lexbam Posted March 5, 2019 (edited) · Report post RouterBOARD 941-2nD RouterOS 6.42.12 Периодически отваливается порт, в логах "probably loop". Советы с интернета не помогли устранить проблему. Один фильтр по forward и маку бриджа выловил следующее: Понять не могу как это получается. На телефоне с этим маком стоит антивирус и минимум программ. Фильтр в лог пишет но дропанье пакета не помогает, всё равно роутер видит луп и отключает порт. Loop Protect отключал на всех интерфейсах. Подскажите что можно сделать в данной ситуации. Edited March 5, 2019 by lexbam Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 5, 2019 · Report post Кофе попил, на дне чашечки остался остаток, прочитал по остатку, что сударь вы забыли прикрепить конфиг. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 5, 2019 · Report post 2 часа назад, lexbam сказал: Периодически отваливается порт, в логах "probably loop". Советы с интернета не помогли устранить проблему. У вас скорее всего, "баянная" проблема, должна быть во всех FAQ. Если вы добавляете интерфейсы в bridge в микротике , то MAC самого бриджа на auto выставляется, как самый младший ( по нумерации ) mac из множества его активных ( в состоянии running портов ) при этом интерфейс wlan1 , если он сконфигурирован как AP и на нем нету ни одного подключенного клиента, не находится в состоянии Running. Дальше клиент подключается, интерфейс Wlan1 переходит в состояние running , MAC бриджа внезапно меняется и начинается геморой. Ситуация решается просто -- выставьте желаемый MAC адрес бриджа руками в настройках, не auto. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 5, 2019 (edited) · Report post Скрытый текст # mar/05/2019 18:05:05 by RouterOS 6.42.12 # software id = AQYK-WA1C # # model = RouterBOARD 941-2nD # serial number = /interface bridge add arp=reply-only fast-forward=no name=bridge-local /interface wireless set [ find default-name=wlan1 ] arp=reply-only band=2ghz-b/g/n channel-width=\ 20/40mhz-Ce default-authentication=no default-forwarding=no disabled=no \ distance=indoors frequency=2432 mac-address=CC:2D:E0:5A:62:F7 mode=\ ap-bridge radio-name=******** ssid=sdev tx-power=20 \ tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled /interface ethernet set [ find default-name=ether1 ] comment=isa loop-protect=off mac-address=\ CC:5D:4E:98:28:49 name=ether1-wan set [ find default-name=ether2 ] loop-protect=off set [ find default-name=ether3 ] loop-protect=\ off loop-protect-disable-time=1m set [ find default-name=ether4 ] loop-protect=off /interface list add comment="WAN ports" name=WAN add comment="LAN ports" name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \ supplicant-identity=sdev wpa-pre-shared-key=12345678 \ wpa2-pre-shared-key=12345678 /ip firewall layer7-protocol add comment="Block Bit Torrent" name=layer7-bittorrent-exp regexp="^(\\x13bitt\ orrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?inf\ o_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[\ RP]" /ip pool add name=dhcp ranges=10.2.1.200-10.2.1.240 /ip dhcp-server add add-arp=yes address-pool=dhcp disabled=no interface=bridge-local name=\ dhcp-lan /queue type add kind=pcq name=PCQ_DOWNLOAD_LAN pcq-classifier=dst-address \ pcq-dst-address6-mask=64 pcq-src-address6-mask=64 /queue simple add name=1-99 packet-marks=PCQ queue=default/default target=10.2.1.0/24 add name=100-199 packet-marks=PCQ_2 queue=default/default target=10.2.1.0/24 add limit-at=10M/10M max-limit=100M/100M name=2 parent=1-99 priority=5/5 \ target=10.2.1.2/32 add limit-at=10M/10M max-limit=100M/100M name=3 parent=1-99 priority=5/5 \ target=10.2.1.3/32 add limit-at=10M/10M max-limit=100M/100M name=4 parent=1-99 priority=5/5 \ target=10.2.1.4/32 add limit-at=10M/10M max-limit=100M/100M name=5 parent=1-99 priority=5/5 \ target=10.2.1.5/32 add limit-at=10M/10M max-limit=100M/100M name=6 parent=1-99 priority=5/5 \ target=10.2.1.6/32 add limit-at=10M/10M max-limit=100M/100M name=7 parent=1-99 priority=5/5 \ target=10.2.1.7/32 add limit-at=10M/10M max-limit=100M/100M name=8 parent=1-99 priority=5/5 \ target=10.2.1.8/32 add limit-at=10M/10M max-limit=100M/100M name=9 parent=1-99 priority=5/5 \ target=10.2.1.9/32 add limit-at=10M/10M max-limit=100M/100M name=10 parent=1-99 priority=5/5 \ target=10.2.1.10/32 add limit-at=10M/10M max-limit=100M/100M name=11 parent=1-99 priority=5/5 \ target=10.2.1.11/32 add limit-at=10M/10M max-limit=100M/100M name=12 parent=1-99 priority=5/5 \ target=10.2.1.12/32 add limit-at=10M/10M max-limit=100M/100M name=13 parent=1-99 priority=5/5 \ target=10.2.1.13/32 add limit-at=10M/10M max-limit=100M/100M name=14 parent=1-99 priority=5/5 \ target=10.2.1.14/32 add limit-at=10M/10M max-limit=100M/100M name=15 parent=1-99 priority=5/5 \ target=10.2.1.15/32 add limit-at=10M/10M max-limit=100M/100M name=16 parent=1-99 priority=5/5 \ target=10.2.1.16/32 add limit-at=10M/10M max-limit=100M/100M name=Alex parent=1-99 priority=5/5 \ target=10.2.1.17/32 add limit-at=10M/10M max-limit=100M/100M name=18 parent=1-99 priority=5/5 \ target=10.2.1.18/32 add limit-at=10M/10M max-limit=100M/100M name=19 parent=1-99 priority=5/5 \ target=10.2.1.19/32 add limit-at=10M/10M max-limit=100M/100M name=20 parent=1-99 priority=5/5 \ target=10.2.1.20/32 add limit-at=10M/10M max-limit=100M/100M name=21 parent=1-99 priority=5/5 \ target=10.2.1.21/32 add limit-at=10M/10M max-limit=100M/100M name=22 parent=1-99 priority=5/5 \ target=10.2.1.22/32 add limit-at=10M/10M max-limit=100M/100M name=23 parent=1-99 priority=5/5 \ target=10.2.1.23/32 add limit-at=10M/10M max-limit=100M/100M name=24 parent=1-99 priority=5/5 \ target=10.2.1.24/32 add limit-at=10M/10M max-limit=100M/100M name="\C4\E5\ED\E8\F1" parent=1-99 \ priority=5/5 target=10.2.1.25/32 add limit-at=10M/10M max-limit=100M/100M name=26 parent=1-99 priority=5/5 \ target=10.2.1.26/32 add limit-at=10M/10M max-limit=100M/100M name=27 parent=1-99 priority=5/5 \ target=10.2.1.27/32 add limit-at=10M/10M max-limit=100M/100M name=28 parent=1-99 priority=5/5 \ target=10.2.1.28/32 add limit-at=10M/10M max-limit=100M/100M name=29 parent=1-99 priority=5/5 \ target=10.2.1.29/32 add limit-at=10M/10M max-limit=100M/100M name=30 parent=1-99 priority=5/5 \ target=10.2.1.30/32 add limit-at=10M/10M max-limit=100M/100M name=31 parent=1-99 priority=5/5 \ target=10.2.1.31/32 /queue tree add max-limit=2200k name=DOWNLOAD parent=global queue=PCQ_DOWNLOAD_LAN add name=LAN packet-mark=PCQ parent=DOWNLOAD priority=6 queue=\ PCQ_DOWNLOAD_LAN add max-limit=666k name=queue_3 packet-mark=PCQ_3 parent=DOWNLOAD queue=\ PCQ_DOWNLOAD_LAN add name=queue_2 packet-mark=PCQ_2 parent=DOWNLOAD priority=7 queue=\ PCQ_DOWNLOAD_LAN /interface bridge filter add action=drop chain=input comment=loop in-bridge=bridge-local log=yes \ log-prefix=-- src-mac-address=CC:2D:E0:5A:61:F3/FF:FF:FF:FF:FF:FF add action=drop chain=input comment=loop in-interface=ether3 log=yes \ log-prefix=-- src-mac-address=CC:2D:E0:5A:61:F3/FF:FF:FF:FF:FF:FF add action=drop chain=input comment=loop disabled=yes in-bridge=bridge-local \ log-prefix=-- src-mac-address=80:35:C1:3E:56:FF/FF:FF:FF:FF:FF:FF add action=drop chain=forward comment=loop in-bridge=bridge-local log=yes \ log-prefix="- - - -" src-mac-address=CC:2D:E0:5A:61:F3/FF:FF:FF:FF:FF:FF /interface bridge host add bridge=bridge-local interface=ether2 mac-address=6C:41:6A:9D:6A:15 add bridge=bridge-local interface=ether2 mac-address=CC:5D:4E:84:50:18 /interface bridge port add bridge=bridge-local interface=ether2 add bridge=bridge-local interface=ether3 add bridge=bridge-local interface=ether4 add bridge=bridge-local interface=wlan1 /ip neighbor discovery-settings set discover-interface-list=none /interface list member add interface=ether2 list=LAN add interface=ether3 list=LAN add interface=ether4 list=LAN add interface=wlan1 list=LAN add interface=ether1-wan list=WAN add interface=bridge-local list=LAN /ip accounting set enabled=yes /ip accounting web-access set accessible-via-web=yes address=10.2.1.0/24 /ip address add address=10.2.1.1/24 interface=ether2 network=10.2.1.0 add address=10.3.