» MikroTik RouterOS (часть 4)

Simply_Kot
На заводские настройки имеет смысл пытаться сбрасывать, зажимая физическую кнопку ресета?
По гарантии успеваю, рутеру полгода примерно.

RooTC777
Неа.

Лучше попробовать прошить его NetInstall'ом

Simply_Kot
Почитал, интересная штука. Как понимаю, вполне штатная вещь, и в случае если не поможет претензий у гарантийки быть не должно. Спасибо, попробую!

RooTC777
Вещь абсолютно штатная. Позволяет серьезно экономить место путем выбора только необходимых пакетов.


Код: [admin@MikroTik] > /system package print
Flags: X - disabled
# NAME VERSION SCHEDULED
0 system 6.36
1 dhcp 6.36
2 ppp 6.36
3 security 6.36
4 wireless-cm2 6.36
[admin@MikroTik] > /system resource print
uptime: 10d6h7m9s
version: 6.36 (stable)
build-time: Jul/20/2016 14:09:10
free-memory: 7.5MiB
total-memory: 32.0MiB
cpu: MIPS 24Kc V7.4
cpu-count: 1
cpu-frequency: 650MHz
cpu-load: 1%
free-hdd-space: 8.5MiB
total-hdd-space: 16.0MiB
write-sect-since-reboot: 1006
write-sect-total: 24468
bad-blocks: 0%
architecture-name: smips
board-name: hAP lite
platform: MikroTik

RooTC777
Все идущие в комплектах с микротиком блоки питания не сильно хорошего качества, подключите качественный блок сначала, и желательно непосредственно а не через пое если есть возможность на тике.

Прошивать NetInstall'ом следует той версией которая стояла на микротике, порт тика нужно подключать непосредственно в сетевую карту компьютера а не через свич.

[more] [more] Simply_Kot
У меня со всеми пакетами было свободно 7,8 вроде бы было. Но предполагаю что в будущем может и пригодится.
alexnov66
Спасибо, попробую. Пое у меня нету. И гнездо питания микроусб, так что любой бп подойдет,или к пк можно подключить.

Добавлено:
Замена БП не помогла.
NetInstall помог. Всё прошилось успешно вроде как, во всяком случае работает. Но изначальная проблема пока осталась.


Цитата:

Если в момент пика сетевой активности запустить tool\profile, то можно узнать какой процесс на сколько грузит процессор.

выделяется только management, ~10%. остальные (включая фаервол) +- 2-3%. Если выключить wan - нагрузки нет.

Цитата:

В вашем случае просто достаточно написать следующее правило:

Написал. но нагрузка не пропала. судя по растущему объему в новом правиле оно таки работает.

Цитата:

Прежде чем что то делать выведите хотя бы в лог и посмотрите что куда и по каким портам ломится.

https://dl.dropboxusercontent.com/u/23379761/MK/Log.JPG
Если включать лог в работающем фильтре фаервола (теперь уже в разделе raw) вот такая картина. постоянная, в секунду больше 50 записей примерно.
Вижу мак-адрес какой-то, написал "interface ethernet print" с моими мак не совпадает. на wan склонирован мак компьютера, что бы не звонить провайдеру. ни с одним маком моих устройств тоже не совпадает.

Цитата:

Отключите обнаружение на внешнем интерфейсе.

Насколько понял - отключено.


Не понимаю, пишу с компа-автоматом добавляется тег more. И сообщение скрывается. С телефона такого нет. Извиняюсь. [/more] [/more]

RooTC777

Цитата:

на wan склонирован мак компьютера

И с таким же маком компьютер в внутренней сети ?
Если да то микротик не умеет такого в отличии от мыльниц на которых клонируется мак адрес компьютера из внутренней сети.
Надо прописывать мак адрес какой нибудь другой, какой нибудь завалявшейся сетевой карты или менять мак на компьютере.
Запретите на внешнем интерфейсе подключения из bogons
Производителем устройства с mac-адресом 00:0B:6A:CE:C0:32 является компания:Asiarock Technology Limited

alexnov66
Хм, мак адрес компьютера склонирован на ван с момента покупки роутера в прошлом году. Всё работало. Ок, поменяю.
bogons запретил, на правило ничего не сыпется пока не отключу правило в raw. если отключить - начинает фильтроваться правилом с bogon, нагрузка та же, в логах то же.

alexnov66
а в чем смысл замены мака на компе?

