Перейти к содержимому
Калькуляторы

Не работает конкретное устройство

Есть смартфон, подключенный к локальной сети таким образом:

SMARTFON
 |
WAP1 (SNR-CPE-ME1)
 |
SW1 (Eltex MES2324)
 |\-- SRV
 |
SW2 (SNR-S2960-48G)
 |
SW3 (Eltex MES2324)
 |
GW (Mikrotik hAP)
  \-- интернет

SRV — сервер локальной офисной сети, на сервере работает DHCP и DNS.

SW1 — управляемый коммутатор, в порты 1-20 которого подключены устройства локальной сети, в том числе сервер и точка доступа. На коммутаторе примерно такие настройки (VLAN 380 — это L2VPN для офисной сети):

Скрытый текст

no spanning-tree
!
bridge multicast filtering
!
vlan database
 vlan 10,20,30,60,100,300-499,800-1000
exit
!
port jumbo-frame
!
loopback-detection enable
!
errdisable recovery cause loopback-detection
errdisable recovery cause port-security
!
pppoe intermediate-agent
!
multicast snooping profile TRUNK
 match ip 239.0.0.0 239.255.255.255
exit
!
multicast snooping profile CLIENT
 match ip 239.0.0.0 239.0.255.255                     
 match ip 239.1.0.0 239.1.255.255
 match ip 239.195.0.0 239.195.255.255
 match ip 239.250.0.0 239.250.255.255
exit
!
!
ip igmp snooping
ip igmp snooping vlan 60
ip igmp snooping vlan 60 immediate-leave host-based
ip igmp snooping vlan 380
ip igmp snooping vlan 405
!
no boot host auto-config
no boot host auto-update
!
line telnet
 exec-timeout 15
exit
!
no ip http server
!
clock timezone MSK +3
clock source sntp
!
sntp client poll timer 7200
sntp unicast client enable
sntp unicast client poll
sntp server 10.1.128.11 poll
sntp server 10.1.128.12 poll
!
interface gigabitethernet1/0/1-20
 loopback-detection enable
 bridge multicast unregistered filtering
 switchport access vlan 380
 switchport access multicast-tv vlan 60               
 switchport forbidden default-vlan
 multicast snooping add CLIENT
exit
!
interface tengigabitethernet1/0/1
 switchport mode trunk
 switchport trunk allowed vlan add 10,20,30,60,100,300-499,800-999
 switchport forbidden default-vlan
 multicast snooping add TRUNK
 pppoe intermediate-agent
 pppoe intermediate-agent trust
exit
!
interface vlan 1
 no ip address dhcp
exit
!
interface vlan 10
 name MGMT
 ip address 10.1.14.172 255.255.255.0
exit

 

WAP1 — роутер SNR-CPE-ME1 в режиме точки доступа (в этом режиме все интерфейсы объединены в бридж).

SW2 — другой управляемый коммутатор, в порт 16 которого включен выносной сегмент локальной сети. Коммутатор настроен примерно так:

Скрытый текст

!
loopback-detection interval-time 60 5
loopback-detection control-recovery timeout 60
!
!
vlan 1;30;100;300-499;800-999;3000-3001 
!
vlan 10
 name MGMT
!
vlan 1000
 name STUB
!
vlan 60
 name IPTV
 multicast-vlan
 multicast-vlan association 380;400-499;900
!
firewall enable
!
access-list 6010 permit ip any-source 224.0.0.0 0.0.0.255
access-list 6010 permit ip any-source 239.0.0.0 0.0.255.255
access-list 6010 permit ip any-source 239.1.0.0 0.0.255.255
access-list 6010 permit ip any-source 239.195.0.0 0.0.255.255
access-list 6010 permit ip any-source 239.250.0.0 0.0.255.255
access-list 6010 deny ip any-source any-destination
access-list 6011 permit ip any-source 224.0.0.0 0.0.0.255
access-list 6011 permit ip any-source 239.0.0.0 0.255.255.255
access-list 6011 deny ip any-source any-destination
!
ip access-list standard ACCESS_ADMIN
  permit 10.1.100.0 0.0.0.255
  permit 10.1.128.0 0.0.0.255
  permit 10.1.144.0 0.0.0.255
  deny any-source
  exit
ip access-list standard IPTV_GROUPS
  permit 239.0.0.0 0.255.255.255
  exit
!
mac-access-list extended pppoe
  permit any-source-mac 00-30-88-1c-00-00 00-00-00-00-ff-ff untagged-eth2 ethertype 34915
  permit any-source-mac 00-30-88-1c-00-00 00-00-00-00-ff-ff untagged-eth2 ethertype 34916
  permit any-source-mac 01-00-5e-00-00-00 00-00-00-ff-ff-ff
  permit 01-00-5e-00-00-00 00-00-00-ff-ff-ff any-destination-mac
  deny any-source-mac any-destination-mac
  exit
!
multicast destination-control
pppoe intermediate-agent
pppoe intermediate-agent format circuit-id ascii
pppoe intermediate-agent format remote-id ascii
mls qos
!
class-map CLASS_IPTV
 match access-group IPTV_GROUPS
!
class-map CLASS_PRIO
 match vlan 60
!
policy-map POLICY_MAP_TRUNK
 class CLASS_PRIO
  set cos 5
 exit
!
policy-map POLICY_MAP_ACCESS
 class CLASS_IPTV
  set cos 5
 exit
!
Interface Ethernet0/0/16
 switchport access vlan 380
!
Interface Ethernet0/0/49
 flow control
 ip multicast destination-control access-group 6011
 switchport mode trunk
 switchport trunk allowed vlan 10;30;60;100;300-499;800-999 
 pppoe intermediate-agent
 pppoe intermediate-agent trust
!
interface Vlan10
 ip address 10.1.12.189 255.255.255.0
!
ip igmp snooping
ip igmp snooping vlan 60
ip igmp snooping vlan 60 immediately-leave
ip igmp snooping vlan 60 query-interval 60
!
ip default-gateway 10.1.12.250
!
sntp server 10.1.128.11
!
no login
!
isolate-port group ACCESS switchport interface ethernet0/0/52
isolate-port group ACCESS switchport interface ethernet0/0/51
isolate-port group ACCESS switchport interface ethernet0/0/50
isolate-port group ACCESS switchport interface ethernet0/0/41-48
isolate-port group ACCESS switchport interface ethernet0/0/33-40
isolate-port group ACCESS switchport interface ethernet0/0/25-32
isolate-port group ACCESS switchport interface ethernet0/0/17-24
isolate-port group ACCESS switchport interface ethernet0/0/1-8

 

SW3 — коммутатор локальной сети. В него подключен шлюз и несколько других устройств. Настройки минимальны:

Скрытый текст

no spanning-tree
!
hostname SW-OFFICE
!
snmp-server location "Cybercom, Kirova 23, Cherkessk"
snmp-server contact cyber@ch-com.ru
!
clock timezone 3 0 minutes 0
!
sntp unicast client enable
sntp server 192.168.1.250
!
interface tengigabitethernet1/0/1
 speed 1000
 shutdown
exit
!
interface tengigabitethernet1/0/2
 speed 1000
 shutdown
exit
!
interface tengigabitethernet1/0/3                     
 speed 1000
 shutdown
exit
!
interface tengigabitethernet1/0/4
 speed 1000
 shutdown
exit
!
interface vlan 1
 ip address 192.168.1.242 255.255.255.0
 no ip address dhcp
exit
!
ip default-gateway 192.168.1.254

 

GW — роутер Mikrotik hAP. К нему подключена пара аплинков, на нем роутинг и NAT, а также запасной DNS.

 

Теперь о мистике — на смартфоне не работает интернет.

