MikroTik.by

Я догадывался о таком и делал (сделал повторно) вот так
https://imgur.com/a/s6GVQZn
таже ситуация, возможно что-то неправильно с разрешающим правилом?!

Возможно. На imgur поганое качество картинок почему-то. И лучше таки смотреть на /ip firewall filter export в Терминале — там сразу всё видно.

export в Терминале
https://prnt.sc/l2qlx7

Так, стоп. У вас перестал работать PPTP-сервер или PPTP-клиент? Я думал, сервер

Добавьте в самом верху правило /ip firewall filter add chain=input connection-type=established,related

Сделал вот так, это правильно? Все заработало.
https://prnt.sc/l2ujc9
Спасибо Вам.

Другой вопрос. Что на микротике может резать скорость, по провайдеру ether10-WAN-E скороть напрямую в пк 97Mb из 100 а через роутер до 35Mb все соеденения по кабелю.
По второму провайдеру ether1-WAN-V скорость соотвествует норме 180Mb +/- из 200 через роутрер.

Да, так правильно.

Вы так и не рассказали, где у вас используется PPTP. Но в целом, при скачивании смотрите Tools -> Profile, покажет, что и какую нагрузку создаёт на процессор.

Я не завсем понял что Вы имеете ввиду "где у вас используется PPTP"
Тест Tools -> Profile при нагрузке (тест на спидест) на ether10-WAN-E через WIFI
https://youtu.be/Bz3VBNSSY0I

на ether10-WAN-E через кабель
https://youtu.be/_uUvPd-Ss5o

****

Разобрался, вопрос снят.
Спасибо Вам.

И что было, если не секрет?

Соединение было через WiFi a не через кабель. Через кабель все хорошо 80-90мб +/-
А вот через WiFi до 35мб с этим можно что-то сделать (карта же поддерживает 100мб соединение)?

WiFi - поддерживает одновременную скорость, реальная = скорость wifi делим на 2 (при одном клиенте, если их много, то делим на количество клиентов) и вычитаем процент, который гасит скорость при шифровании, а это уже зависит от типа шифрования и какой ключ используется, на практике ещё процентов 30 от скорости

Где настройки вайфая? Канальная скорость выше 100 Мбит/с только на каналах шириной 40 МГц, как помню. Фактическая скорость передачи полезных данных — надо канальную делить на 2, как говорят

WiFi - ещё та штука, в магистральной сети PtP - я гигабит вытягиваю, а вот в PtMP - на 1300 мегабитах - масимум я получил 800 мегабит, а так постоянно 527-640 мегабит

Относительно доступности устройств.
Если устройство - cap ac подключено по ethernet к примеру в bridge1-NET-V то через windox c ПК который также находится в bridge1-NET-V я вижу оба устройства rb2011 и cap ac.

Но если я подключаю cap ac в другой bridge2-NET-E то устройство cap ac перестает быть доступно (видимо) с ПК который находится в bridge1-NET-V.

А если зайти в windox с ПК который находится в bridge2-NET-E то там видно все 2 устройства rb2011 и cap ac. Почему так получается?

Чтобы ответить на вопрос, необходимо знать, что вы имеете в виду под "перестает быть доступно" и "видно". По IP доступа нет, или просто в Neighbors не видно при поиске? Если второе - то там всё работает на широковещательных пакетах, которые, естественно, между бриджами не перескакивают. Вот обнаружение и работает только в "своём" бридже.

Да, второе, в Window в Neighbors cap не видно при поиске если подключен к другой сети. А вот cap видет rb2011 и cap ac в другой сети.

