lexbam Posted March 5, 2019 Posted March 5, 2019 (edited) RouterBOARD 941-2nD RouterOS 6.42.12 Периодически отваливается порт, в логах "probably loop". Советы с интернета не помогли устранить проблему. Один фильтр по forward и маку бриджа выловил следующее: Понять не могу как это получается. На телефоне с этим маком стоит антивирус и минимум программ. Фильтр в лог пишет но дропанье пакета не помогает, всё равно роутер видит луп и отключает порт. Loop Protect отключал на всех интерфейсах. Подскажите что можно сделать в данной ситуации. Edited March 5, 2019 by lexbam Вставить ник Quote
pingz Posted March 5, 2019 Posted March 5, 2019 Кофе попил, на дне чашечки остался остаток, прочитал по остатку, что сударь вы забыли прикрепить конфиг. Вставить ник Quote
LostSoul Posted March 5, 2019 Posted March 5, 2019 2 часа назад, lexbam сказал: Периодически отваливается порт, в логах "probably loop". Советы с интернета не помогли устранить проблему. У вас скорее всего, "баянная" проблема, должна быть во всех FAQ. Если вы добавляете интерфейсы в bridge в микротике , то MAC самого бриджа на auto выставляется, как самый младший ( по нумерации ) mac из множества его активных ( в состоянии running портов ) при этом интерфейс wlan1 , если он сконфигурирован как AP и на нем нету ни одного подключенного клиента, не находится в состоянии Running. Дальше клиент подключается, интерфейс Wlan1 переходит в состояние running , MAC бриджа внезапно меняется и начинается геморой. Ситуация решается просто -- выставьте желаемый MAC адрес бриджа руками в настройках, не auto. Вставить ник Quote
lexbam Posted March 5, 2019 Author Posted March 5, 2019 (edited) Скрытый текст # mar/05/2019 18:05:05 by RouterOS 6.42.12 # software id = AQYK-WA1C # # model = RouterBOARD 941-2nD # serial number = /interface bridge add arp=reply-only fast-forward=no name=bridge-local /interface wireless set [ find default-name=wlan1 ] arp=reply-only band=2ghz-b/g/n channel-width=\ 20/40mhz-Ce default-authentication=no default-forwarding=no disabled=no \ distance=indoors frequency=2432 mac-address=CC:2D:E0:5A:62:F7 mode=\ ap-bridge radio-name=******** ssid=sdev tx-power=20 \ tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled /interface ethernet set [ find default-name=ether1 ] comment=isa loop-protect=off mac-address=\ CC:5D:4E:98:28:49 name=ether1-wan set [ find default-name=ether2 ] loop-protect=off set [ find default-name=ether3 ] loop-protect=\ off loop-protect-disable-time=1m set [ find default-name=ether4 ] loop-protect=off /interface list add comment="WAN ports" name=WAN add comment="LAN ports" name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \ supplicant-identity=sdev wpa-pre-shared-key=12345678 \ wpa2-pre-shared-key=12345678 /ip firewall layer7-protocol add comment="Block Bit Torrent" name=layer7-bittorrent-exp regexp="^(\\x13bitt\ orrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?inf\ o_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[\ RP]" /ip pool add name=dhcp ranges=10.2.1.200-10.2.1.240 /ip dhcp-server add add-arp=yes address-pool=dhcp disabled=no interface=bridge-local name=\ dhcp-lan /queue type add kind=pcq name=PCQ_DOWNLOAD_LAN pcq-classifier=dst-address \ pcq-dst-address6-mask=64 pcq-src-address6-mask=64 /queue simple add name=1-99 packet-marks=PCQ queue=default/default target=10.2.1.0/24 add name=100-199 packet-marks=PCQ_2 queue=default/default target=10.2.1.0/24 add limit-at=10M/10M max-limit=100M/100M name=2 parent=1-99 priority=5/5 \ target=10.2.1.2/32 add limit-at=10M/10M max-limit=100M/100M name=3 parent=1-99 priority=5/5 \ target=10.2.1.3/32 add limit-at=10M/10M max-limit=100M/100M name=4 parent=1-99 priority=5/5 \ target=10.2.1.4/32 add limit-at=10M/10M max-limit=100M/100M name=5 parent=1-99 priority=5/5 \ target=10.2.1.5/32 add limit-at=10M/10M max-limit=100M/100M name=6 parent=1-99 