[lexbam]

RouterBOARD 941-2nD RouterOS 6.42.12

Периодически отваливается порт, в логах "probably loop". Советы с интернета не помогли устранить проблему.

Один фильтр по forward и маку бриджа выловил следующее: 

 

 

Понять не могу как это получается. На телефоне с этим маком стоит антивирус и минимум программ.

Фильтр в лог пишет но дропанье пакета не помогает, всё равно роутер видит луп и отключает порт. Loop Protect отключал на всех интерфейсах.

Подскажите что можно сделать в данной ситуации. 

 

 

Edited March 5, 2019 by lexbam

[pingz]

Кофе попил, на дне чашечки остался остаток, прочитал по остатку, что сударь вы забыли прикрепить конфиг. 

[LostSoul]

2 часа назад, lexbam сказал:

Периодически отваливается порт, в логах "probably loop". Советы с интернета не помогли устранить проблему.

 

У вас скорее всего, "баянная" проблема, должна быть во всех FAQ.

Если вы добавляете интерфейсы в bridge в микротике , то MAC самого бриджа на auto выставляется, как самый младший ( по нумерации ) mac  из множества его активных ( в состоянии running портов )

при этом интерфейс wlan1  , если он сконфигурирован как AP  и на нем нету ни одного подключенного клиента, не находится в состоянии Running.

Дальше клиент подключается, интерфейс Wlan1 переходит в состояние running , MAC бриджа внезапно меняется и начинается геморой.

 

Ситуация решается просто  -- выставьте желаемый MAC адрес бриджа руками в настройках, не auto.

 

[lexbam]

