2 интернета и 2 сети (RB2011)

Базовая функциональность RouterOS
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

А раньше тоже было unreachable, или timeout? Вкралось подозрение, что правила Firewall Filter запрещают что-то нужное.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

отключил, получается - timeout
http://www.fotolink.su/v.php?id=f1d1952 ... c779dae4b2

правила Firewall Filter
http://www.fotolink.su/v.php?id=628825f ... 3b9584a56b
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Надо включить (одно, а не три - нужно только самое верхнее), а в Firewall Filter разрешить вверху нужное, потому что сейчас там пакеты между локальными подсетями в обе стороны (два правила) запрещены.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

нет не работает
http://www.fotolink.su/v.php?id=c4261b0 ... 6afe299a40
также пробовал разрешать, не помогло.
http://www.fotolink.su/v.php?id=19cf366 ... 9a1760d3ee
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Хм... Вы в курсе, что пинг - это два пакета: эхо-запрос от А к Б и эхо-ответ от Б к А? Вот у вас в одну сторону пакет идёт, а обратно - блокируется.

Чтобы уже установленные соединения разрешать - можно в начало поставить правило

Код: Выделить всё

/ip firew filter add chain=forward connection-state=established,related action=accept
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Chupaka писал(а): 15 мар 2018, 14:48 Хм... Вы в курсе, что пинг - это два пакета: эхо-запрос от А к Б и эхо-ответ от Б к А? Вот у вас в одну сторону пакет идёт, а обратно - блокируется.

Чтобы уже установленные соединения разрешать - можно в начало поставить правило

Код: Выделить всё

/ip firew filter add chain=forward connection-state=established,related action=accept
Вот так помогло, это правильно?
http://www.fotolink.su/v.php?id=6eef0ce ... 60444ec9be
я установил accept в обеих правилах!?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Accept в обоих правилах - это как если бы их и не было. Раз они появились - значит, раньше задача была другая :) Насколько правильно то, что у вас сейчас разные локальные подсети могут общаться друг с другом - это уж вам виднее...
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Столкнулся с такой проблемой как я понимаю загрузка сети. При загрузке сети она виснет/подвисает.
Сеть сейчас подключена по схеме "В" в ней имеется 2 устройства ETH6, ETH8 которые хотелось бы подключить на гигабитные порты, но эти устройства работают и должны быть в другой сети Bridge1-WAN-V
Я хотел подключить все устройства на гигабитные порты но тогда я не смогу разделить сети так как матер порт должен быть в одной группе портов, мне устройство не дает сделать вот так, схема "А":
--Bridge1-WAN-V
ETH2-master
ETH4
ETH6
ETH7
ETH9-WAN1-V

--Bridge2-WAN-E
ETH1-master
ETH3
ETH5
ETH8
ETH10-WAN2-E

Что можно сделать в такой ситуации?

http://www.fotolink.su/v.php?id=a2d9918 ... 16f4031df2
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

0) Обновиться до актуальной версии. В ней уже нет никаких Мастер-портов.
1) Дальше уже через Bridge -> Ports раскидать нужные порты в нужные бриджи. Там, где возможна аппаратная коммутация (между портами одного свитч-чипа), будет использоваться она, а если нет (в другой свитч-чип) - трафик пойдёт через CPU.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Обновился.
Сбросил конфигурацию для того чтобы перенести wan порты и перестроить сеть.
Сохранил конфигурацию микротика в текстовом варианте командой
export file=config_backup_20170403.rsc
отредактировал и пошагово восстановил конфигурацию. Вроде как все хорошо.
Возможно ли у Вас будут рекомендации по оптимизации/ускорению сети?
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Если всё работает, как надо - ничего оптимизировать не надо. Или у вас какие-то проблемы со скоростью? Что ускорять хотите? :)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Chupaka писал(а): 20 мар 2018, 17:29 Если всё работает, как надо - ничего оптимизировать не надо. Или у вас какие-то проблемы со скоростью? Что ускорять хотите? :)
Понял, тестирую. Пока все хорошо. Спасибо
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Заметил интересное наблюдение. Когда интернет отключает провайдер в связи с неоплатой на втором провайдере интернет пропадает и на первом провайдере. Если перезагрузить устройство, то интернет возобновляется на первом провайдере.
Что может быть и как это побороть чтобы он не пропадал на втором провайдере? (Что нужно предоставить, скрины, данные чтобы выявить проблему?)
Если кабель (WAN) вынуть, то интернет на втором провайдере не пропадает.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Предоставить желательно больше подробностей. Опишите, что значит "пропадает интернет". А то, может, по IP всё работает (ping 1.1 или ping 8.8.8.8), а проблема только с DNS, поэтому сайты не открываются.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Скорей всего что с DNS так как Chrome так и писал, что нужно проверить DNS. Больше подробностей после повторного проявления. Лимит интернета уже исчерпан пару дней
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Такой вопрос. Сегодня ко мне обратился провайдер (WAN-E) с просьбой отключить (на стандартных роутерах опция dns relay) так как от меня идет много запросов по dns.
Что можно с этим сделать?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Подозреваю, заблокировать доступ к роутеру (chain=input) из WAN хотя бы по порту 53 (dns), а лучше по всем :) Нужные выше по списку правил можно открыть для доверенных подсетей.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Вот так?

Код: Выделить всё

/ip firewall filter
add chain=input action=drop protocol=udp in-interface=Ether10-WAN-E dst-port=53

Или вот так
https://supportila.ru/stati/zakryvaem-p ... rotik.html

Какие именно порты Вы еще порекомендуеде закрыть?
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Да, так (в статье по ссылке ведь то же самое?)

Я уже выше рекомендовал: закрыть всё. Если что-то надо - открыть отдельным правилом.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Я не могу найти а как заблокировать все порты (или это нужно делать по отдельности каждый, где можно посмотреть список этох портов)?
Подсакжите это правило в случае необходимости для открытия порта.
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Открытие:

Код: Выделить всё

/ip firewall filter
add chain=input action=accept protocol=tcp in-interface=Ether10-WAN-E dst-port=8291
Закрыть всё:

Код: Выделить всё

/ip firewall filter
add chain=input action=drop in-interface=Ether10-WAN-E
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Спасибо.
А какой мне нужно открыть порт для работы PPTP что у меня есть, та как после ввода команды именно он перестал работать.
Скрины
https://imgur.com/a/0XDgADf
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Для PPTP нужны "protocol=tcp dst-port=1723" и "protocol=gre"
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Во так? (не работает)
https://imgur.com/a/dNiFf8Y
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Конечно не работает. У вас же выше запрещающие правила — они первыми ловят пакеты, поэтому до разрешающих дело не доходит. Перетащите запрещающие вниз.
Ответить