*.*/16 interface=ether1-wan network=10.3.0.0 /ip cloud set update-time=no /ip dhcp-server lease add address=10.2.1.68 always-broadcast=yes client-id=1:80:35:c1:3e:56:ff \ comment="Note5" mac-address=80:35:C1:3E:56:FF server=\ dhcp-lan /ip dhcp-server network add address=10.2.1.0/24 dns-server=10.3.*.1,8.8.8.8,8.8.4.4,1.1.1.1 gateway=\ 10.2.1.1 /ip dns set allow-remote-requests=yes servers=10.3.*.1,8.8.8.8,1.1.1.1 /ip dns static add address=10.2.1.1 name=router add address=127.0.0.1 comment=WinTracking name=a-0001.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0002.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0003.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0004.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0005.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0006.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0007.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0008.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-0009.a-msedge.net add address=127.0.0.1 comment=WinTracking name=a-msedge.net add address=127.0.0.1 comment=WinTracking name=a.ads1.msn.com add address=127.0.0.1 comment=WinTracking name=a.ads2.msads.net add address=127.0.0.1 comment=WinTracking name=a.ads2.msn.com add address=127.0.0.1 comment=WinTracking name=a.rad.msn.com add address=127.0.0.1 comment=WinTracking name=ac3.msn.com add address=127.0.0.1 comment=WinTracking name=ad.doubleclick.net add address=127.0.0.1 comment=WinTracking name=adnexus.net add address=127.0.0.1 comment=WinTracking name=adnxs.com add address=127.0.0.1 comment=WinTracking name=ads.msn.com add address=127.0.0.1 comment=WinTracking name=ads1.msads.net add address=127.0.0.1 comment=WinTracking name=ads1.msn.com add address=127.0.0.1 comment=WinTracking name=aidps.atdmt.com add address=127.0.0.1 comment=WinTracking name=aka-cdn-ns.adtech.de add address=127.0.0.1 comment=WinTracking name=az361816.vo.msecnd.net add address=127.0.0.1 comment=WinTracking name=az512334.vo.msecnd.net add address=127.0.0.1 comment=WinTracking name=b.ads1.msn.com add address=127.0.0.1 comment=WinTracking name=b.ads2.msads.net add address=127.0.0.1 comment=WinTracking name=b.rad.msn.com add address=127.0.0.1 comment=WinTracking name=bs.serving-sys.com add address=127.0.0.1 comment=WinTracking name=c.atdmt.com add address=127.0.0.1 comment=WinTracking name=c.msn.com add address=127.0.0.1 comment=WinTracking name=cdn.atdmt.com add address=127.0.0.1 comment=WinTracking name=cds26.ams9.msecn.net add address=127.0.0.1 comment=WinTracking name=choice.microsoft.com add address=127.0.0.1 comment=WinTracking name=choice.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=compatexchange.cloudapp.net add address=127.0.0.1 comment=WinTracking name=corp.sts.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ corpext.msitadfs.glbdns2.microsoft.com add address=127.0.0.1 comment=WinTracking name=cs1.wpc.v0cdn.net add address=127.0.0.1 comment=WinTracking name=db3aqu.atdmt.com add address=127.0.0.1 comment=WinTracking name=df.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ diagnostics.support.microsoft.com add address=127.0.0.1 comment=WinTracking name=ec.atdmt.com add address=127.0.0.1 comment=WinTracking name=feedback.microsoft-hohm.com add address=127.0.0.1 comment=WinTracking name=feedback.search.microsoft.com add address=127.0.0.1 comment=WinTracking name=feedback.windows.com add address=127.0.0.1 comment=WinTracking name=flex.msn.com add address=127.0.0.1 comment=WinTracking name=g.msn.com add address=127.0.0.1 comment=WinTracking name=h1.msn.com add address=127.0.0.1 comment=WinTracking name=\ i1.services.social.