Скрытый текст

# mar/05/2019 18:05:05 by RouterOS 6.42.12
# software id = AQYK-WA1C
#
# model = RouterBOARD 941-2nD
# serial number = 
/interface bridge
add arp=reply-only fast-forward=no name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] arp=reply-only band=2ghz-b/g/n channel-width=\
    20/40mhz-Ce default-authentication=no default-forwarding=no disabled=no \
    distance=indoors frequency=2432 mac-address=CC:2D:E0:5A:62:F7 mode=\
    ap-bridge radio-name=******** ssid=sdev tx-power=20 \
    tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
/interface ethernet
set [ find default-name=ether1 ] comment=isa loop-protect=off mac-address=\
    CC:5D:4E:98:28:49 name=ether1-wan
set [ find default-name=ether2 ] loop-protect=off
set [ find default-name=ether3 ] loop-protect=\
    off loop-protect-disable-time=1m
set [ find default-name=ether4 ] loop-protect=off
/interface list
add comment="WAN ports" name=WAN
add comment="LAN ports" name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
    supplicant-identity=sdev wpa-pre-shared-key=12345678 \
    wpa2-pre-shared-key=12345678
/ip firewall layer7-protocol
add comment="Block Bit Torrent" name=layer7-bittorrent-exp regexp="^(\\x13bitt\
    orrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?inf\
    o_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[\
    RP]"
/ip pool
add name=dhcp ranges=10.2.1.200-10.2.1.240
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge-local name=\
    dhcp-lan
/queue type
add kind=pcq name=PCQ_DOWNLOAD_LAN pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-src-address6-mask=64
/queue simple
add name=1-99 packet-marks=PCQ queue=default/default target=10.2.1.0/24
add name=100-199 packet-marks=PCQ_2 queue=default/default target=10.2.1.0/24
add limit-at=10M/10M max-limit=100M/100M name=2 parent=1-99 priority=5/5 \
    target=10.2.1.2/32
add limit-at=10M/10M max-limit=100M/100M name=3 parent=1-99 priority=5/5 \
    target=10.2.1.3/32
add limit-at=10M/10M max-limit=100M/100M name=4 parent=1-99 priority=5/5 \
    target=10.2.1.4/32
add limit-at=10M/10M max-limit=100M/100M name=5 parent=1-99 priority=5/5 \
    target=10.2.1.5/32
add limit-at=10M/10M max-limit=100M/100M name=6 parent=1-99 priority=5/5 \
    target=10.2.1.6/32
add limit-at=10M/10M max-limit=100M/100M name=7 parent=1-99 priority=5/5 \
    target=10.2.1.7/32
add limit-at=10M/10M max-limit=100M/100M name=8 parent=1-99 priority=5/5 \
    target=10.2.1.8/32
add limit-at=10M/10M max-limit=100M/100M name=9 parent=1-99 priority=5/5 \
    target=10.2.1.9/32
add limit-at=10M/10M max-limit=100M/100M name=10 parent=1-99 priority=5/5 \
    target=10.2.1.10/32
add limit-at=10M/10M max-limit=100M/100M name=11 parent=1-99 priority=5/5 \
    target=10.2.1.11/32
add limit-at=10M/10M max-limit=100M/100M name=12 parent=1-99 priority=5/5 \
    target=10.2.1.12/32
add limit-at=10M/10M max-limit=100M/100M name=13 parent=1-99 priority=5/5 \
    target=10.2.1.13/32
add limit-at=10M/10M max-limit=100M/100M name=14 parent=1-99 priority=5/5 \
    target=10.2.1.14/32
add limit-at=10M/10M max-limit=100M/100M name=15 parent=1-99 priority=5/5 \
    target=10.2.1.15/32
add limit-at=10M/10M max-limit=100M/100M name=16 parent=1-99 priority=5/5 \
    target=10.2.1.16/32
add limit-at=10M/10M max-limit=100M/100M name=Alex parent=1-99 priority=5/5 \
    target=10.2.1.17/32
add limit-at=10M/10M max-limit=100M/100M name=18 parent=1-99 priority=5/5 \
    target=10.2.1.18/32
add limit-at=10M/10M max-limit=100M/100M name=19 parent=1-99 priority=5/5 \
    target=10.2.1.19/32
add limit-at=10M/10M max-limit=100M/100M name=20 parent=1-99 priority=5/5 \
    target=10.2.1.20/32
add limit-at=10M/10M max-limit=100M/100M name=21 parent=1-99 priority=5/5 \
    target=10.2.1.21/32
add limit-at=10M/10M max-limit=100M/100M name=22 parent=1-99 priority=5/5 \
    target=10.2.1.22/32
add limit-at=10M/10M max-limit=100M/100M name=23 parent=1-99 priority=5/5 \
    target=10.2.1.23/32
add limit-at=10M/10M max-limit=100M/100M name=24 parent=1-99 priority=5/5 \
    target=10.2.1.24/32
add limit-at=10M/10M max-limit=100M/100M name="\C4\E5\ED\E8\F1" parent=1-99 \
    priority=5/5 target=10.2.1.25/32
add limit-at=10M/10M max-limit=100M/100M name=26 parent=1-99 priority=5/5 \
    target=10.2.1.26/32
add limit-at=10M/10M max-limit=100M/100M name=27 parent=1-99 priority=5/5 \