Добрый день. Перенастроил полностью сеть с 0, чтобы убрать постороннее вмешательство после взлома. На данном этапе отказался от PPTP и родительского контроля.
Задача. Настройка двоих независимых провайдеров интернета на две независимых сети.
После всех нижеперечисленных действий нет интернета в обеих сетях, подозреваю что проблема в DNSтак-как Chrome пишет именно об этом.
Ping 8.8.8.8 в обеих сетей проходит (в командной строке через ПК)
https://prnt.sc/mj4je7
Моя последовательность действий
1. Сделал сброс настроек роутера (без стандартной конфигурации и создании резервной копии)
2. Создал два бриджа и объединил в них порты
3. Сделал настройку статического IP для обеих бриджей
https://prnt.sc/mj4xy7
4. Произвел настройку интернета в IP -> DHCP Client
https://prnt.sc/mj4xiv
5. Создал две новых таблицы маршрутизации с дефолтными маршрутами через каждый из каналов:

Код: Выделить всё

/ip route
add routing-mark=WAN-V gateway=192.168.77.1
add routing-mark=WAN-E gateway=192.168.88.1

6. Направил трафик от каждого сегмента в нужный аплинк

Код: Выделить всё

/ip firewall mangle
add chain=prerouting in-interface=bridge1-NET-V dst-address-type=!local action=mark-routing new-routing-mark=WAN-V
add chain=prerouting in-interface=bridge2-NET-E dst-address-type=!local action=mark-routing new-routing-mark=WAN-E

7. Прописал скрипты в DHCP Clint

Код: Выделить всё

:local rmark "WAN-V"
:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=$rmark ]
:if ($bound=1) do={
    :local iface $interface
    :local gw [ /ip dhcp-client get [ find interface=$"iface" ] gateway ]
    :set gw "$gw%$iface"
    :if ($count=0) do={
        /ip route add gateway=$gw routing-mark=$rmark
    } else={
        if ($rmark="main") do={
            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=$gw ] gateway=$gw
        } else={
            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=$rmark gateway!=$gw ] gateway=$gw
        }
    }
} else={
    :if ($rmark="main") do={
        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~"%$interface\$" ]
    } else={
        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=$rmark type=unicast ]
    }
}

Второй для

Код: Выделить всё

:local rmark "WAN-E"
:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=$rmark ]
:if ($bound=1) do={
    :local iface $interface
    :local gw [ /ip dhcp-client get [ find interface=$"iface" ] gateway ]
    :set gw "$gw%$iface"
    :if ($count=0) do={
        /ip route add gateway=$gw routing-mark=$rmark
    } else={
        if ($rmark="main") do={
            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=$gw ] gateway=$gw
        } else={
            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=$rmark gateway!=$gw ] gateway=$gw
        }
    }
} else={
    :if ($rmark="main") do={
        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~"%$interface\$" ]
    } else={
        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=$rmark type=unicast ]
    }
}

https://prnt.sc/mj4yiv
8. Добавил правило

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN-V distance=250
add type=unreachable routing-mark=WAN-E distance=250

9. Настроил DNS
https://prnt.sc/mj4ynz
10. Настроил dhcp сервера для обоих провайдеров
https://prnt.sc/mj4yt3
11. Настроил firewall nat

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment=WAN-V out-interface=ether1-WAN-V
add action=masquerade chain=srcnat comment=WAN-E out-interface=ether9-WAN-E

Добавил стандартные правила firewall filter

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface=ether1-WAN-V protocol=tcp
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface=ether9-WAN-E protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1-WAN-V protocol=\
    udp
add action=drop chain=input dst-port=53 in-interface=ether9-WAN-E protocol=\
    udp
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether9-WAN-E
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related routing-mark=main
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether9-WAN-E

Проверьте конфигурацию и последовательность правил.

Что я сделал не так, что нет доступа к интернет.

После взлома особо нет смысла делать сброс. Все настройки есть в /export. Чтобы быть совсем уверенным, нужно делать NetInstall.

Пинг на DNS-серверы с клиентов ходит?

Ну и опять вы делаете "запретим что-то, остальное разрешим" — и при попытке впоследствии добавить PPTP опять столкнётесь с той же проблемой, что там всё будет по умолчанию разрешено. Сделайте хотя бы Interface List и добавьте в него ваши WAN'ы, и уже его используйте вместо ether1,9.

Chupaka писал(а): ↑10 фев 2019, 17:42 Пинг на DNS-серверы с клиентов ходит?

Да пинги с клиентов есть. 8.8.8.8 пингуется.

