MikroTik.by

К сожалению не смог я сделать обход блокировки к яндекс (она то заработала то пропала)

Заметил что когда пропадает интернет на одном провайдеров второй то интернет работает от второго, адолжно бы показывать что интернета нет.
Как я понимаю чтобы сети не видели друг друга я прописал, или это не то?
http://www.fotolink.su/v.php?id=fef890e ... e916965555
Настройки DNS
http://www.fotolink.su/v.php?id=0721218 ... c969a70dc8
http://www.fotolink.su/v.php?id=42c745a ... 7a058ca39a

r136a8 писал(а): ↑28 фев 2018, 19:03 К сожалению не смог я сделать обход блокировки к яндекс (она то заработала то пропала)

Могу только посочувствовать, ибо полезной информации предоставлено ровно ноль...

r136a8 писал(а): ↑28 фев 2018, 19:03 Заметил что когда пропадает интернет на одном провайдеров второй то интернет работает от второго, адолжно бы показывать что интернета нет.

Тогда в таблицы маршрутизации для обоих провайдеров надо добавить ещё одно правило с type=unreachable и distance побольше.

r136a8 писал(а): ↑28 фев 2018, 19:03 Как я понимаю чтобы сети не видели друг друга я прописал, или это не то?
http://www.fotolink.su/v.php?id=fef890e ... e916965555

Нет, это чтобы в целом был доступ в Интернет через этих провайдеров

r136a8 писал(а): ↑28 фев 2018, 19:03 http://www.fotolink.su/v.php?id=42c745a ... 7a058ca39a

А вот это как раз чтобы сети не видели друг друга, похоже (скриншоты малоинформативны в этом плане - мало ли что у вас там настроено в правиле, что не попало на экран).

Т.е. надо сделать или в зависимости от того, как именно маркируется в Mangle трафик пользователей.

А можно вообще все четыре вкинуть

После ввода этого правила интернет продолжает работать на обеих сетях, при отключении интернета от любого из провайдеров интернет (параллельный, от другой сети) продолжает работать. После вввода этого правила интернет пропадает полностью в сети ether2-WAN-E http://www.fotolink.su/v.php?id=c33d10b ... 5d1c11ec56

лог
http://www.fotolink.su/v.php?id=f610cc2 ... 2dacf63bdd

Mangle
http://www.fotolink.su/v.php?id=8a9c6fa ... 60e93babac


Если этой информации недостаточно как возможно предоставить больше для понятия что к чему.

r136a8 писал(а): ↑02 мар 2018, 16:18 После вввода этого правила интернет пропадает полностью в сети ether2-WAN-E

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN-V distance=250
add type=unreachable routing-mark=WAN-E distance=250

http://www.fotolink.su/v.php?id=c33d10b ... 5d1c11ec56

Ну, как вижу, всё правильно: шлюз 217.30.200.200 в таблице WAN-E недоступен - поэтому Интернета у них нет.

Но тут вкралось подозрение, что вы что-то наворотили с WAN1 и WAN2, и у вас там должны были быть -V и -E вместо 1 и 2.

После отключения кабелья провайдера "WAN-V" даное правило слетает (пропадает), такая же ситуация если отключить интернет по провайтеру WAN-E http://www.fotolink.su/v.php?id=7cfb3cb ... bbf3a29e26

Правила удаляет скрипт DHCP-клиента. Попробуйте заменить в нём строку на

Chupaka писал(а): ↑06 дек 2017, 08:29 Т.е. вы никак даже не пытались направить каждую подсеть в соответствующий WAN?

Надо сделать так:
1. Создать две новых таблицы маршрутизации с дефолтными маршрутами через каждый из каналов:

Код: Выделить всё

/ip route
add routing-mark=WAN-V gateway=192.168.2.1
add routing-mark=WAN-E gateway=192.168.51.1

(ну, или какие у вас там шлюзы получились)
2. Направить трафик от каждого сегмента в нужный аплинк:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting in-interface=bridge1-NET-V dst-address-type=!local action=mark-routing new-routing-mark=WAN-V
add chain=prerouting in-interface=bridge2-NET-E dst-address-type=!local action=mark-routing new-routing-mark=WAN-E

3. На данном этапе уже не должно быть возможности подсетям общаться друг с другом (все пакеты к другой подсети будут улетать в свой интернет-канал), но на хороший толк можно в фильтре файрвола запретить хождение пакетов между бриджами:

Код: Выделить всё

/ip firewall filter
add chain=forward in-interface=bridge1-NET-V out-interface=bridge2-NET-E action=reject
add chain=forward in-interface=bridge2-NET-E out-interface=bridge1-NET-V action=reject

Есть ли возможность разрешить одному устройству (NAS219 у короткого только один LAN порт) быть видимым в другой сети. На данный момент сети изолированы и устройства одной сети другую сеть не видят.