Внезапно перестал работать месяц назад (тут я заводил тему), потом я был в отпуске, а теперь снова пришлось к нему возвращаться.

Сервер с DHCP перенесли в другой сегмент, теперь смартфон получает локальный IP (192.168.1.20) и доступ ко всем локальным ресурсам сети.

Но выхода в интернет нет.

На SW2 его MAC-адрес есть, на SW3 его MAC-адреса уже нет, на GW его так же нет.

Все указывает на то, что по какой-то причине SW2 или SW3 не пропускают MAC-адрес смартфона. Ну либо точка доступа WAP1 очень выборочно блокирует трафик смартфона.

Но я попробовал подключить через другую точку доступа (также подключенную в SW1) — и когда я это сделал, MAC-адрес смартфона на SW3 появился.

Он даже появился на роутере GW (в Bridge - Hosts):

/interface bridge host print from [find mac-address=CC:61:E5:0F:54:4A]
Flags: X - disabled, I - invalid, D - dynamic, L - local, E - external 
 #       MAC-ADDRESS        VID ON-INTERFACE      BRIDGE     AGE                 
 0   D E CC:61:E5:0F:54:4A      eth3              bridge-lan

Но в ARP-таблице его нет и пинги не проходят в обоих направлениях:

/ip arp print from [find address=192.168.1.20]              
Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published, 
C - complete 
 #    ADDRESS         MAC-ADDRESS       INTERFACE                                
 0 D  192.168.1.20                      bridge-lan

 

По прежнему не понимаю, в чем может быть причина, но теперь я начинаю подозревать, что виноват Mikrotik.

Не подкинете идей, что еще можно проверить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

коллега, у вас сложная топология, может где то метка не навесилась ;) можно долго гадать.

как насчет того, чтобы на SW3 трафик отзеркалить и посмотреть wireshark что вообще долетает со смартфона до Mikrotik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alibek Религия не позволяет взять смартфон и точку доступа и шагать физически к GW если  работает, идите к sw3 и т.д. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не позволяет труднодоступность этих устройств, туда физически сложно попасть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alibek  Можно настройки микротика в студию?

На телефоне можно статику вписать?

С телефона можно пинг отправить на SW1-3 и наоборот.

Плохая идея использовать бриджи на микротике, да это удобно, если нужен L2 то лучше использовать коммутатор. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как-то так:

Скрытый текст

# model = 951Ui-2nD
/interface bridge add arp=proxy-arp fast-forward=no name=bridge-lan protocol-mode=none
/interface pppoe-client add add-default-route=yes allow=pap disabled=no interface=eth1 name=pppoe use-peer-dns=yes user=...
/interface vlan add interface=eth2 name=vlan30 vlan-id=30
/interface vlan add interface=eth2 name=vlan100 vlan-id=100
/interface list add name=external
/interface list add name=internal
/interface list add name=global
/interface bridge port add bridge=bridge-lan interface=eth3
/interface bridge port add bridge=bridge-lan interface=eth4
/interface list member add interface=bridge-lan list=internal
/interface list member add interface=eth5 list=external
/interface list member add interface=pppoe list=external
/interface list member add interface=vlan100 list=external
/interface list member add interface=vlan30 list=external
/interface list member add interface=eth1 list=global
/interface list member add interface=eth5 list=global
/interface list member add interface=eth2 list=global
/interface list member add interface=vlan100 list=global
/interface list member add interface=pppoe list=global
/ip address add address=aa.bb.80/25 comment="GW to Public" interface=vlan100 network=aa.bb.124.0
/ip address add address=10.1.144.3/24 comment="GW to Core" interface=vlan30 network=10.1.144.0
/ip address add address=192.168.1.254/24 interface=bridge-lan network=192.168.1.0
/ip dhcp-client add default-route-distance=100 dhcp-options=hostname,clientid disabled=no interface=eth5
/ip dns set allow-remote-requests=yes
/ip firewall filter add action=accept chain=input comment="Self Normalization: Skip Established" connection-state=established,related
/ip firewall filter add action=drop chain=input comment="Self Normalization: Drop Bogons" in-interface=pppoe log-prefix="BOGONS: " src-address-list=acl-bogon
/ip firewall filter add action=drop chain=input comment="Self Normalization: Drop Bogons" in-interface=vlan100 log-prefix="BOGONS: " src-address-list=acl-bogon
/ip firewall filter add action=drop chain=input comment="Self Normalization: Drop Bogons" in-interface=eth1 log-prefix="BOGONS: " src-address-list=acl-bogon
/ip firewall filter add action=drop chain=input comment="Self Normalization: Drop Invalid" connection-state=invalid log-prefix="INVALID: "
/ip firewall filter add action=jump chain=input comment="Border: Allow ICMP" jump-target=icmp protocol=icmp
/ip firewall filter add action=accept chain=input comment="Border: Allow Remote" connection-state=new dst-port=8291 protocol=tcp src-address-list=acl-admin
/ip firewall filter add action=accept chain=input comment="Border: Graphs access" dst-port=80 protocol=tcp src-address-list=acl-monitor
/ip firewall filter add action=accept chain=input comment="Border: Allow LAN" connection-state="" in-interface=bridge-lan src-address-list=acl-lan
/ip firewall filter add action=accept chain=input comment="Border: Allow PPTP" in-interface=vlan100 protocol=gre
/ip firewall filter add action=accept chain=input comment="Border: Allow PPTP" dst-port=1723 in-interface=vlan100 protocol=tcp
/ip firewall filter add action=accept chain=input comment="Border: Allow services" dst-port=65200-65535 in-interface=vlan100 protocol=tcp
/ip firewall filter add action=drop chain=input comment="Border: Default Policy" log-prefix="DEFAULT: "
/ip firewall filter add action=accept chain=forward comment="Skip Established" connection-state=established,related
/ip firewall filter add action=drop chain=forward comment="Drop Invalid Src" log-prefix="INVALID: " src-address-list=acl-invalid
/ip firewall filter add action=drop chain=forward comment="Drop Invalid Dst" dst-address-list=acl-invalid log-prefix="INVALID: "
/ip firewall filter add action=drop chain=forward comment="Drop Invalid" connection-state=invalid log-prefix="INVALID: "