Chupaka писал(а): ↑10 фев 2019, 17:42 Сделайте хотя бы Interface List и добавьте в него ваши WAN'ы, и уже его используйте вместо ether1,9. А что с ним дальше делать, в чем он поможет?

Interface List сделал, вот так?

https://prnt.sc/mj5wox

Относительно доступности интернета. Вот что я заметил.
Если в даной кофигурации поставить галочку в "Add default route" то интернет появляется. Как я понимаю если использовать скрипт viewtopic.php?f=2&t=323 то галочки не должно быть!?
Получается что то не так в маршрутизации или скрипте?

Я вам что говорил? Настраиваете ОДНУ внутреннюю сеть и Police Based Routing на 2 аплинка, проверяете, появился ли интернет, а вы заного начали городить огород. Вывод команд в терминал, вы от меня не дождётесь, нет под рукой ни одного тестового микротика, чтоб на нём эмулировать вашу ситуацию. Направление обозначено.

Sir_Prikol писал(а): ↑10 фев 2019, 18:49 Я вам что говорил? Настраиваете ОДНУ внутреннюю сеть и Police Based Routing на 2 аплинка, проверяете, появился ли интернет, а вы заного начали городить огород. Вывод команд в терминал, вы от меня не дождётесь, нет под рукой ни одного тестового микротика, чтоб на нём эмулировать вашу ситуацию. Направление обозначено.

Спасибо, но я этого боюсь что не осилю. Та-как совсем не понимаю с чего начинать.

Ну так именно из-за того, что вы "не осилите" у вас и получается такая каша.
Начните с азов, простейшая конфигурация и пошагово на увеличение. PBR не так сложен, как вы себе представляете, скриптами гораздо сложнее

Так, есть контакт. Пункт 5 не нужен — у вас этим занимается пункт 7 (но пункт 8 можно оставить — это уберёт Failover, при отваливании одного из провайдеров его клиенты просто перестанут работать).

Пинговать я просил ДНСы, а не 8.8.8.8. Они у вас, как вижу, 192.168.77/88.1?.. UPD: А, это адреса роутера, тогда в пункте 5 вообще ересь: роутер сам себе шлюз...

Add Default Route надо оставлять для доступа роутера в Интернет — как ещё он будет DNS-запросы выполнять...

Chupaka писал(а): ↑10 фев 2019, 19:50 Add Default Route надо оставлять для доступа роутера в Интернет — как ещё он будет DNS-запросы выполнять...

Там 2 аплинка, как раз не надо add default route, надо ручками маршруты прописать, иначе он будет ходить через первый поднятый, а второй простаивать будет. Хотя я человеку уже почти неделю пытаюсь втолковать, что ему нужен PBR в первую очередь, а уже потом локалку отстраивать

Не будет через первый поднятый, потому что клиентский трафик он маркирует

А вот для трафика от самого роутера нужен маршрут в main — будет использоваться хоть какой для DNS, клиентский трафик всё равно распределится по каналам.

З.ы. Заметил ещё, что новосозданные Interface Lists тоже левые. Надо создать один лист (WANs, например).

Chupaka писал(а): ↑10 фев 2019, 20:01 Надо создать один лист (WANs, например).

После создания Interface List "WANs" мне нужно оредактировать правила в firewall - filter rulers. Вмнсто 2х правил теперь будет одно (я удаляю в двух правилах "In. intrface" далее уадаляю одно правило в том что стается 1м из двух в "In. interface List" выбираю свой созданный Interface List "WANs"?
Как я понял это относится только к firewall - filter rulers или к "Mangle" тоже (но я себе подозреваю что нет)?

Относительно PPTP что вы говорили. Сейчас согласно моего firewall Rulers он блокирован. Но чтобы его разблокировать мне нужно будет добавить вверху firewall Rulers следующие правила:

Код: Выделить всё

add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre

правильно?
Относительно firewall Rulers (правильный ли он у меня, правильно ли расположен согласно стандартных правил?)
Спасибо

MikroTik.by

2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)

Re: 2 интернета и 2 сети (RB2011)