    target=10.2.1.27/32
add limit-at=10M/10M max-limit=100M/100M name=28 parent=1-99 priority=5/5 \
    target=10.2.1.28/32
add limit-at=10M/10M max-limit=100M/100M name=29 parent=1-99 priority=5/5 \
    target=10.2.1.29/32
add limit-at=10M/10M max-limit=100M/100M name=30 parent=1-99 priority=5/5 \
    target=10.2.1.30/32
add limit-at=10M/10M max-limit=100M/100M name=31 parent=1-99 priority=5/5 \
    target=10.2.1.31/32
/queue tree
add max-limit=2200k name=DOWNLOAD parent=global queue=PCQ_DOWNLOAD_LAN
add name=LAN packet-mark=PCQ parent=DOWNLOAD priority=6 queue=\
    PCQ_DOWNLOAD_LAN
add max-limit=666k name=queue_3 packet-mark=PCQ_3 parent=DOWNLOAD queue=\
    PCQ_DOWNLOAD_LAN
add name=queue_2 packet-mark=PCQ_2 parent=DOWNLOAD priority=7 queue=\
    PCQ_DOWNLOAD_LAN
/interface bridge filter
add action=drop chain=input comment=loop in-bridge=bridge-local log=yes \
    log-prefix=-- src-mac-address=CC:2D:E0:5A:61:F3/FF:FF:FF:FF:FF:FF
add action=drop chain=input comment=loop in-interface=ether3 log=yes \
    log-prefix=-- src-mac-address=CC:2D:E0:5A:61:F3/FF:FF:FF:FF:FF:FF
add action=drop chain=input comment=loop disabled=yes in-bridge=bridge-local \
    log-prefix=-- src-mac-address=80:35:C1:3E:56:FF/FF:FF:FF:FF:FF:FF
add action=drop chain=forward comment=loop in-bridge=bridge-local log=yes \
    log-prefix="- - - -" src-mac-address=CC:2D:E0:5A:61:F3/FF:FF:FF:FF:FF:FF
/interface bridge host
add bridge=bridge-local interface=ether2 mac-address=6C:41:6A:9D:6A:15
add bridge=bridge-local interface=ether2 mac-address=CC:5D:4E:84:50:18
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=wlan1 list=LAN
add interface=ether1-wan list=WAN
add interface=bridge-local list=LAN
/ip accounting
set enabled=yes
/ip accounting web-access
set accessible-via-web=yes address=10.2.1.0/24
/ip address
add address=10.2.1.1/24 interface=ether2 network=10.2.1.0
add address=10.3.*.*/16 interface=ether1-wan network=10.3.0.0
/ip cloud
set update-time=no
/ip dhcp-server lease
add address=10.2.1.68 always-broadcast=yes client-id=1:80:35:c1:3e:56:ff \
    comment="Note5" mac-address=80:35:C1:3E:56:FF server=\
    dhcp-lan
/ip dhcp-server network
add address=10.2.1.0/24 dns-server=10.3.*.1,8.8.8.8,8.8.4.4,1.1.1.1 gateway=\
    10.2.1.1
/ip dns
set allow-remote-requests=yes servers=10.3.*.1,8.8.8.8,1.1.1.1
/ip dns static
add address=10.2.1.1 name=router
add address=127.0.0.1 comment=WinTracking name=a-0001.a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a-0002.a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a-0003.a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a-0004.a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a-0005.a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a-0006.a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a-0007.a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a-0008.a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a-0009.a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a-msedge.net
add address=127.0.0.1 comment=WinTracking name=a.ads1.msn.com
add address=127.0.0.1 comment=WinTracking name=a.ads2.msads.net
add address=127.0.0.1 comment=WinTracking name=a.ads2.msn.com
add address=127.0.0.1 comment=WinTracking name=a.rad.msn.com
add address=127.0.0.1 comment=WinTracking name=ac3.msn.com
add address=127.0.0.1 comment=WinTracking name=ad.doubleclick.net
add address=127.0.0.1 comment=WinTracking name=adnexus.net
add address=127.0.0.1 comment=WinTracking name=adnxs.com
add address=127.0.0.1 comment=WinTracking name=ads.msn.com
add address=127.0.0.1 comment=WinTracking name=ads1.msads.net
add address=127.0.0.1 comment=WinTracking name=ads1.msn.com
add address=127.0.0.1 comment=WinTracking name=aidps.atdmt.com
add address=127.0.0.1 comment=WinTracking name=aka-cdn-ns.adtech.de
add address=127.0.0.1 comment=WinTracking name=az361816.vo.msecnd.net
add address=127.0.0.1 comment=WinTracking name=az512334.vo.msecnd.net
add address=127.0.0.1 comment=WinTracking name=b.ads1.msn.com
add address=127.0.0.1 comment=WinTracking name=b.ads2.msads.net
add address=127.0.0.1 comment=WinTracking name=b.rad.msn.com
add address=127.0.0.1 comment=WinTracking name=bs.serving-sys.com
add address=127.0.0.1 comment=WinTracking name=c.atdmt.com
add address=127.0.0.1 comment=WinTracking name=c.msn.com