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ i1.services.social.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=lb1.www.ms.akadns.net add address=127.0.0.1 comment=WinTracking name=live.rads.msn.com add address=127.0.0.1 comment=WinTracking name=m.adnxs.com add address=127.0.0.1 comment=WinTracking name=msedge.net add address=127.0.0.1 comment=WinTracking name=msftncsi.com add address=127.0.0.1 comment=WinTracking name=\ msnbot-65-55-108-23.search.msn.com add address=127.0.0.1 comment=WinTracking name=msntest.serving-sys.com add address=127.0.0.1 comment=WinTracking name=oca.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ oca.telemetry.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=pre.footprintpredict.com add address=127.0.0.1 comment=WinTracking name=preview.msn.com add address=127.0.0.1 comment=WinTracking name=rad.live.com add address=127.0.0.1 comment=WinTracking name=rad.msn.com add address=127.0.0.1 comment=WinTracking name=\ redir.metaservices.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ reports.wes.df.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=schemas.microsoft.akadns.net add address=127.0.0.1 comment=WinTracking name=secure.adnxs.com add address=127.0.0.1 comment=WinTracking name=secure.flashtalking.com add address=127.0.0.1 comment=WinTracking name=\ services.wes.df.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ settings-sandbox.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ settings-win.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ sls.update.microsoft.com.akadns.net add address=127.0.0.1 comment=WinTracking name=sqm.df.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=sqm.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ sqm.telemetry.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=ssw.live.com add address=127.0.0.1 comment=WinTracking name=static.2mdn.net add address=127.0.0.1 comment=WinTracking name=statsfe1.ws.microsoft.com add address=127.0.0.1 comment=WinTracking name=statsfe2.ws.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ telecommand.telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ telecommand.telemetry.microsoft.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=telemetry.appex.bing.net add address=127.0.0.1 comment=WinTracking name=telemetry.microsoft.com add address=127.0.0.1 comment=WinTracking name=telemetry.urs.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ v10.vortex-win.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ vortex-bn2.metron.live.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=\ vortex-cy2.metron.live.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=\ vortex-sandbox.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ vortex-win.data.metron.live.com.nsatc.net add address=127.0.0.1 comment=WinTracking name=vortex-win.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=\ vortex.data.glbdns2.microsoft.com add address=127.0.0.1 comment=WinTracking name=vortex.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=watson.live.com add address=127.0.0.1 comment=WinTracking name=web.vortex.data.microsoft.com add address=127.0.0.1 comment=WinTracking name=www.msftncsi.com /ip firewall address-list add address=10.2.1.1-10.2.1.240 list=Internet add address=10.2.1.1-10.2.1.99 list=LAN_PCQ add address=10.2.1.200-10.2.1.254 list=LAN_PCQ_3 add address=10.2.1.100-10.2.1.199 list=LAN_PCQ_2 add address=2.22.61.43 comment=WinTracking list=WinTracking add address=2.22.61.66 comment=WinTracking list=WinTracking add address=65.39.117.230 comment=WinTracking list=WinTracking add address=65.55.108.23 comment=WinTracking list=WinTracking add address=23.218.212.69 comment=WinTracking list=WinTracking add address=134.170.30.202 comment=WinTracking