ван и лан - это разные два "свича" (упрощенно)

по идее при нате входящий пакет будет преобразован и в мак адрес пакета для компа будет вставлен мак адрес интерфейса lan интерфейса микротика.

никаких конфликтов.


Добавлено:
RooTC777

судя по логам какое то устройство хочет получить адрес по dhcp

пиши провайдеру.

"я такой такой то, договор такой то. мне на wan порт летят dhcp запросы от устройства с маком таким то (то что попадает в правило)
скажите плз, что в моем порту делают dhcp запросы и можно ли это отключить?"

еще как вариант - поднять на ван интерфейсе dhcp сервер и раздать жаждущему устройству адрес с каким-нимть дебильным маршрутом )

ЗЫ. вполне возможно это такая "защита" у провайдера от неакцептированных dhcp серверов, типа высасывают адреса.

Хм, не знаю что помогло, но похоже что провайдер это дело исправил.
т.к. сегодня зашел на рутер, нагрузка штатная, 2-3%.
Посмотрел фильтры - такого флуда больше нет. Но по чуть-чуть все-таки продолжается. Включил логирование - нет такого спама как раньше, но иногда проскальзывают такие же записи но с разными мак.
В общем и целом, понятно. Если будет продолжаться - буду трясти провайдера.
Спасибо большое, очень много полезного мне подсказали!

Можно ли оживить RB951-2n? После прошивки горят только PWR и ACT. Netinstall находит, шьёт. Нажимаешь перезагрузку и тишина. Приходиться перезагружать кнопкой или выключением питания и опять горят только 2 лампочки. Полгода уже валяется, не знаю что сделать.

Всем привет, я очередной новичек нифига не понимающий в маршрутизации

Как водиться склепал конфиг из того что было, то там то тут, печаль в том, что на многих сайтах только кусок инфы, остальное как водится нужно состряпать самому, вот что получилось у меня, подозреваю что траблы где-то в маршрутах, т.к. интернет на mikrotik есть, пингует, но на тот же лан интерфейс не попадает, как и с него тоже не уходит, в остальном все вроде как норм, впрочем, немного о сети, есть 2 провайдера, по сути второй чисто резервный и подключаться по идее будет только по Enable в winboxe, соответсвенно основной провайдер в Disable, не люблю автоматику, да и не нуждаюсь в ней, т.к. инет пропадает достаточно редко, в остальном, можно сказать второго провайдера тупо нет, так же есть два компа, slot2, slot4 (соответсвенно), slot1 - основной провайдер, slot3 - доп провайдер. Не знаю где накосячил, но пакеты на лан интерфейсы вообще не летят, подозреваю что беда с маршрутизацией, ну и возможно что-то не так в правилах файервола, что еще можно в файервол добавить, что бы было надежнее?

привожу скрин с основными, как мне показалось, полями)


так же привожу полный конфиг:

Код: set [ find default-name=ether1 ] comment=slot1 mac-address=00:11:22:33:44:55 name=wan-rt
set [ find default-name=ether3 ] comment=slot3 name=wan-ttk

/ip neighbor discovery
set wan-rt comment=slot1 discover=no
set wan-ttk comment=slot3 discover=no
set wlan1 discover=no

/interface ethernet
set [ find default-name=ether2 ] master-port=wan-rt
set [ find default-name=ether4 ] master-port=wan-rt

/ip neighbor discovery
set ether2 discover=no
set ether4 discover=no

/ip pool
add name=pool1 ranges=192.168.88.245-192.168.88.254

/ip dhcp-server
add address-pool=pool1 disabled=no interface=ether2 lease-time=8h name=dhcp-serv1
add address-pool=pool1 disabled=no interface=ether4 lease-time=8h name=dhcp-serv2

/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=pppoe-rt default-route-distance=0 dial-on-demand=no disabled=no interface=wan-rt \
    keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-rt password=BxVNCcjd profile=default service-name="" use-peer-dns=yes user=249098-1
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=pppoe-ttk default-route-distance=0 dial-on-demand=no disabled=no interface=wan-rt \
    keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-ttk password=jHErOcSv profile=default service-name="" use-peer-dns=no user=v671007860@slk