priority=5/5 \ target=10.2.1.6/32 add limit-at=10M/10M max-limit=100M/100M name=7 parent=1-99 priority=5/5 \ target=10.2.1.7/32 add limit-at=10M/10M max-limit=100M/100M name=8 parent=1-99 priority=5/5 \ target=10.2.1.8/32 add limit-at=10M/10M max-limit=100M/100M name=9 parent=1-99 priority=5/5 \ target=10.2.1.9/32 add limit-at=10M/10M max-limit=100M/100M name=10 parent=1-99 priority=5/5 \ target=10.2.1.10/32 add limit-at=10M/10M max-limit=100M/100M name=11 parent=1-99 priority=5/5 \ target=10.2.1.11/32 add limit-at=10M/10M max-limit=100M/100M name=12 parent=1-99 priority=5/5 \ target=10.2.1.12/32 add limit-at=10M/10M max-limit=100M/100M name=13 parent=1-99 priority=5/5 \ target=10.2.1.13/32 add limit-at=10M/10M max-limit=100M/100M name=14 parent=1-99 priority=5/5 \ target=10.2.1.14/32 add limit-at=10M/10M max-limit=100M/100M name=15 parent=1-99 priority=5/5 \ target=10.2.1.15/32 add limit-at=10M/10M max-limit=100M/100M name=16 parent=1-99 priority=5/5 \ target=10.2.1.16/32 add limit-at=10M/10M max-limit=100M/100M name=Alex parent=1-99 priority=5/5 \ target=10.2.1.17/32 add limit-at=10M/10M max-limit=100M/100M name=18 parent=1-99 priority=5/5 \ target=10.2.1.18/32 add limit-at=10M/10M max-limit=100M/100M name=19 parent=1-99 priority=5/5 \ target=10.2.1.19/32 add limit-at=10M/10M max-limit=100M/100M name=20 parent=1-99 priority=5/5 \ target=10.2.1.20/32 add limit-at=10M/10M max-limit=100M/100M name=21 parent=1-99 priority=5/5 \ target=10.2.1.21/32 add limit-at=10M/10M max-limit=100M/100M name=22 parent=1-99 priority=5/5 \ target=10.2.1.22/32 add limit-at=10M/10M max-limit=100M/100M name=23 parent=1-99 priority=5/5 \ target=10.2.1.23/32 add limit-at=10M/10M max-limit=100M/100M name=24 parent=1-99 priority=5/5 \ target=10.2.1.24/32 add limit-at=10M/10M max-limit=100M/100M name="\C4\E5\ED\E8\F1" parent=1-99 \ priority=5/5 target=10.2.1.25/32 add limit-at=10M/10M max-limit=100M/100M name=26 parent=1-99 priority=5/5 \ target=10.2.1.26/32 add limit-at=10M/10M max-limit=100M/100M name=27 parent=1-99 priority=5/5 \ target=10.2.1.27/32 add limit-at=10M/10M max-limit=100M/100M name=28 parent=1-99 priority=5/5 \ target=10.2.1.28/32 add limit-at=10M/10M max-limit=100M/100M name=29 parent=1-99 priority=5/5 \ target=10.2.1.29/32 add limit-at=10M/10M max-limit=100M/100M name=30 parent=1-99 priority=5/5 \ target=10.2.1.30/32 add limit-at=10M/10M max-limit=100M/100M name=31 parent=1-99 priority=5/5 \ target=10.2.1.31/32 /queue tree add max-limit=2200k name=DOWNLOAD parent=global queue=PCQ_DOWNLOAD_LAN add name=LAN packet-mark=PCQ parent=DOWNLOAD priority=6 queue=\ PCQ_DOWNLOAD_LAN add max-limit=666k name=queue_3 packet-mark=PCQ_3 parent=DOWNLOAD queue=\ PCQ_DOWNLOAD_LAN add name=queue_2 packet-mark=PCQ_2 parent=DOWNLOAD priority=7 queue=\ PCQ_DOWNLOAD_LAN /interface bridge filter add action=drop chain=input comment=loop in-bridge=bridge-local log=yes \ log-prefix=-- src-mac-address=CC:2D:E0:5A:61:F3/FF:FF:FF:FF:FF:FF add action=drop chain=input comment=loop in-interface=ether3 log=yes \ log-prefix=-- src-mac-address=CC:2D:E0:5A:61:F3/FF:FF:FF:FF:FF:FF add action=drop chain=input comment=loop disabled=yes in-bridge=bridge-local \ log-prefix=-- src-mac-address=80:35:C1:3E:56:FF/FF:FF:FF:FF:FF:FF add action=drop chain=forward comment=loop in-bridge=bridge-local log=yes \ log-prefix="- - - -" src-mac-address=CC:2D:E0:5A:61:F3/FF:FF:FF:FF:FF:FF /interface bridge host add bridge=bridge-local interface=ether2 mac-address=6C:41:6A:9D:6A:15 add bridge=bridge-local interface=ether2 mac-address=CC:5D:4E:84:50:18 /interface bridge port add bridge=bridge-local interface=ether2 add bridge=bridge-local interface=ether3 add bridge=bridge-local interface=ether4 add bridge=bridge-local interface=wlan1 /ip neighbor discovery-settings set discover-interface-list=none /interface list member add interface=ether2 list=LAN add interface=ether3 list=LAN add interface=ether4 list=LAN add interface=wlan1 list=LAN add interface=ether1-wan list=WAN add interface=bridge-local list=LAN /ip accounting set enabled=yes /ip accounting web-access set accessible-via-web=yes address=10.2.1.0/24 /ip address add address=10.2.1.1/24 interface=ether2 network=10.2.1.0 add address=10.3.