add address=127.0.0.1 comment=WinTracking name=cdn.atdmt.com
add address=127.0.0.1 comment=WinTracking name=cds26.ams9.msecn.net
add address=127.0.0.1 comment=WinTracking name=choice.microsoft.com
add address=127.0.0.1 comment=WinTracking name=choice.microsoft.com.nsatc.net
add address=127.0.0.1 comment=WinTracking name=compatexchange.cloudapp.net
add address=127.0.0.1 comment=WinTracking name=corp.sts.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    corpext.msitadfs.glbdns2.microsoft.com
add address=127.0.0.1 comment=WinTracking name=cs1.wpc.v0cdn.net
add address=127.0.0.1 comment=WinTracking name=db3aqu.atdmt.com
add address=127.0.0.1 comment=WinTracking name=df.telemetry.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    diagnostics.support.microsoft.com
add address=127.0.0.1 comment=WinTracking name=ec.atdmt.com
add address=127.0.0.1 comment=WinTracking name=feedback.microsoft-hohm.com
add address=127.0.0.1 comment=WinTracking name=feedback.search.microsoft.com
add address=127.0.0.1 comment=WinTracking name=feedback.windows.com
add address=127.0.0.1 comment=WinTracking name=flex.msn.com
add address=127.0.0.1 comment=WinTracking name=g.msn.com
add address=127.0.0.1 comment=WinTracking name=h1.msn.com
add address=127.0.0.1 comment=WinTracking name=\
    i1.services.social.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    i1.services.social.microsoft.com.nsatc.net
add address=127.0.0.1 comment=WinTracking name=lb1.www.ms.akadns.net
add address=127.0.0.1 comment=WinTracking name=live.rads.msn.com
add address=127.0.0.1 comment=WinTracking name=m.adnxs.com
add address=127.0.0.1 comment=WinTracking name=msedge.net
add address=127.0.0.1 comment=WinTracking name=msftncsi.com
add address=127.0.0.1 comment=WinTracking name=\
    msnbot-65-55-108-23.search.msn.com
add address=127.0.0.1 comment=WinTracking name=msntest.serving-sys.com
add address=127.0.0.1 comment=WinTracking name=oca.telemetry.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    oca.telemetry.microsoft.com.nsatc.net
add address=127.0.0.1 comment=WinTracking name=pre.footprintpredict.com
add address=127.0.0.1 comment=WinTracking name=preview.msn.com
add address=127.0.0.1 comment=WinTracking name=rad.live.com
add address=127.0.0.1 comment=WinTracking name=rad.msn.com
add address=127.0.0.1 comment=WinTracking name=\
    redir.metaservices.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    reports.wes.df.telemetry.microsoft.com
add address=127.0.0.1 comment=WinTracking name=schemas.microsoft.akadns.net
add address=127.0.0.1 comment=WinTracking name=secure.adnxs.com
add address=127.0.0.1 comment=WinTracking name=secure.flashtalking.com
add address=127.0.0.1 comment=WinTracking name=\
    services.wes.df.telemetry.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    settings-sandbox.data.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    settings-win.data.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    sls.update.microsoft.com.akadns.net
add address=127.0.0.1 comment=WinTracking name=sqm.df.telemetry.microsoft.com
add address=127.0.0.1 comment=WinTracking name=sqm.telemetry.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    sqm.telemetry.microsoft.com.nsatc.net
add address=127.0.0.1 comment=WinTracking name=ssw.live.com
add address=127.0.0.1 comment=WinTracking name=static.2mdn.net
add address=127.0.0.1 comment=WinTracking name=statsfe1.ws.microsoft.com
add address=127.0.0.1 comment=WinTracking name=statsfe2.ws.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    telecommand.telemetry.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    telecommand.telemetry.microsoft.com.nsatc.net
add address=127.0.0.1 comment=WinTracking name=telemetry.appex.bing.net
add address=127.0.0.1 comment=WinTracking name=telemetry.microsoft.com
add address=127.0.0.1 comment=WinTracking name=telemetry.urs.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    v10.vortex-win.data.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    vortex-bn2.metron.live.com.nsatc.net
add address=127.0.0.1 comment=WinTracking name=\
    vortex-cy2.metron.live.com.nsatc.net
add address=127.0.0.1 comment=WinTracking name=\
    vortex-sandbox.data.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    vortex-win.data.metron.live.com.nsatc.net
