2 интернета и 2 сети (RB2011)

[Chupaka]

А раньше тоже было unreachable, или timeout? Вкралось подозрение, что правила Firewall Filter запрещают что-то нужное.

[r136a8]

отключил, получается - timeout
http://www.fotolink.su/v.php?id=f1d1952 ... c779dae4b2

правила Firewall Filter
http://www.fotolink.su/v.php?id=628825f ... 3b9584a56b

[Chupaka]

Надо включить (одно, а не три - нужно только самое верхнее), а в Firewall Filter разрешить вверху нужное, потому что сейчас там пакеты между локальными подсетями в обе стороны (два правила) запрещены.

[r136a8]

нет не работает
http://www.fotolink.su/v.php?id=c4261b0 ... 6afe299a40
также пробовал разрешать, не помогло.
http://www.fotolink.su/v.php?id=19cf366 ... 9a1760d3ee

[Chupaka]

Хм... Вы в курсе, что пинг - это два пакета: эхо-запрос от А к Б и эхо-ответ от Б к А? Вот у вас в одну сторону пакет идёт, а обратно - блокируется.

Чтобы уже установленные соединения разрешать - можно в начало поставить правило

Код: Выделить всё

/ip firew filter add chain=forward connection-state=established,related action=accept

[r136a8]

Хм... Вы в курсе, что пинг - это два пакета: эхо-запрос от А к Б и эхо-ответ от Б к А? Вот у вас в одну сторону пакет идёт, а обратно - блокируется.

Чтобы уже установленные соединения разрешать - можно в начало поставить правило

Код: Выделить всё

/ip firew filter add chain=forward connection-state=established,related action=accept

Вот так помогло, это правильно?
http://www.fotolink.su/v.php?id=6eef0ce ... 60444ec9be
я установил accept в обеих правилах!?

[Chupaka]

Accept в обоих правилах - это как если бы их и не было. Раз они появились - значит, раньше задача была другая Насколько правильно то, что у вас сейчас разные локальные подсети могут общаться друг с другом - это уж вам виднее...

[r136a8]

Столкнулся с такой проблемой как я понимаю загрузка сети. При загрузке сети она виснет/подвисает.
Сеть сейчас подключена по схеме "В" в ней имеется 2 устройства ETH6, ETH8 которые хотелось бы подключить на гигабитные порты, но эти устройства работают и должны быть в другой сети Bridge1-WAN-V
Я хотел подключить все устройства на гигабитные порты но тогда я не смогу разделить сети так как матер порт должен быть в одной группе портов, мне устройство не дает сделать вот так, схема "А":
--Bridge1-WAN-V
ETH2-master
ETH4
ETH6
ETH7
ETH9-WAN1-V

--Bridge2-WAN-E
ETH1-master
ETH3
ETH5
ETH8
ETH10-WAN2-E

Что можно сделать в такой ситуации?

http://www.fotolink.su/v.php?id=a2d9918 ... 16f4031df2

[Chupaka]

0) Обновиться до актуальной версии. В ней уже нет никаких Мастер-портов.
1) Дальше уже через Bridge -> Ports раскидать нужные порты в нужные бриджи. Там, где возможна аппаратная коммутация (между портами одного свитч-чипа), будет использоваться она, а если нет (в другой свитч-чип) - трафик пойдёт через CPU.

[r136a8]

Обновился.
Сбросил конфигурацию для того чтобы перенести wan порты и перестроить сеть.
Сохранил конфигурацию микротика в текстовом варианте командой
export file=config_backup_20170403.rsc
отредактировал и пошагово восстановил конфигурацию. Вроде как все хорошо.
Возможно ли у Вас будут рекомендации по оптимизации/ускорению сети?
Спасибо

[Chupaka]

Если всё работает, как надо - ничего оптимизировать не надо. Или у вас какие-то проблемы со скоростью? Что ускорять хотите?

[r136a8]

Если всё работает, как надо - ничего оптимизировать не надо. Или у вас какие-то проблемы со скоростью? Что ускорять хотите?

Понял, тестирую. Пока все хорошо. Спасибо

[r136a8]

Заметил интересное наблюдение. Когда интернет отключает провайдер в связи с неоплатой на втором провайдере интернет пропадает и на первом провайдере. Если перезагрузить устройство, то интернет возобновляется на первом провайдере.
Что может быть и как это побороть чтобы он не пропадал на втором провайдере? (Что нужно предоставить, скрины, данные чтобы выявить проблему?)
Если кабель (WAN) вынуть, то интернет на втором провайдере не пропадает.

[Chupaka]

Предоставить желательно больше подробностей. Опишите, что значит "пропадает интернет". А то, может, по IP всё работает (ping 1.1 или ping 8.8.8.8), а проблема только с DNS, поэтому сайты не открываются.

[r136a8]

Скорей всего что с DNS так как Chrome так и писал, что нужно проверить DNS. Больше подробностей после повторного проявления. Лимит интернета уже исчерпан пару дней

[r136a8]

Такой вопрос. Сегодня ко мне обратился провайдер (WAN-E) с просьбой отключить (на стандартных роутерах опция dns relay) так как от меня идет много запросов по dns.
Что можно с этим сделать?

[Chupaka]

Подозреваю, заблокировать доступ к роутеру (chain=input) из WAN хотя бы по порту 53 (dns), а лучше по всем Нужные выше по списку правил можно открыть для доверенных подсетей.

[r136a8]

Вот так?

Код: Выделить всё

/ip firewall filter
add chain=input action=drop protocol=udp in-interface=Ether10-WAN-E dst-port=53

Или вот так
https://supportila.ru/stati/zakryvaem-p ... rotik.html

Какие именно порты Вы еще порекомендуеде закрыть?
Спасибо

[Chupaka]

Да, так (в статье по ссылке ведь то же самое?)

Я уже выше рекомендовал: закрыть всё. Если что-то надо - открыть отдельным правилом.

[r136a8]

Я не могу найти а как заблокировать все порты (или это нужно делать по отдельности каждый, где можно посмотреть список этох портов)?
Подсакжите это правило в случае необходимости для открытия порта.
Спасибо

[Chupaka]

Открытие:

Код: Выделить всё

/ip firewall filter
add chain=input action=accept protocol=tcp in-interface=Ether10-WAN-E dst-port=8291

Закрыть всё:

Код: Выделить всё

/ip firewall filter
add chain=input action=drop in-interface=Ether10-WAN-E

[r136a8]

Спасибо.
А какой мне нужно открыть порт для работы PPTP что у меня есть, та как после ввода команды именно он перестал работать.
Скрины
https://imgur.com/a/0XDgADf

[Chupaka]

Для PPTP нужны "protocol=tcp dst-port=1723" и "protocol=gre"

[r136a8]

Во так? (не работает)
https://imgur.com/a/dNiFf8Y

[Chupaka]

Конечно не работает. У вас же выше запрещающие правила — они первыми ловят пакеты, поэтому до разрешающих дело не доходит. Перетащите запрещающие вниз.