*.*/16 interface=ether1-wan network=10.3.0.0 /ip cloud set update-time=no /ip dhcp-server lease add address=10.2.1.68 always-broadcast=yes client-id=1:80:35:c1:3e:56:ff \ comment="Note5" mac-address=80:35:C1:3E:56:FF server=\ dhcp-lan /ip dhcp-server network add address=10.2.1.0/24 dns-server=10.3.*.1,8.8.8.8,8.8.4.4,1.1.1.1 gateway=\ 10.2.1.1 /ip dns set allow-remote-requests=yes servers=10.3.*.1,8.8.8.8,1.1.1.1 /ip dns static add address=10.2.1.1 name=router add address=127.0.0.1 comment=WinTracking name=a-0001.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0002.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0003.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0004.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0005.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0006.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0007.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0008.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0009.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-msedge.net add address=127.0.0.1 comment=WinTracking name=a.ads1.msn.com add address=127.0.0.1 comment=WinTracking name=a.ads2.msads.net add address=127.0.0.1 comment=WinTracking name=a.ads2.msn.com add address=127.0.0.1 comment=WinTracking name=a.rad.msn.com add address=127.0.0.1 comment=WinTracking name=ac3.msn.com add address=127.0.0.1 comment=WinTracking name=ad.doubleclick.net add address=127.0.0.1 comment=WinTracking name=adnexus.net add address=127.0.0.1 comment=WinTracking name=adnxs.com add address=127.0.0.1 comment=WinTracking name=ads.msn.com add address=127.0.0.1 comment=WinTracking name=ads1.msads.net add address=127.0.0.1 comment=WinTracking name=ads1.msn.com add address=127.0.0.1 comment=WinTracking name=aidps.atdmt.com add address=127.0.0.1 comment=WinTracking name=aka-cdn-ns.adtech.de add address=127.0.0.1 comment=WinTracking name=az361816.vo.msecnd.net add address=127.0.0.1 comment=WinTracking name=az512334.vo.msecnd.net add address=127.0.0.1 comment=WinTracking name=b.ads1.msn.com add address=127.0.0.1 comment=WinTracking name=b.ads2.msads.net add address=127.0.0.1 comment=WinTracking name=b.rad.msn.com add address=127.0.0.1 comment=WinTracking name=bs.serving-sys.com add address=127.0.0.1 comment=WinTracking name=c.atdmt.com add address=127.0.0.1 comment=WinTracking name=c.msn.com add address=127.0.0.1 comment=WinTracking name=cdn.atdmt.com add address=127.0.0.1 comment=WinTracking name=cds26.ams9.msecn.net add address=127.0.0.1 comment=WinTracking name=choice.microsoft.com add address=127.0.0.1 comment=WinTracking name=choice.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=compatexchange.cloudapp.net add address=127.0.0.1 comment=WinTracking name=corp.sts.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ corpext.msitadfs.glbdns2.microsoft.com add address=127.0.0.1 comment=WinTracking name=cs1.wpc.v0cdn.net add address=127.0.0.1 comment=WinTracking name=db3aqu.atdmt.com add address=127.0.0.1 comment=WinTracking name=df.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ diagnostics.support.microsoft.com add address=127.0.0.1 comment=WinTracking name=ec.atdmt.com add address=127.0.0.1 comment=WinTracking name=feedback.microsoft-hohm.com add address=127.0.0.1 comment=WinTracking name=feedback.search.microsoft.com add address=127.0.0.1 comment=WinTracking name=feedback.windows.com add address=127.0.0.1 comment=WinTracking name=flex.msn.com add address=127.0.0.1 comment=WinTracking name=g.msn.com add address=127.0.0.1 comment=WinTracking name=h1.msn.com add address=127.0.0.1 comment=WinTracking name=\ i1.services.social.