add address=127.0.0.1 comment=WinTracking name=vortex-win.data.microsoft.com
add address=127.0.0.1 comment=WinTracking name=\
    vortex.data.glbdns2.microsoft.com
add address=127.0.0.1 comment=WinTracking name=vortex.data.microsoft.com
add address=127.0.0.1 comment=WinTracking name=watson.live.com
add address=127.0.0.1 comment=WinTracking name=web.vortex.data.microsoft.com
add address=127.0.0.1 comment=WinTracking name=www.msftncsi.com
/ip firewall address-list
add address=10.2.1.1-10.2.1.240 list=Internet
add address=10.2.1.1-10.2.1.99 list=LAN_PCQ
add address=10.2.1.200-10.2.1.254 list=LAN_PCQ_3
add address=10.2.1.100-10.2.1.199 list=LAN_PCQ_2
add address=2.22.61.43 comment=WinTracking list=WinTracking
add address=2.22.61.66 comment=WinTracking list=WinTracking
add address=65.39.117.230 comment=WinTracking list=WinTracking
add address=65.55.108.23 comment=WinTracking list=WinTracking
add address=23.218.212.69 comment=WinTracking list=WinTracking
add address=134.170.30.202 comment=WinTracking list=WinTracking
add address=137.116.81.24 comment=WinTracking list=WinTracking
add address=157.56.106.189 comment=WinTracking list=WinTracking
add address=204.79.197.200 comment=WinTracking list=WinTracking
add address=65.52.108.33 comment=WinTracking list=WinTracking
add address=64.4.54.254 comment=WinTracking list=WinTracking
/ip firewall filter
add action=drop chain=forward comment=WinTracking dst-address-list=\
    WinTracking
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface=ether1-wan protocol=udp
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface=ether1-wan protocol=tcp
add action=add-src-to-address-list address-list=Torrent-Conn \
    address-list-timeout=none-dynamic chain=forward comment=\
    "Block Bit Torrent" layer7-protocol=layer7-bittorrent-exp src-address=\
    10.2.1.0/24 src-address-list=!allow-bit
add action=accept chain=input comment="accept established,related,untracked" \
    connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept all from bridge-local" \
    in-interface=bridge-local
add action=accept chain=input comment="accept access for ManageIP group" \
    src-address-list=ManageIP
add action=drop chain=input comment="drop all other"
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="Block Bit Torrent" disabled=yes \
    dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp \
    src-address-list=Torrent-Conn
add action=drop chain=forward comment="Block Bit Torrent" disabled=yes \
    dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp \
    src-address-list=Torrent-Conn
add action=fasttrack-connection chain=forward comment=fasttrack \
    connection-mark=no-mark connection-state=established,related disabled=yes \
    out-interface-list=LAN
add action=accept chain=forward comment=\
    "accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment=\
    "accept Internet via ISP1 for Internet group" connection-state=new \
    in-interface=bridge-local out-interface=ether1-wan src-address-list=\
    Internet
add action=drop chain=forward comment="drop all other"
/ip firewall mangle
add action=mark-packet chain=forward comment=PCQ dst-address-list=LAN_PCQ \
    new-packet-mark=PCQ passthrough=yes
add action=mark-packet chain=forward comment=PCQ_2 dst-address-list=LAN_PCQ_2 \
    new-packet-mark=PCQ_2 passthrough=yes
add action=mark-packet chain=forward comment=PCQ_3 dst-address-list=LAN_PCQ_3 \
    new-packet-mark=PCQ_3 passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none \
    out-interface-list=WAN
/ip route
add distance=1 gateway=10.3.*.1
/ip service
set telnet address=10.2.1.0/24,10.3.*.#/32 disabled=yes
set ftp address=10.2.1.0/24 disabled=yes
set www address=10.2.1.0/24,10.3.*.#/32
set ssh address=10.2.1.0/24,10.3.*.#/32 disabled=yes
set api address=10.2.1.0/24 disabled=yes
set winbox address=10.2.1.0/24,10.3.*.#/32
set api-ssl address=10.2.1.0/24 disabled=yes
/ip traffic-flow
set interfaces=ether1-wan
/snmp
set trap-generators=*ABC0002
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Irkutsk
/system clock manual
set time-zone=+08:00
/system identity
set name=ZyXel
/system ntp client
set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.230
/system package update
set channel=long-term
/tool graphing
set store-every=24hours
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 

