/ip firewall nat
add action=dst-nat chain=dstnat comment=RDPCrm dst-address=Внешний IP \
    dst-port=3389 protocol=tcp to-addresses=192.168.1.203 to-ports=3389
add action=masquerade chain=srcnat
add action=netmap chain=dstnat comment=CRM dst-port=808 in-interface=tap1-wan \
    protocol=tcp to-addresses=192.168.1.203 to-ports=808
add action=netmap chain=dstnat comment=SDO dst-port=80 in-interface=tap1-wan \
    protocol=tcp to-addresses=192.168.1.203 to-ports=80
add action=dst-nat chain=dstnat dst-port=670 in-interface=eth1-wan protocol=tcp \
    src-port="" to-addresses=192.168.1.76 to-ports=666
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add forced-ip=0.0.0.0 interface=eth1-wan type=external
add interface=br1-lan type=internal
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system logging
add topics=ppp,pppoe
add topics=firewall
add topics=dhcp
/system ntp client
set enabled=yes primary-ntp=48.8.40.31 secondary-ntp=91.206.6.4
/system routerboard settings
set cpu-frequency=900MHz
/tool sniffer
set filter-interface=al

l
                        

Share this post


Link to post
Share on other sites

Это не конфиг, а слезы...

 

18 часов назад, guest786 сказал:

/interface ethernet set [ find default-name=ether1 ] mtu=1452 name=eth1-wan

Зачем? Убирайте выделенное.

 

18 часов назад, guest786 сказал:

/ip firewall mangle

add action=change-mss chain=forward disabled=yes in-interface=tap1-wan new-mss=1440 out-interface=tap1-wan passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1440-65535

add action=change-mss chain=forward in-interface=eth1-wan log=yes new-mss= clamp-to-pmtu passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535

add action=change-mss chain=forward log=yes new-mss=clamp-to-pmtu out-interface=eth1-wan passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535

...

/ip upnp interfaces add forced-ip=0.0.0.0 interface=eth1-wan type=external

Удаляйте вышележащее. Добавляйте следующее:

 

Цитата

/ip firewall filter

add action=accept chain=input comment="established, related" connection-state=established,related
add action=accept chain=forward comment="established, related" connection-state=established,related
add action=drop chain=input comment="invalid, new" connection-state=invalid,new in-interface=tap1-wan
add action=drop chain=forward comment=invalid connection-state=invalid in-interface=tap1-wan

И еще

18 часов назад, guest786 сказал:

add action=masquerade chain=srcnat

Так NAT не настраивают, определите направление трансляций указав out-interface=tap1-wan.

 

Share this post


Link to post
Share on other sites

25 минут назад, DRiVen сказал:

Так NAT не настраивают, определите направление трансляций указав out-interface=tap1-wan.

Если он к своему конфигу добавит такие советы, то вообще весь интернет ляжет=)

 

Топикстартеру нужно вообще сбросить конфиг в ноль, и настроить только то, что ему требуется, для защиты достаточно отключить доступ на службы с внешних адресов, указав только разрешенные, например серые адреса локалки. Всякие там блокировки доступа извне вообще не нужны.

Share this post


Link to post
Share on other sites

1 минуту назад, Saab95 сказал:

то вообще весь интернет ляжет=)

А пояснить свое мнение не желаете?

 

2 минуты назад, Saab95 сказал:

Всякие там блокировки доступа извне

У ТС вообще ни одного фильтра нет, вы о чем?

Share this post


Link to post
Share on other sites

8 часов назад, DRiVen сказал:

У ТС вообще ни одного фильтра нет, вы о чем?

+, хотя бы запретить запросы на dns, скорее всего из-за этого и ложиться

Share this post


Link to post
Share on other sites

5 минут назад, Timax сказал:

+, хотя бы запретить запросы на dns, скорее всего из-за этого и ложиться

А можно поподробнее как это делать и для чего такое действие нужно делать (для самообразования)?

Share this post


Link to post
Share on other sites

5 часов назад, guest786 сказал:

А можно поподробнее как это делать и для чего такое действие нужно делать (для самообразования)?

/ip firewall filter

add action=drop chain=input comment="Drop input DNS" dst-address=Ваш внешний IP dst-port=53 \
    protocol=udp
 

Share this post


Link to post
Share on other sites

15 часов назад, DRiVen сказал:

А пояснить свое мнение не желаете?

Вы советуете не верные настройки, касательно работы НАТ.

 

5 часов назад, guest786 сказал:

А можно поподробнее как это делать и для чего такое действие нужно делать (для самообразования)?

Что бы не блокировать никакие ДНС, не надо настраивать ДНС сервер на микротике, который имеет доступ в интернет. Обычно для этой цели ставят отдельный микротик, выдают ему серый IP, он и раздает ДНС для абонентов сети - никто на него извне не попадет.

Share this post


Link to post
Share on other sites

1 час назад, Saab95 сказал:

Вы советуете не верные настройки, касательно работы НАТ.

Да, для абсолютно верной настройки нужно еще указывать src-address, но у ТС на LAN адресация непрерывная, посему можно обойтись. И с учетом единичного туннельного WAN и монолитного LAN экзерсисы с "!" тут вообще ни в Красную Армию.

 

1 час назад, Saab95 сказал:

не надо настраивать ДНС сервер на микротике, который имеет доступ в интернет. Обычно для этой цели ставят отдельный микротик

Опять понесло?

Share this post


Link to post
Share on other sites

2 часа назад, Saab95 сказал:

не надо настраивать ДНС сервер на микротике

А где Вы там DNS сервер нашли ? Сами разработчики говорят, что это

 

Цитата

DNS cache is used to minimize DNS requests to an external DNS server as well as to minimize DNS resolution time. This is a simple DNS cache with local items.

 

 

Share this post


Link to post
Share on other sites

1 час назад, McSea сказал:

А где Вы там DNS сервер нашли ? Сами разработчики говорят, что это

Он отвечает со всех адресов, в том числе и внешних. Злоумышленник может использовать его для атак на другие ресурсы интернета. По этой причине закрывают порт DNS извне.

Самое правильное это использовать отдельный ДНС сервер, вспомните картинки из учебников по сетям, там никогда на одном сервере все службы сети не размещают.

Share this post


Link to post
Share on other sites

7 часов назад, Saab95 сказал:

Самое правильное это использовать отдельный ДНС сервер, вспомните картинки из учебников по сетям, там никогда на одном сервере все службы сети не размещают.

Я несколько про другое - если есть и необходимость, и наличие бюджета на отдельную железку под DNS сервер, то вряд ли это будет микротик, т.к. в RoS нет DNS сервера.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.