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ i1.services.social.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=lb1.www.ms.akadns.net add address=127.0.0.1 comment=WinTracking name=live.rads.msn.com add address=127.0.0.1 comment=WinTracking name=m.adnxs.com add address=127.0.0.1 comment=WinTracking name=msedge.net add address=127.0.0.1 comment=WinTracking name=msftncsi.com add address=127.0.0.1 comment=WinTracking name=\ msnbot-65-55-108-23.search.msn.com add address=127.0.0.1 comment=WinTracking name=msntest.serving-sys.com add address=127.0.0.1 comment=WinTracking name=oca.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ oca.telemetry.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=pre.footprintpredict.com add address=127.0.0.1 comment=WinTracking name=preview.msn.com add address=127.0.0.1 comment=WinTracking name=rad.live.com add address=127.0.0.1 comment=WinTracking name=rad.msn.com add address=127.0.0.1 comment=WinTracking name=\ redir.metaservices.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ reports.wes.df.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=schemas.microsoft.akadns.net add address=127.0.0.1 comment=WinTracking name=secure.adnxs.com add address=127.0.0.1 comment=WinTracking name=secure.flashtalking.com add address=127.0.0.1 comment=WinTracking name=\ services.wes.df.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ settings-sandbox.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ settings-win.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ sls.update.microsoft.com.akadns.net add address=127.0.0.1 comment=WinTracking name=sqm.df.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=sqm.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ sqm.telemetry.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=ssw.live.com add address=127.0.0.1 comment=WinTracking name=static.2mdn.net add address=127.0.0.1 comment=WinTracking name=statsfe1.ws.microsoft.com add address=127.0.0.1 comment=WinTracking name=statsfe2.ws.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ telecommand.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ telecommand.telemetry.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=telemetry.appex.bing.net add address=127.0.0.1 comment=WinTracking name=telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=telemetry.urs.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ v10.vortex-win.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ vortex-bn2.metron.live.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=\ vortex-cy2.metron.live.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=\ vortex-sandbox.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ vortex-win.data.metron.live.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=vortex-win.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ vortex.data.glbdns2.microsoft.com add address=127.0.0.1 comment=WinTracking name=vortex.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=watson.live.com add address=127.0.0.1 comment=WinTracking name=web.vortex.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=www.msftncsi.com /ip firewall address-list add address=10.2.1.1-10.2.1.240 list=Internet add address=10.2.1.1-10.2.1.99 list=LAN_PCQ add address=10.2.1.200-10.2.1.254 list=LAN_PCQ_3 add address=10.2.1.100-10.2.1.199 list=LAN_PCQ_2 add address=2.22.61.43 comment=WinTracking list=WinTracking add address=2.22.61.66 comment=WinTracking list=WinTracking add address=65.39.117.230 comment=WinTracking list=WinTracking add address=65.55.108.23 comment=WinTracking list=WinTracking add address=23.218.212.69 comment=WinTracking list=WinTracking add address=134.170.30.202 comment=WinTracking