Это, видимо, потому, что все пакеты маршрутизируются в Интернет. Чтобы локальный трафик ходил в рамках локалки, можно перед всеми mangle-правилами добавить правило Где локальная_суперсеть - например, 192.168.0.0/16

Chupaka писал(а): ↑15 мар 2018, 08:55 Это, видимо, потому, что все пакеты маршрутизируются в Интернет. Чтобы локальный трафик ходил в рамках локалки, можно перед всеми mangle-правилами добавить правило

Код: Выделить всё

/ip firewall mangle
add chain=prerouting dst-address=локальная_суперсеть action=accept

Где локальная_суперсеть - например, 192.168.0.0/16

Если вод так, то не работает. 192.168.99.245 не доступен
http://www.fotolink.su/v.php?id=fc2ee98 ... 08a6cf2528

А раньше тоже было unreachable, или timeout? Вкралось подозрение, что правила Firewall Filter запрещают что-то нужное.

отключил, получается - timeout
http://www.fotolink.su/v.php?id=f1d1952 ... c779dae4b2

правила Firewall Filter
http://www.fotolink.su/v.php?id=628825f ... 3b9584a56b

Надо включить (одно, а не три - нужно только самое верхнее), а в Firewall Filter разрешить вверху нужное, потому что сейчас там пакеты между локальными подсетями в обе стороны (два правила) запрещены.

нет не работает
http://www.fotolink.su/v.php?id=c4261b0 ... 6afe299a40
также пробовал разрешать, не помогло.
http://www.fotolink.su/v.php?id=19cf366 ... 9a1760d3ee

Хм... Вы в курсе, что пинг - это два пакета: эхо-запрос от А к Б и эхо-ответ от Б к А? Вот у вас в одну сторону пакет идёт, а обратно - блокируется.

Чтобы уже установленные соединения разрешать - можно в начало поставить правило

Chupaka писал(а): ↑15 мар 2018, 14:48 Хм... Вы в курсе, что пинг - это два пакета: эхо-запрос от А к Б и эхо-ответ от Б к А? Вот у вас в одну сторону пакет идёт, а обратно - блокируется.

Чтобы уже установленные соединения разрешать - можно в начало поставить правило

Код: Выделить всё

/ip firew filter add chain=forward connection-state=established,related action=accept

Вот так помогло, это правильно?
http://www.fotolink.su/v.php?id=6eef0ce ... 60444ec9be
я установил accept в обеих правилах!?

Accept в обоих правилах - это как если бы их и не было. Раз они появились - значит, раньше задача была другая Насколько правильно то, что у вас сейчас разные локальные подсети могут общаться друг с другом - это уж вам виднее...

Столкнулся с такой проблемой как я понимаю загрузка сети. При загрузке сети она виснет/подвисает.
Сеть сейчас подключена по схеме "В" в ней имеется 2 устройства ETH6, ETH8 которые хотелось бы подключить на гигабитные порты, но эти устройства работают и должны быть в другой сети Bridge1-WAN-V
Я хотел подключить все устройства на гигабитные порты но тогда я не смогу разделить сети так как матер порт должен быть в одной группе портов, мне устройство не дает сделать вот так, схема "А":
--Bridge1-WAN-V
ETH2-master
ETH4
ETH6
ETH7
ETH9-WAN1-V

--Bridge2-WAN-E
ETH1-master
ETH3
ETH5
ETH8
ETH10-WAN2-E

Что можно сделать в такой ситуации?

http://www.fotolink.su/v.php?id=a2d9918 ... 16f4031df2

0) Обновиться до актуальной версии. В ней уже нет никаких Мастер-портов.
1) Дальше уже через Bridge -> Ports раскидать нужные порты в нужные бриджи. Там, где возможна аппаратная коммутация (между портами одного свитч-чипа), будет использоваться она, а если нет (в другой свитч-чип) - трафик пойдёт через CPU.

Обновился.
Сбросил конфигурацию для того чтобы перенести wan порты и перестроить сеть.
Сохранил конфигурацию микротика в текстовом варианте командой
export file=config_backup_20170403.rsc
отредактировал и пошагово восстановил конфигурацию. Вроде как все хорошо.
Возможно ли у Вас будут рекомендации по оптимизации/ускорению сети?
Спасибо

Если всё работает, как надо - ничего оптимизировать не надо. Или у вас какие-то проблемы со скоростью? Что ускорять хотите?

Chupaka писал(а): ↑20 мар 2018, 17:29 Если всё работает, как надо - ничего оптимизировать не надо. Или у вас какие-то проблемы со скоростью? Что ускорять хотите?

Понял, тестирую. Пока все хорошо. Спасибо

Заметил интересное наблюдение. Когда интернет отключает провайдер в связи с неоплатой на втором провайдере интернет пропадает и на первом провайдере. Если перезагрузить устройство, то интернет возобновляется на первом провайдере.
Что может быть и как это побороть чтобы он не пропадал на втором провайдере? (Что нужно предоставить, скрины, данные чтобы выявить проблему?)
Если кабель (WAN) вынуть, то интернет на втором провайдере не пропадает.

Предоставить желательно больше подробностей. Опишите, что значит "пропадает интернет". А то, может, по IP всё работает (ping 1.1 или ping 8.8.8.8), а проблема только с DNS, поэтому сайты не открываются.

Скорей всего что с DNS так как Chrome так и писал, что нужно проверить DNS. Больше подробностей после повторного проявления. Лимит интернета уже исчерпан пару дней