/ip firewall filter add action=jump chain=forward comment="Processing ICMP" jump-target=icmp protocol=icmp
/ip firewall filter add action=accept chain=forward comment="Admin access" in-interface=all-vlan src-address-list=acl-admin
/ip firewall filter add action=accept chain=forward comment="Allow LAN OUT" in-interface=bridge-lan src-address-list=acl-lan
/ip firewall filter add action=accept chain=forward comment="Allow LAN OUT" in-interface=all-ppp src-address-list=acl-lan
/ip firewall filter add action=drop chain=forward comment="LAST RULE" log-prefix="LAST: "
/ip firewall filter add action=accept chain=output comment="Border: Limit outgoing UDP" limit=15,20:packet protocol=udp
/ip firewall filter add action=accept chain=icmp comment="ICMP: echo reply" icmp-options=0:0 protocol=icmp
/ip firewall filter add action=accept chain=icmp comment="ICMP: network unreachable" icmp-options=3:0 protocol=icmp
/ip firewall filter add action=accept chain=icmp comment="ICMP: host unreachable" icmp-options=3:1 protocol=icmp
/ip firewall filter add action=accept chain=icmp comment="ICMP: host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
/ip firewall filter add action=accept chain=icmp comment="ICMP: source quench" icmp-options=4:0 protocol=icmp
/ip firewall filter add action=accept chain=icmp comment="ICMP: echo request" icmp-options=8:0 protocol=icmp
/ip firewall filter add action=accept chain=icmp comment="ICMP: time exceed" icmp-options=11:0 protocol=icmp
/ip firewall filter add action=accept chain=icmp comment="ICMP: parameter bad" icmp-options=12:0 protocol=icmp
/ip firewall filter add action=drop chain=icmp comment="ICMP: drop other" log=yes log-prefix="ICMP: "
/ip firewall filter add action=return chain=icmp comment="ICMP: continue"
/ip firewall mangle add action=mark-connection chain=input disabled=yes in-interface=vlan100 new-connection-mark=vlan100-tag passthrough=yes
/ip firewall mangle add action=mark-routing chain=output connection-mark=vlan100-tag disabled=yes new-routing-mark=vlan100-route passthrough=no
/ip firewall mangle add action=mark-connection chain=forward disabled=yes dst-address-list=!acl-bogon in-interface=bridge-lan new-connection-mark=vlan100-fwd passthrough=no protocol=icmp
/ip firewall mangle add action=mark-connection chain=forward disabled=yes in-interface=vlan100 log=yes new-connection-mark=vlan100-fwd out-interface=bridge-lan passthrough=no src-address=85.26.186.114
/ip firewall mangle add action=mark-connection chain=forward disabled=yes in-interface=vlan100 new-connection-mark=vlan100-fwd out-interface=bridge-lan passthrough=no
/ip firewall mangle add action=mark-routing chain=prerouting connection-mark=vlan100-fwd disabled=yes new-routing-mark=vlan100-route passthrough=no
/ip firewall nat add action=dst-nat chain=dstnat comment="RDP SRV" dst-port=65200 in-interface=vlan100 protocol=tcp src-address-list=acl-admin to-addresses=192.168.1.250 to-ports=3389
/ip firewall nat add action=dst-nat chain=dstnat comment="RDP WS" dst-port=65209 in-interface=vlan100 protocol=tcp src-address-list=acl-admin to-addresses=192.168.1.9 to-ports=3389
/ip firewall nat add action=masquerade chain=srcnat comment="Main Internet" out-interface-list=external src-address-list=acl-lan
/ip route add distance=1 gateway=aa.bb.124.126 routing-mark=vlan100-route
/ip route add distance=1 gateway=10.1.144.1 routing-mark=vlan30-route
/ip route add disabled=yes distance=1 gateway=aa.bb.124.126
/ip route add distance=10 dst-address=10.1.0.0/16 gateway=10.1.144.1
/ip route add distance=10 dst-address=10.102.0.0/16 gateway=10.1.144.1
/ip route add distance=10 dst-address=10.202.0.0/16 gateway=10.1.144.1
/ip route add distance=10 dst-address=aa.bb.124.0/22 gateway=aa.bb.124.126
/ip route rule add routing-mark=vlan100-route table=vlan100-route
/system clock set time-zone-name=Europe/Kirov
/system identity set name=MT-RB951
/tool mac-server set allowed-interface-list=none