list=WinTracking add address=137.116.81.24 comment=WinTracking list=WinTracking add address=157.56.106.189 comment=WinTracking list=WinTracking add address=204.79.197.200 comment=WinTracking list=WinTracking add address=65.52.108.33 comment=WinTracking list=WinTracking add address=64.4.54.254 comment=WinTracking list=WinTracking /ip firewall filter add action=drop chain=forward comment=WinTracking dst-address-list=\ WinTracking add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \ in-interface=ether1-wan protocol=udp add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \ in-interface=ether1-wan protocol=tcp add action=add-src-to-address-list address-list=Torrent-Conn \ address-list-timeout=none-dynamic chain=forward comment=\ "Block Bit Torrent" layer7-protocol=layer7-bittorrent-exp src-address=\ 10.2.1.0/24 src-address-list=!allow-bit add action=accept chain=input comment="accept established,related,untracked" \ connection-state=established,related,untracked add action=drop chain=input comment="drop invalid" connection-state=invalid add action=accept chain=input comment="accept ICMP" protocol=icmp add action=accept chain=input comment="accept all from bridge-local" \ in-interface=bridge-local add action=accept chain=input comment="accept access for ManageIP group" \ src-address-list=ManageIP add action=drop chain=input comment="drop all other" add action=drop chain=forward comment="drop invalid" connection-state=invalid add action=drop chain=forward comment="Block Bit Torrent" disabled=yes \ dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp \ src-address-list=Torrent-Conn add action=drop chain=forward comment="Block Bit Torrent" disabled=yes \ dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp \ src-address-list=Torrent-Conn add action=fasttrack-connection chain=forward comment=fasttrack \ connection-mark=no-mark connection-state=established,related disabled=yes \ out-interface-list=LAN add action=accept chain=forward comment=\ "accept established,related,untracked" connection-state=\ established,related,untracked add action=accept chain=forward comment=\ "accept Internet via ISP1 for Internet group" connection-state=new \ in-interface=bridge-local out-interface=ether1-wan src-address-list=\ Internet add action=drop chain=forward comment="drop all other" /ip firewall mangle add action=mark-packet chain=forward comment=PCQ dst-address-list=LAN_PCQ \ new-packet-mark=PCQ passthrough=yes add action=mark-packet chain=forward comment=PCQ_2 dst-address-list=LAN_PCQ_2 \ new-packet-mark=PCQ_2 passthrough=yes add action=mark-packet chain=forward comment=PCQ_3 dst-address-list=LAN_PCQ_3 \ new-packet-mark=PCQ_3 passthrough=yes /ip firewall nat add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none \ out-interface-list=WAN /ip route add distance=1 gateway=10.3.*.1 /ip service set telnet address=10.2.1.0/24,10.3.*.#/32 disabled=yes set ftp address=10.2.1.0/24 disabled=yes set www address=10.2.1.0/24,10.3.*.#/32 set ssh address=10.2.1.0/24,10.3.*.#/32 disabled=yes set api address=10.2.1.0/24 disabled=yes set winbox address=10.2.1.0/24,10.3.*.#/32 set api-ssl address=10.2.1.0/24 disabled=yes /ip traffic-flow set interfaces=ether1-wan /snmp set trap-generators=*ABC0002 /system clock set time-zone-autodetect=no time-zone-name=Asia/Irkutsk /system clock manual set time-zone=+08:00 /system identity set name=ZyXel /system ntp client set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.230 /system package update set channel=long-term /tool graphing set store-every=24hours /tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=LAN Смущает строчка: /interface bridge host add bridge=bridge-local interface=ether2 mac-address=6C:41:6A:9D:6A:15 add bridge=bridge-local interface=ether2 mac-address=CC:5D:4E:84:50:18 Откуда взялось две команды на один интерфейс? 8 минут назад, LostSoul сказал: Ситуация решается просто -- выставьте желаемый MAC адрес бриджа руками в настройках, не auto. Мак бриджа установлен в ручную, это первое что сделал, только в конфиге не нашёл эту строчку. Edited March 5, 2019 by lexbam Вставить ник Quote