/ip neighbor discovery
set pppoe-rt comment=pppoe-rt discover=no
set pppoe-ttk comment=pppoe-ttk discover=no

/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=wan-rt
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=wan-ttk

/ip dhcp-server network
add address=192.168.88.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.88.240,192.168.88.241 netmask=24 ntp-server=192.168.88.1

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip firewall filter
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input connection-state=established
add chain=forward connection-state=established
add chain=input connection-state=related
add chain=forward connection-state=related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input in-interface=!wan-rt src-address=192.168.88.0/24
add chain=input in-interface=!wan-ttk src-address=192.168.88.0/24
add action=drop chain=input in-interface=wan-rt
add action=drop chain=input in-interface=wan-ttk
add chain=forward in-interface=!wan-rt out-interface=wan-rt
add chain=forward in-interface=!wan-ttk out-interface=wan-ttk
add action=drop chain=forward

/ip firewall nat
add action=masquerade chain=srcnat

/ip firewall service-port
set ftp disabled=yes

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether4
add interface=ether5

/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether4
add interface=ether5

Странные вы мануалы нашли... Тут проще все с нуля настроить.

Для начала срочно убирайте мастер-порт с 2-го и 4-го порта. Сейчас получается что вы просто подключили кабель порты 2 и 4 в режиме обычного свича к порту 1.

Вы получаете оба интернета по технологии pppoe (кстати пароли и логины в выложенном конфиге лучше потереть). Поэтому дырки в которые вы воткнули кабели от провайдеров - это просто физические порты в вашем случае.
То есть в правилах нужно поменять wan-rt на pppoe-rt и wan-ttk на pppoe-ttk.

snow1eopard
Для чего на внешних интерфейсах поднят dhcp клиент, отключите его, у вас же интернет по pppoe, а так же поставте в настройках pppoe клиента разные метрики для создания маршрутов, к примеру 1 и 2. А также снимите галочки с получения dns провайдера use-peer-dns=yes в use-peer-dns=no

Код: /interface pppoe-client
add default-route-distance=1 interface=wan-rt name=pppoe-rt use-peer-dns=no
add default-route-distance=2 interface=wan-ttk name=pppoe-ttk use-peer-dns=no

Цитата:

Правила в фаере переделайте.

Я понял, момент где я писал что слабо понимаю вы пропустили)

snow1eopard
уже не раз тут предлагали как шаблон это. Попробуйте поразбираться с этим...

Подскажите, неделю бьюсь уже. Хочу объединить офисы по VPN l2tp. В центральном микротик, в удаленном 3g модем Мотив (Win7). Настраивал по разным мануалам и так и сяк, максимум что удается добиться ошибки "error key length mismatched, mine:256 peer:128" Если в удаленном филиале выставить соединение "самое стойкое", тоже не подключается.
Связывался с ТП провайдера Мотив, они утверждают, что ничего не режется.

Проблема с OpenVPN на Mikrotik.
Все работало и продолжает работать при коннекте с Windows машин.
На OSX обновился до последней версии Tunnelblick (полагаю openssl теперь там посвежее, отюда и проблемы). Tunnelblick перестал коннектится к Mikrotik.
Ошибка:

Код:
OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting

jfx
В клиенте пропишите tls-client или ssl2 или ssl3
или пересобрать openssl c поддержкой SSL23
возможно сертификат не совпадает.
может конфигурация слетела или изменилась

Да, забыл конфиг привести

Код:
client
dev tun
proto tcp-client
remote xx.xx.xx.xx 1194
resolv-retry infinite

tls-client

key-direction 1

nobind
persist-tun
persist-key

ns-cert-type server
cipher AES-256-CBC
auth SHA1
pull

ca ca.crt
cert remote-admin-2.crt
key remote-admin-2.key

auth-user-pass
verb 3

route-method exe
route-delay 2

jfx
Версия не должна влиять, попробуйте перегенерить сертификат и ключ предварительно сохранив старые, а также попробуйте указать полные пути к сертификатам.