list=WinTracking add address=137.116.81.24 comment=WinTracking list=WinTracking add address=157.56.106.189 comment=WinTracking list=WinTracking add address=204.79.197.200 comment=WinTracking list=WinTracking add address=65.52.108.33 comment=WinTracking list=WinTracking add address=64.4.54.254 comment=WinTracking list=WinTracking /ip firewall filter add action=drop chain=forward comment=WinTracking dst-address-list=\ WinTracking add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \ in-interface=ether1-wan protocol=udp add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \ in-interface=ether1-wan protocol=tcp add action=add-src-to-address-list address-list=Torrent-Conn \ address-list-timeout=none-dynamic chain=forward comment=\ "Block Bit Torrent" layer7-protocol=layer7-bittorrent-exp src-address=\ 10.2.1.0/24 src-address-list=!allow-bit add action=accept chain=input comment="accept established,related,untracked" \ connection-state=established,related,untracked add action=drop chain=input comment="drop invalid" connection-state=invalid add action=accept chain=input comment="accept ICMP" protocol=icmp add action=accept chain=input comment="accept all from bridge-local" \ in-interface=bridge-local add action=accept chain=input comment="accept access for ManageIP group" \ src-address-list=ManageIP add action=drop chain=input comment="drop all other" add action=drop chain=forward comment="drop invalid" connection-state=invalid add action=drop chain=forward comment="Block Bit Torrent" disabled=yes \ dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp \ src-address-list=Torrent-Conn add action=drop chain=forward comment="Block Bit Torrent" disabled=yes \ dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp \ src-address-list=Torrent-Conn add action=fasttrack-connection chain=forward comment=fasttrack \ connection-mark=no-mark connection-state=established,related disabled=yes \ out-interface-list=LAN add action=accept chain=forward comment=\ "accept established,related,untracked" connection-state=\ established,related,untracked add action=accept chain=forward comment=\ "accept Internet via ISP1 for Internet group" connection-state=new \ in-interface=bridge-local out-interface=ether1-wan src-address-list=\ Internet add action=drop chain=forward comment="drop all other" /ip firewall mangle add action=mark-packet chain=forward comment=PCQ dst-address-list=LAN_PCQ \ new-packet-mark=PCQ passthrough=yes add action=mark-packet chain=forward comment=PCQ_2 dst-address-list=LAN_PCQ_2 \ new-packet-mark=PCQ_2 passthrough=yes add action=mark-packet chain=forward comment=PCQ_3 dst-address-list=LAN_PCQ_3 \ new-packet-mark=PCQ_3 passthrough=yes /ip firewall nat add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none \ out-interface-list=WAN /ip route add distance=1 gateway=10.3.*.1 /ip service set telnet address=10.2.1.0/24,10.3.*.#/32 disabled=yes set ftp address=10.2.1.0/24 disabled=yes set www address=10.2.1.0/24,10.3.*.#/32 set ssh address=10.2.1.0/24,10.3.*.#/32 disabled=yes set api address=10.2.1.0/24 disabled=yes set winbox address=10.2.1.0/24,10.3.*.#/32 set api-ssl address=10.2.1.0/24 disabled=yes /ip traffic-flow set interfaces=ether1-wan /snmp set trap-generators=*ABC0002 /system clock set time-zone-autodetect=no time-zone-name=Asia/Irkutsk /system clock manual set time-zone=+08:00 /system identity set name=ZyXel /system ntp client set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.230 /system package update set channel=long-term /tool graphing set store-every=24hours /tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=LAN Смущает строчка: /interface bridge host add bridge=bridge-local interface=ether2 mac-address=6C:41:6A:9D:6A:15 add bridge=bridge-local interface=ether2 mac-address=CC:5D:4E:84:50:18 Откуда взялось две команды на один интерфейс? 