Chupaka писал(а): ↑22 апр 2019, 23:10
Кто что при подключении получает, какова конфигурация сети, почему вы думаете, что что-то должно пинговаться, но не пингуется?
Имею коробку RB962UiGS-5HacT2HnT. В Ether1 воткнут провод от БТК, в Ether2 воткнут провод от A1. Прописаны роуты гонящие весь трафик через Ether1, но, в случае если через него не пингуется 8.8.4.4, включается Ether2, как резервная линия. Клиенты в сети имеют ip-адреса (dhcp pool) 192.168.2.10 - 192.168.2.255, где 192.168.2.0 - bridge-local для ether3-ether5 и WLAN, a 192.168.2.1 - IP коробки.
На коробке поднят PPTP-сервер, адреса выдаются из того же пула, что и в случае с локальными клиентами, используется профайл default-encryption (IP назначен как 192.168.2.2).
Конструкция работает, подключение к обоим провайдерам имеется, на текущий момент работает линия БТК.
На что собственно моя жалоба:
1) Некоторые клиенты, не все, часть, ничего общего между ними нет, при подключении к VPN, как напрямую, по IP, выдаваемому БТК (статика), так и с CloudHostName (используем его чтобы в случае резервного подключения клиенты знали об изменении IP), успешно подключаются, но не видят ни 192.168.2.1, ни других клиентов bridge-local (в логе, при подключении пользователей, все в порядке, никаких ошибок)
2) Раз в 20 минут получаю ошибку dhcp-client on ether1 lost IP address 10.10.10.10 - lease expired. На коробке от провайдера все настроено адекватно, коробке микротика по маку выдана статика 10.10.10.10, Remaining Lease Time при этом - infinity.
Сам конфиг:
Код: Выделить всё
# apr/23/2019 10:48:50 by RouterOS 6.40.8
# model = RouterBOARD 962UiGS-5HacT2HnT
/interface bridge
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether4 ] master-port=ether3
set [ find default-name=ether5 ] master-port=ether3
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC \
disabled=no frequency=2442 mode=ap-bridge ssid=***_2G \
wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-eeeC disabled=no frequency=5825 mode=ap-bridge ssid=***_5G \
wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=\
***
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.2.10-192.168.2.254
/ip pool
add name=vpn ranges=192.168.3.10-192.168.3.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=dhcp1
/ppp profile
set *FFFFFFFE address-list=VPN_LIST local-address=192.168.2.2 remote-address=\
dhcp use-encryption=required
/interface bridge port
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=wlan2
/interface l2tp-server server
set use-ipsec=yes
/interface pptp-server server
set enabled=yes keepalive-timeout=300 max-mru=1400 max-mtu=1400
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 interface=bridge-local network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
interface=ether1
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
interface=ether2
/ip dhcp-server lease
add address=192.168.2.123 client-id=1:fc:aa:14:28:65:75 mac-address=\
FC:AA:14:28:65:75 server=dhcp1
add address=192.168.2.155 mac-address=BC:5F:F4:91:E8:FA server=dhcp1
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=accept chain=input dst-port=1723 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=1723 in-interface=ether2 protocol=tcp
add action=drop chain=output dst-address=8.8.4.4 out-interface=ether2
add action=reject chain=forward out-interface=ether1 reject-with=\
icmp-network-unreachable src-address-list=VPN_LIST
add action=reject chain=forward out-interface=ether2 reject-with=\
icmp-network-unreachable src-address-list=VPN_LIST
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
add action=masquerade chain=srcnat comment="masq. vpn traffic" limit=\
1,5:packet src-address=192.168.3.0/24
/ip route
add comment=ISP1 distance=3 gateway=10.10.10.1
add comment=ISP2 disabled=yes distance=2 gateway=20.20.20.1
add comment=GOOGLE distance=1 dst-address=8.8.4.4/32 gateway=10.10.10.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.2.0/24,192.168.3.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.2.0/24,192.168.3.0/24
set api-ssl disabled=yes
/ppp secret
add name=test-login password=test-password profile=\
default-encryption
/system clock
set time-zone-name=Europe/Minsk
/tool netwatch
add down-script=\
"/ip route enable [find comment=\"ISP2\"]\r\
\n/ip cloud force-update" host=8.8.4.4 interval=15s up-script=\
"/ip route disable [find comment=\"ISP2\"]\r\
\n/ip cloud force-update"
Куда копать?