 

Смущает строчка:

/interface bridge host
add bridge=bridge-local interface=ether2 mac-address=6C:41:6A:9D:6A:15
add bridge=bridge-local interface=ether2 mac-address=CC:5D:4E:84:50:18

Откуда взялось две команды на один интерфейс?

 

8 минут назад, LostSoul сказал:

Ситуация решается просто  -- выставьте желаемый MAC адрес бриджа руками в настройках, не auto.

 

Мак бриджа установлен в ручную, это первое что сделал, только в конфиге не нашёл эту строчку.

Edited March 5, 2019 by lexbam

[LostSoul]

10 минут назад, lexbam сказал:

Откуда взялось две команды на один интерфейс?

 

ну это вы зачем-то прописали две статических записи в таблице маков.

У вас определено, что 6C:41:6A:9D:6A:15 и CC:5D:4E:84:50:18 доступны через порт ether2 бриджа bridge-local.

Вы точно хотели настроить именно это?
 

 

10 минут назад, lexbam сказал:

это первое что сделал,

скорее всего .вы нашли не ту строчку.

правильная строчка такая

Цитата

/interface bridge
add name=br1 protocol-mode=none fast-forward=no auto-mac=no admin-mac=CC:00:00:00:00:01

 

[lexbam]

1 минуту назад, LostSoul сказал:

Вы точно хотели настроить именно это?
 

Нет, вышло случайно. Лупы приходили со второго интерфейса поэтому поменял мак, потом поменял интерфейс

[lexbam]

18 минут назад, LostSoul сказал:

правильная строчка такая

 

Спасибо, поставил админ-мак. Буду ждать атаки телефона

[lexbam]

 

В 05.03.2019 в 18:36, LostSoul сказал:

правильная строчка такая

 

Не помогла установка мак адреса(((

 

 

Почему проблема только с пакетами одного телефона?

Edited March 7, 2019 by lexbam

[LostSoul]

3 часа назад, lexbam сказал:

 

Не помогла установка мак адреса(((

 

 

Почему проблема только с пакетами одного телефона?



mac заканчивающийся на d3:a9  он исходно чей?   wirless карты,   ethernet в микротике? это установленный вами третий мак?

 

 

[lexbam]

1 минуту назад, LostSoul сказал:

mac заканчивающийся на d3:a9  он исходно чей?   wirless карты,   ethernet в микротике? это установленный вами третий мак?

 

 

это левый мак который я установил для бриджа

[LostSoul]

ip адрес у вас на бридж-интерфейс добавлен?

Только что, lexbam сказал:

это левый мак который я установил для бриджа

 

[lexbam]

2 минуты назад, LostSoul сказал:

ip адрес у вас на бридж-интерфейс добавлен?

 

Только что сделал, до этого локальный адрес роутера был на втором интерфейсе o_0.

Во втором моём сообщении под спойлером конфиг роутера.

[LostSoul]

11 минут назад, lexbam сказал:

Только что сделал, до этого локальный адрес роутера был на втором интерфейсе o_0.

 

возможно в этом и была проблема, продолжайте наблюдение.

 

[lexbam]

23 минуты назад, LostSoul сказал:

возможно в этом и была проблема, продолжайте наблюдение.

 

Смущает то что проблема только с пакетами только одного телефона. Помимо него есть десяток других, не считая ПК.

[LostSoul]

6 минут назад, lexbam сказал:

Смущает то что проблема только с пакетами только одного телефона. Помимо него есть десяток других, не считая ПК.

у него может быть отличным какой-нибудь там код dhcp , приводящий к рассылке какого-то лишнего широковещательного пакета.

 

У меня тут клиенты уже 2 месяца с chromocast гаджетом воюют, применение которого им микротики вообще ребутит сразу же....