LostSoul Posted March 5, 2019 Posted March 5, 2019 10 минут назад, lexbam сказал: Откуда взялось две команды на один интерфейс? ну это вы зачем-то прописали две статических записи в таблице маков. У вас определено, что 6C:41:6A:9D:6A:15 и CC:5D:4E:84:50:18 доступны через порт ether2 бриджа bridge-local. Вы точно хотели настроить именно это? 10 минут назад, lexbam сказал: это первое что сделал, скорее всего .вы нашли не ту строчку. правильная строчка такая Цитата /interface bridge add name=br1 protocol-mode=none fast-forward=no auto-mac=no admin-mac=CC:00:00:00:00:01 Вставить ник Quote
lexbam Posted March 5, 2019 Author Posted March 5, 2019 1 минуту назад, LostSoul сказал: Вы точно хотели настроить именно это? Нет, вышло случайно. Лупы приходили со второго интерфейса поэтому поменял мак, потом поменял интерфейс Вставить ник Quote
lexbam Posted March 5, 2019 Author Posted March 5, 2019 18 минут назад, LostSoul сказал: правильная строчка такая Спасибо, поставил админ-мак. Буду ждать атаки телефона Вставить ник Quote
lexbam Posted March 7, 2019 Author Posted March 7, 2019 (edited) В 05.03.2019 в 18:36, LostSoul сказал: правильная строчка такая Не помогла установка мак адреса((( Почему проблема только с пакетами одного телефона? Edited March 7, 2019 by lexbam Вставить ник Quote
LostSoul Posted March 7, 2019 Posted March 7, 2019 3 часа назад, lexbam сказал: Не помогла установка мак адреса((( Почему проблема только с пакетами одного телефона? mac заканчивающийся на d3:a9 он исходно чей? wirless карты, ethernet в микротике? это установленный вами третий мак? Вставить ник Quote
lexbam Posted March 7, 2019 Author Posted March 7, 2019 1 минуту назад, LostSoul сказал: mac заканчивающийся на d3:a9 он исходно чей? wirless карты, ethernet в микротике? это установленный вами третий мак? это левый мак который я установил для бриджа Вставить ник Quote
LostSoul Posted March 7, 2019 Posted March 7, 2019 ip адрес у вас на бридж-интерфейс добавлен? Только что, lexbam сказал: это левый мак который я установил для бриджа Вставить ник Quote
lexbam Posted March 7, 2019 Author Posted March 7, 2019 2 минуты назад, LostSoul сказал: ip адрес у вас на бридж-интерфейс добавлен? Только что сделал, до этого локальный адрес роутера был на втором интерфейсе o_0. Во втором моём сообщении под спойлером конфиг роутера. Вставить ник Quote
LostSoul Posted March 7, 2019 Posted March 7, 2019 11 минут назад, lexbam сказал: Только что сделал, до этого локальный адрес роутера был на втором интерфейсе o_0. возможно в этом и была проблема, продолжайте наблюдение. Вставить ник Quote
lexbam Posted March 7, 2019 Author Posted March 7, 2019 23 минуты назад, LostSoul сказал: возможно в этом и была проблема, продолжайте наблюдение. Смущает то что проблема только с пакетами только одного телефона. Помимо него есть десяток других, не считая ПК. Вставить ник Quote
LostSoul Posted March 7, 2019 Posted March 7, 2019 6 минут назад, lexbam сказал: Смущает то что проблема только с пакетами только одного телефона. Помимо него есть десяток других, не считая ПК. у него может быть отличным какой-нибудь там код dhcp , приводящий к рассылке какого-то лишнего широковещательного пакета. У меня тут клиенты уже 2 месяца с chromocast гаджетом воюют, применение которого им микротики вообще ребутит сразу же.... Вставить ник Quote
lexbam Posted March 19, 2019 Author Posted March 19, 2019 В 07.03.2019 в 12:41, LostSoul сказал: ip адрес у вас на бридж-интерфейс добавлен? Тоже не помогло. Вставить ник Quote
LostSoul Posted March 19, 2019 Posted March 19, 2019 4 минуты назад, lexbam сказал: Тоже не помогло. сообщение в логах притерпели изменения? дайте сегодняшную версию Вставить ник Quote