8 минут назад, LostSoul сказал: Ситуация решается просто -- выставьте желаемый MAC адрес бриджа руками в настройках, не auto. Мак бриджа установлен в ручную, это первое что сделал, только в конфиге не нашёл эту строчку. Edited March 5, 2019 by lexbam Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 5, 2019 · Report post 10 минут назад, lexbam сказал: Откуда взялось две команды на один интерфейс? ну это вы зачем-то прописали две статических записи в таблице маков. У вас определено, что 6C:41:6A:9D:6A:15 и CC:5D:4E:84:50:18 доступны через порт ether2 бриджа bridge-local. Вы точно хотели настроить именно это? 10 минут назад, lexbam сказал: это первое что сделал, скорее всего .вы нашли не ту строчку. правильная строчка такая Цитата /interface bridge add name=br1 protocol-mode=none fast-forward=no auto-mac=no admin-mac=CC:00:00:00:00:01 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 5, 2019 · Report post 1 минуту назад, LostSoul сказал: Вы точно хотели настроить именно это? Нет, вышло случайно. Лупы приходили со второго интерфейса поэтому поменял мак, потом поменял интерфейс Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 5, 2019 · Report post 18 минут назад, LostSoul сказал: правильная строчка такая Спасибо, поставил админ-мак. Буду ждать атаки телефона Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 7, 2019 (edited) · Report post В 05.03.2019 в 18:36, LostSoul сказал: правильная строчка такая Не помогла установка мак адреса((( Почему проблема только с пакетами одного телефона? Edited March 7, 2019 by lexbam Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 7, 2019 · Report post 3 часа назад, lexbam сказал: Не помогла установка мак адреса((( Почему проблема только с пакетами одного телефона? mac заканчивающийся на d3:a9 он исходно чей? wirless карты, ethernet в микротике? это установленный вами третий мак? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 7, 2019 · Report post 1 минуту назад, LostSoul сказал: mac заканчивающийся на d3:a9 он исходно чей? wirless карты, ethernet в микротике? это установленный вами третий мак? это левый мак который я установил для бриджа Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 7, 2019 · Report post ip адрес у вас на бридж-интерфейс добавлен? Только что, lexbam сказал: это левый мак который я установил для бриджа Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 7, 2019 · Report post 2 минуты назад, LostSoul сказал: ip адрес у вас на бридж-интерфейс добавлен? Только что сделал, до этого локальный адрес роутера был на втором интерфейсе o_0. Во втором моём сообщении под спойлером конфиг роутера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 7, 2019 · Report post 11 минут назад, lexbam сказал: Только что сделал, до этого локальный адрес роутера был на втором интерфейсе o_0. возможно в этом и была проблема, продолжайте наблюдение. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 7, 2019 · Report post 23 минуты назад, LostSoul сказал: возможно в этом и была проблема, продолжайте наблюдение. Смущает то что проблема только с пакетами только одного телефона. Помимо него есть десяток других, не считая ПК. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 7, 2019 · Report post 6 минут назад, lexbam сказал: Смущает то что проблема только с пакетами только одного телефона. Помимо него есть десяток других, не считая ПК. у него может быть отличным какой-нибудь там код dhcp , приводящий к рассылке какого-то лишнего широковещательного пакета. У меня тут клиенты уже 2 месяца с chromocast гаджетом воюют, применение которого им микротики вообще ребутит сразу же.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 19, 2019 · Report post В 07.03.2019 в 12:41, LostSoul сказал: ip адрес у вас на бридж-интерфейс добавлен? Тоже не помогло. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 19, 2019 · Report post 4 минуты назад, lexbam сказал: Тоже не помогло. сообщение в логах притерпели изменения? дайте сегодняшную версию Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 19, 2019 · Report post 4 минуты назад, LostSoul сказал: дайте сегодняшную версию Сегодняшний и вчерашний. Бывает серия подлиннее. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 19, 2019 · Report post ну так проверьте все еще раз. почему у вас локально-порожденные пакеты с src mac d3:a9 внезапно приходят с интерфейса ether3? может все таки вы опять что-то напутали и у вас какой-то адрес к ether3 прибит? перегружать после изменения настроек пробовали? 18.201.7.1 это на каком интерфейсе адрес прибит? что у вас в правилах nat написано? 10.2.1.68 это IP телефона, вызывающего проблемы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 19, 2019 · Report post Всё проверил, то что казалось не правильным озвучил ранее. На большее знаний не хватает 1 час назад, LostSoul сказал: почему у вас локально-порожденные пакеты с src mac d3:a9 внезапно приходят с интерфейса ether3? даже представить не могу как такое может быть. Кольца нет. Порты ether2 и ether3 менял. В nat только: /ip firewall nat add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none out-interface-list=WAN По ether3 всё проверил, там только: loop-protect=off loop-protect-disable-time=1m Роутер перегружал. 10.2.1.68 да это телефон на андроиде, проблемы только с ним. Есть в сети в качестве точки доступа DIR-300. Может проблема в нём? Сейчас вспомнил что лупы появляются только когда телефон с него подключается в сеть. Попробую убрать DIR-300. Спасибо за помощь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 19, 2019 · Report post попробуйте в это правило добавить src-ip=ваша локальная подсеть Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 19, 2019 · Report post 10 минут назад, LostSoul сказал: попробуйте в это правило добавить src-ip=ваша локальная подсеть т.е. src-address=10.2.1.0/24 ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 19, 2019 · Report post @lexbam Небольшой совет, когда у меня происходит невиданная "***" и я ее решить не могу, я скидываю микротик в дефол без начального конфига и захожу через mac. ИМХО если вам не требуется каналы L2 в вашей сети. То рекомендую в каждый широковещательный сегмент держать отдельно, а где требуется L2 его оставить. Т.е. нужно посидеть пофармить(ну эдак с 50+ apm в минуту), да долго прописывать интерфейсы, думать и придумывать IP адресацию переписывать это все на железе пользователей, за то на форум не будешь писать с такими постами. Эта строчка для домашних машинок /interface bridgeadd arp=reply-only fast-forward=no name=bridge-local Я был таким же как вы, лез на форум со свой болячкой. Но требовалось взять 4-5 листов А4 нарисовать свою схему и подумать, почему так происходит. З.Ы. чтобы максимально быстро найти проблему нужно сегментировать сеть и вы будете видеть в каком сигмете у вас есть проблема и ее будет в разы проще локализовать и сеть будет работать без этого сегмента пока вы не локализуете проблему. А вот в большой помойке(да у меня была сеть на 6-8 вланов на 2к пользователей сейчас 300, будет больше) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lexbam Posted March 20, 2019 · Report post 21 час назад, pingz сказал: З.Ы. чтобы максимально быстро найти проблему нужно сегментировать сеть и вы будете видеть в каком сигмете у вас есть проблема В сети две точки, 5 компов и 30 телефонов. В один момент подключено редко больше 5 устройств. Обе точки сидят на одном порту, что тут сегментировать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 20, 2019 · Report post @lexbam Темболее разделить Wi-Fi клиентов и локальных с телефонами 3 сегмента. А у вас выходит ситуация вы получаете петлю и не знаете откуда она прилетает, при разбивке на 3 части все легко и просто находится. Поправить правила ната и фильтров. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...