 

Частично диагностику я делал ранее (в треде по ссылке), что-то делал позже.

Статику на телефоне вписать можно, но это ничего не меняет.

Если все резюмировать, то получается так.

 

SW2, SW3, GW находятся в закрытом помещении, попадать туда неудобно и до конца недели я туда попасть не смогу.

Дамп трафика на SW1 я смотрел, трафик со смартфона на него попадает весь (то есть WAP1 его не фильтрует).

Дамп на SW2 не смотрел, но сегодня попробую его снять через RSPAN. Но не думаю, что на SW2 есть какая-то проблема — таким же образом без проблем работают десятки других устройств (в том числе и смартфоны такого же вендора), проблема только на конкретном устройстве.

Дамп на SW3 посмотреть не получится, т.к. нужен физический доступ к коммутатору (чтобы хотя бы патчкорд в зеркальный порт подключить).

Ранее DHCP-сервер был подключен на SW3 и когда я смотрел трафик на сервере, то до него пакеты смартфона не доходили, за исключением пакетов ICMPv6 (ссылка).

Так что сейчас у меня есть две основные версии — либо трафик блокируется где-то на SW2 или SW3, либо блокируется на GW.

 

В конфигурации GW ничего такого я не наблюдаю, что могло бы фильтровать трафик конкретного хоста. Но может быть на микротике есть какие-нибудь динамические черные списки, по которым часть трафика фильтруется?

 

В конфигурации SW2 и SW3 тоже нет ничего, что могло бы блокировать трафик. Хотя это еще может быть глюком коммутатора, но это маловероятно — я не сталкивался с такими выборочными глюками, ведь блокируется не определенный вид трафика (например весь широковещательный), а трафик от конкретного хоста. Коммутаторы я перегружал (если это разовый глюк), ничего не поменялось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что касается пингов, то SW1 и SW2 не относятся к локальной сети, это вышестоящий транспорт, прозрачный для локальной сети.

Кстати, со смартфона SW3 не пингуется. Также со смартфона не пингуются устройства, подключенные к SW3.

Так что спасибо за идею, пожалуй GW можно однозначно исключить, проблема точно не в нем.

А с учетом того, что MAC-адрес смартфона доходит до SW3, то скорее всего исключить можно и SW2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alibek У микротика есть ARP пинг попробуйте запустить пинг до смартфона до WAP

Если на SW2 есть мак, это не означает, что трафик уходит в 16 порт. 

У меня была подобная проблема с клиентами PPPoE мак изучался на коммутаторе, но не передавался  помогало либо создание нового влана либо сброс в дефолт и новая настройка при этом с моего пк все работало с этой точки. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, pingz сказал:

У микротика есть ARP пинг попробуйте запустить пинг до смартфона до WAP

Смартфон не пингуется.

WAP1 пингуется без проблем.

Вообще я уже почти уверен, что проблема не в микротике, потому что трафик смартфона не проходит ни на одно устройство, подключенное к SW3 (в том числе и сам SW3 не пингуется со смартфона).

Трафик смартфона блокирует либо SW3, либо SW2 (что менее вероятно, т.к. по такой же схеме мы даем L2VPN куче других организаций и уж от них были бы жалобы на непрохождение трафика).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alibek Нужно дамп снимать с SW2 16 порт и SW3 

 

На SW2 и SW3 есть возможность почистить таблицу коммутации? 

Сколько маков на SW2-3? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чистку FDB делал, даже перегружал коммутаторы ранее.

На SW3 MAC-адресов десятка три, на SW2 MAC-адресов около тысячи.

С дампами понятно, но пока что их снять не получается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alibek Ловил подобные вещи на DGS 3000 с 1к маков заменял на 3200 или mes2324 полет нормальный.  Хотя вроде SNR-S2960-48G должен справятся с 1к. 

Возможность есть кинуть отдельный влан на тест? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю, что виноват SW3, а не SW2. Сейчас с ТП Элтекса переписываюсь, может быть получится выяснить, в чем причина.

А на следующей неделе как вариант просто попробую заменить его на какой-нибудь DGS-1008, мне на этом коммутаторе нужно всего 5 портов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если вместо точки доступа воткнуть провод в ноут? Все будет работать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А причем тут ноут? Не работает только смартфон, все остальные устройства в локальной сети (подключенные к SW1) работают нормально, как подключенные проводом, так и по Wi-Fi.

К WAP1 и SW1 подключено где-то пара десятков устройств (ПК, ноутбуки, смартфоны) и все работают нормально. Более того, и проблемный смартфон раньше тоже работал нормально, но примерно месяц назад на ровном месте работать перестал. Тогда это совпало с заменой точки доступа (раньше в качестве WAP1 использовался Zyxel Keenetik, теперь SNR-CPE-ME1), поэтому я поначалу считал, что трафик блокирует точка доступа, но она оказалась не причем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alibek мне кажется раньше на кинетике мак менялся. Отключить можно wds или включить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.