lexbam Posted March 19, 2019 Author Posted March 19, 2019 4 минуты назад, LostSoul сказал: дайте сегодняшную версию Сегодняшний и вчерашний. Бывает серия подлиннее. Вставить ник Quote
LostSoul Posted March 19, 2019 Posted March 19, 2019 ну так проверьте все еще раз. почему у вас локально-порожденные пакеты с src mac d3:a9 внезапно приходят с интерфейса ether3? может все таки вы опять что-то напутали и у вас какой-то адрес к ether3 прибит? перегружать после изменения настроек пробовали? 18.201.7.1 это на каком интерфейсе адрес прибит? что у вас в правилах nat написано? 10.2.1.68 это IP телефона, вызывающего проблемы? Вставить ник Quote
lexbam Posted March 19, 2019 Author Posted March 19, 2019 Всё проверил, то что казалось не правильным озвучил ранее. На большее знаний не хватает 1 час назад, LostSoul сказал: почему у вас локально-порожденные пакеты с src mac d3:a9 внезапно приходят с интерфейса ether3? даже представить не могу как такое может быть. Кольца нет. Порты ether2 и ether3 менял. В nat только: /ip firewall nat add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none out-interface-list=WAN По ether3 всё проверил, там только: loop-protect=off loop-protect-disable-time=1m Роутер перегружал. 10.2.1.68 да это телефон на андроиде, проблемы только с ним. Есть в сети в качестве точки доступа DIR-300. Может проблема в нём? Сейчас вспомнил что лупы появляются только когда телефон с него подключается в сеть. Попробую убрать DIR-300. Спасибо за помощь. Вставить ник Quote
LostSoul Posted March 19, 2019 Posted March 19, 2019 попробуйте в это правило добавить src-ip=ваша локальная подсеть Вставить ник Quote
lexbam Posted March 19, 2019 Author Posted March 19, 2019 10 минут назад, LostSoul сказал: попробуйте в это правило добавить src-ip=ваша локальная подсеть т.е. src-address=10.2.1.0/24 ? Вставить ник Quote
pingz Posted March 19, 2019 Posted March 19, 2019 @lexbam Небольшой совет, когда у меня происходит невиданная "***" и я ее решить не могу, я скидываю микротик в дефол без начального конфига и захожу через mac. ИМХО если вам не требуется каналы L2 в вашей сети. То рекомендую в каждый широковещательный сегмент держать отдельно, а где требуется L2 его оставить. Т.е. нужно посидеть пофармить(ну эдак с 50+ apm в минуту), да долго прописывать интерфейсы, думать и придумывать IP адресацию переписывать это все на железе пользователей, за то на форум не будешь писать с такими постами. Эта строчка для домашних машинок /interface bridgeadd arp=reply-only fast-forward=no name=bridge-local Я был таким же как вы, лез на форум со свой болячкой. Но требовалось взять 4-5 листов А4 нарисовать свою схему и подумать, почему так происходит. З.Ы. чтобы максимально быстро найти проблему нужно сегментировать сеть и вы будете видеть в каком сигмете у вас есть проблема и ее будет в разы проще локализовать и сеть будет работать без этого сегмента пока вы не локализуете проблему. А вот в большой помойке(да у меня была сеть на 6-8 вланов на 2к пользователей сейчас 300, будет больше) Вставить ник Quote
lexbam Posted March 20, 2019 Author Posted March 20, 2019 21 час назад, pingz сказал: З.Ы. чтобы максимально быстро найти проблему нужно сегментировать сеть и вы будете видеть в каком сигмете у вас есть проблема В сети две точки, 5 компов и 30 телефонов. В один момент подключено редко больше 5 устройств. Обе точки сидят на одном порту, что тут сегментировать? Вставить ник Quote
pingz Posted March 20, 2019 Posted March 20, 2019 @lexbam Темболее разделить Wi-Fi клиентов и локальных с телефонами 3 сегмента. А у вас выходит ситуация вы получаете петлю и не знаете откуда она прилетает, при разбивке на 3 части все легко и просто находится. Поправить правила ната и фильтров. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.