 

[lexbam]

В 07.03.2019 в 12:41, LostSoul сказал:

ip адрес у вас на бридж-интерфейс добавлен?

 

Тоже не помогло.

[LostSoul]

4 минуты назад, lexbam сказал:

Тоже не помогло.

сообщение в логах притерпели изменения?

дайте сегодняшную версию

 

[lexbam]

4 минуты назад, LostSoul сказал:

дайте сегодняшную версию

 

Сегодняшний и вчерашний. 

 

Бывает серия подлиннее. 

[LostSoul]

ну так проверьте все еще раз.

почему у вас локально-порожденные пакеты с src mac  d3:a9  внезапно приходят с интерфейса ether3?

может все таки вы опять что-то напутали и  у вас какой-то адрес к ether3 прибит?

перегружать после изменения настроек пробовали?

18.201.7.1 это на каком интерфейсе адрес прибит?

что у вас в правилах nat написано?

 

10.2.1.68 это IP телефона, вызывающего проблемы?

 

 

 

[lexbam]

Всё проверил, то что казалось не правильным озвучил ранее. На большее знаний не хватает

 

1 час назад, LostSoul сказал:

почему у вас локально-порожденные пакеты с src mac  d3:a9  внезапно приходят с интерфейса ether3?

даже представить не могу как такое может быть. Кольца нет. Порты ether2 и ether3 менял.

 

В nat только:

/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none out-interface-list=WAN

 

По ether3 всё проверил, там только:

  loop-protect=off loop-protect-disable-time=1m

 

Роутер перегружал.

 

10.2.1.68 да это телефон на андроиде, проблемы только с ним.

 

Есть в сети в качестве точки доступа DIR-300. Может проблема в нём? Сейчас вспомнил что лупы появляются только когда телефон с него подключается в сеть. Попробую убрать DIR-300.

 

 

Спасибо за помощь.

[LostSoul]

попробуйте в это правило добавить src-ip=ваша локальная подсеть

 

[lexbam]

10 минут назад, LostSoul сказал:

попробуйте в это правило добавить src-ip=ваша локальная подсеть

 

т.е. src-address=10.2.1.0/24 ?

[pingz]

@lexbam Небольшой совет, когда у меня происходит невиданная "***" и я ее решить не могу, я скидываю микротик в дефол без начального конфига и захожу через mac. 

 

ИМХО если вам не требуется каналы L2 в вашей сети.  То рекомендую в каждый широковещательный сегмент держать отдельно, а где требуется L2 его оставить. 

 

Т.е. нужно посидеть пофармить(ну эдак с 50+ apm в минуту), да долго прописывать интерфейсы, думать и придумывать IP адресацию переписывать это все на железе пользователей, за то на форум не будешь писать с такими постами. 

 

Эта строчка для домашних машинок /interface bridge
add arp=reply-only fast-forward=no name=bridge-local 

 

Я был таким же как вы, лез на форум со свой болячкой. Но требовалось взять 4-5 листов А4 нарисовать свою схему и подумать, почему так происходит. 

 

З.Ы. чтобы максимально быстро найти проблему нужно сегментировать сеть и вы будете видеть в каком сигмете у вас есть проблема и ее будет в разы проще локализовать и сеть будет работать без этого сегмента пока вы не локализуете проблему. А вот в большой помойке(да у меня была сеть на 6-8 вланов на 2к пользователей сейчас 300, будет больше) 

[lexbam]

21 час назад, pingz сказал:

З.Ы. чтобы максимально быстро найти проблему нужно сегментировать сеть и вы будете видеть в каком сигмете у вас есть проблема

В сети две точки, 5 компов и 30 телефонов. В один момент подключено редко больше 5 устройств. Обе точки сидят на одном порту, что тут сегментировать?

[pingz]

@lexbam Темболее разделить Wi-Fi клиентов и локальных с телефонами 3 сегмента. 

 

 

А у вас выходит ситуация вы получаете петлю и не знаете откуда она прилетает, при разбивке на 3 части все легко и просто находится.

 

Поправить правила ната и фильтров.