А протокол используемый разве так должен быть прописан, попробуйте так
proto tcp
или
proto udp

попробуйте закоментировать
#verb 3

Приветствую всех,и прошу помочь настроить такую связку: Huawei e3372->Mikrotik 951G-2HnD->Apple time capsule. Сейчас все более менее работает,но хотелось бы понять как правильно настроить все nat,dhcp. и в каком режиме использовать time capsule(Dhcp/dhcp+nat/режим моста)...
Спасибо

Есть RB962UiGS-5HacT2HnT
По умолчанию обрезает аплоад (очень плохо закачиваются фото и прочее). В firewall я правила не устанавливал, там все default

Журнал прилагается.
После reset configuration возникает окно
Если нажать remove congiration устройство не реагирует, помогает только кнопка reset на самом устройстве.

[q]/interface bridge
add admin-mac=***** auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=*****
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=***** use-peer-dns=yes user=*****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=ukraine disabled=no distance=indoors frequency=auto frequency-mode=superchannel mode=ap-bridge ssid=***** wireless-protocol=802.11 wmm-support=enabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=**** disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=**** wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key="*****" wpa2-pre-shared-key="*****"
/ip pool
add name=dhcp ranges=192.168.1.133-192.168.1.139
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/interface wireless access-list
add mac-address=****
add mac-address=****
add mac-address=****
/ip address
add address=****/24 comment=defconf interface=bridge network=****
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=****/24 comment=defconf gateway=**** netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=*** name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
# in/out-interface matcher not possible when interface (wlan2) is slave - use master instead (bridge)
add action=drop chain=input in-interface=wlan2 port=53 protocol=udp
add action=drop chain=input in-interface=bridge port=53 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes [/more]


Добавлено:
lamut
Мне помогает только такой способ


Отключите питание роутера;
Нажмите и держите кнопку Reset;
Включите питание роутера;
Дождитесь, пока замигает индикатор ACT, и отпустите кнопку Reset.

Цитата:

После reset configuration возникает окно

это норма

Цитата:

Если нажать remove congiration устройство не реагирует,

Не верю.
winbox`ом пробовали подключиться?

Добавлено:
На оф.сайте микротик есть очень хорошая "вики", строжайше рекомендую.

sergyus
Работает или только шьется? У меня шьется, но дальше тишина.
P.S. Хоть форум заработал

1karavan1
winbox также не реагирует.
проблему с remove configuration помогла решить только смена прошивки. И то не с первого раза.
"Вики" на оф.сайте читаю, но она неполная и обобщенная (у меня 2 сети wi-fi - на 2,4 и 5 гц)
Но скорость аплоада от этого не увеличилась.

lamut
1. Версия netinstall = версия router os
2. Если возникнут какие либо проблемы с загрузкой маршрутизатора, можно попробовать сбросить его на стандартные настройки подержав кнопку reset, либо если есть дисплей, выбрать Restore settings и ввести стандартный пин код 1234. Либо восстановить через Netinstall с снятой галочкой «Keep Old Configuration» и указав ниже свой «Configure script».

что ни кто не знает?

sergyus
Может я не понятно объяснил? Допускаю. Попытаюсь ещё раз.
Включаю горят только PWR и ACT, остальные диоды молчат, не важно в какой порт воткнут патчкорд. Роутер на определяется. Перевожу в режим восстановления Netinstall его находит, шьёт. При прошивке горять 3 диода PWR, ACT и активный порт. Нажимаешь reboot в Netinstall в программе пишет мол команда отравлена, сетевуха показывает, что кабель отключен. А на роутере продолжает гореть 3 диода, как будто ничего не происходит, хотя при прошивке диод активного порта показывал, что была передача. Пробовал не выключать, результат нулевой. С кнопки не перезагружается, только выключение питания. Включаю, опять горят 2 диода PWR и ACT. Почему и спрашиваю, можно оживить или всё же морг?

lamut
Скорее всего полетел загрузчик, пробуйте подключаться по телнет

lamut
Попробуйте сменить версию прошивки, возьмите выше, чем стоит на роутере, вплоть до бета версии.
И попробуйте сделать reset с платы. Возможно Вы неправильно его перезагружаете с кнопки, в каждой модели по-разному.