Jump to content
Калькуляторы

Странное поведение Mikrotik hEX

Столкнулся со странным поведением микротика.

На нем настроены несколько десятков правил трансляции.

Первые три правила это srcnat, а остальные dstnat.

Как только я изменяю четвертое правило (dstnat на определенный локальный хост), как тут же гаснет линк от провайдера (eth1) и пропадает интернет-доступ. Затем линк восстанавливается, и со второй попытки правило успешно изменяется.

Share this post


Link to post
Share on other sites

Конфиг упрощенно такой:

/interface bridge
 add name=bridge-vpn
 add name=loopback
/ip pool
 add name=pool-staff ranges=192.168.200.1-192.168.200.99
 add name=pool-guest ranges=192.168.0.1-192.168.0.199
/ip dhcp-server add add-arp=yes disabled=no interface=eth2-cams lease-time=1w name=dhcp-cams
/ip dhcp-server add add-arp=yes address-pool=pool-staff disabled=no interface=eth3-staff lease-time=2d name=dhcp-staff
/ip dhcp-server add add-arp=yes address-pool=pool-guest disabled=no interface=eth4-guest lease-time=1h name=dhcp-guest
/ip address
 ...
/ip dhcp-server lease
 ...
/ip dhcp-server network
 ...
/ip dns set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
 ...
/ip firewall filter
 add action=accept chain=input comment=established connection-state=established
 add action=accept chain=input comment=related connection-state=related
 add action=accept chain=input comment=ping icmp-options=8:0-255 protocol=icmp
 add action=accept chain=input comment="mgmt (allow)" dst-port=8291,22,23,80,443 protocol=tcp src-address-list=acl-mgmt
 ...
/ip firewall mangle
 add action=mark-connection ...
 ...
/ip firewall nat
 add action=src-nat chain=srcnat comment="WAN1 NAT" ...
 add action=src-nat chain=srcnat comment="WAN2 NAT" ...
 add action=masquerade chain=srcnat out-interface-list=wan src-address-list=net-lan
 add action=dst-nat chain=dstnat comment="MGMT (temp)" ...
 ...
/ip route
 add disabled=yes distance=1 gateway=pppoe-rt routing-mark=wan1
 add disabled=yes distance=1 gateway=192.168.252.1 routing-mark=wan2
 add distance=5 gateway=192.168.252.1
 add check-gateway=arp distance=1 dst-address=aa.aa.124.0/24 gateway=pppoe-rt
 add check-gateway=arp distance=1 dst-address=bb.bb.127.0/24 gateway=pppoe-rt
/ip route rule
 ...
/tool netwatch
 ...

Какая-то необычность разве что в двух аплинках, все остальное тривиально.

Никаких сложных скриптов или необычных правил.

Вообще ничего, что могло бы влиять на физический линк.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.