Помогите разобраться где проблема

Базовая функциональность RouterOS
Ответить
wan
Сообщения: 25
Зарегистрирован: 20 авг 2017, 13:43

Помогите разобраться где проблема

Сообщение wan » 05 сен 2018, 07:32

Имеем МТ 2011UiAS-2HnD
Имеется сайт управляющей компании для передачи показаний счетчиков учета водоснабжения: http://www.rkc-gku.ru
В чем причина обращения к умным согражданам данного сообщества: на странице сайта есть кнопка "ПРИЕМ ПОКАЗАНИЙ ИПУ", по её нажатию должна открыться страница выбора города, улицы и т.д., НО, после обновления на последнюю версию ROS 6.42.7 далее скрипт на сайте не работает, т.е. сайт долго думает и выдает "error 404".
Данный феномен ранее проявлялся у меня, не помню уже на какой версии,.... решилось сбросом МТ через кнопку reset и далее ручками все настраивал по новой. Очередное обновление МТ снова поломало мою голову.
Так как я не очень во всем этом понимаю, хотя отключал все правила, отключал вообще все что только можно только инет что бы работал - "не выходит каменный цветок". Помогите разобраться, что же происходит такого при обновлении МТ, что начинаются такие вот неприятности. Не то что бы совсем проблема, но хочется понять и в будущем не "наступать на грабли".
Конфиги и правила предоставлю по требованию, просто не знаю что точно нужно. Даже доступ предоставлю к МТ для посмотреть.

С Уважением, Владимир.

Аватара пользователя
Chupaka
Сообщения: 1036
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Помогите разобраться где проблема

Сообщение Chupaka » 05 сен 2018, 10:53

Ошибка 404 на какой адрес выдаётся? Что в тот момент в адресной строке?

ping pay.rkc-gku.ru что говорит?

На роутере настроены Web Proxy, Hotspot? Если нет - роутер вообще внутрь http-трафика не должен лезть %)

wan
Сообщения: 25
Зарегистрирован: 20 авг 2017, 13:43

Re: Помогите разобраться где проблема

Сообщение wan » 05 сен 2018, 11:31

Роутер используется дома для раздачи инета на устройства и для обкатки всяких правил и скриптов (из этой темы в основном:https://forum.mikrotik.com/viewtopic.php?f=9&t=136666) перед запуском на работе в продакшн.
Ни proxy, ни hotspot не настроены. Обычный роутер для wifi, телевизора и стационарного компьютера.
ping pay.rkc-gku.ru что говорит?
Вот это я не смотрел раньше, не пингуется.
На производстве, другой провайдер, все пингуется и работает.
Все пересмотрел, настройки дома и на работе одинаковые, кроме внешних адресов... ничего не понимаю :(

P.S.: озадачил сразу провайдера

Вот правила Firewall filter и raw (в момент когда оно работало, это все присутствовало. отключать пробовал. На работе то оно все пашет):

Код: Выделить всё

/ip firewall filter
add action=log chain=input disabled=yes
add action=log chain=input disabled=yes
add action=jump chain=input comment="Check for bad stuff in \"Attack\" chain" \
    jump-target=Attacks
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="Drop DNS request FROM WAN" dst-port=53 \
    in-interface=ether1-WAN protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: IGMP ip-TV" dst-port=1234 \
    protocol=udp
add action=accept chain=input comment="WinBox from WAN" dst-address=\
    5.53.16.61 dst-port=8291 in-interface=ether1-WAN protocol=tcp \
    src-address=62.105.28.218
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=log chain=forward disabled=yes
add action=log chain=forward disabled=yes
add action=jump chain=forward comment=\
    "Check for bad stuff in \"Attack\" chain" jump-target=Attacks
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=accept chain=forward comment="defconf: IGMP ip-TV" dst-port=1234 \
    protocol=udp
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=log chain=Attacks disabled=yes
add action=log chain=Attacks disabled=yes
add action=drop chain=Attacks comment="Drop connections FROM BOGON network" \
    in-interface=ether1-WAN src-address-list=BOGON
add action=drop chain=Attacks comment=Port_scanner_drop src-address-list=\
    "port scanners"
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface=ether1-WAN protocol=\
    tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface=ether1-WAN protocol=\
    tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface=ether1-WAN protocol=\
    tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface=ether1-WAN protocol=\
    tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface=ether1-WAN protocol=\
    tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface=ether1-WAN protocol=\
    tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface=ether1-WAN protocol=\
    tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!ack
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,syn
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,rst
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,!ack
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,urg
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=syn,rst
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=rst,urg
add action=drop chain=Attacks comment="Invalid TCP source port (0)" protocol=\
    tcp src-port=0
add action=drop chain=Attacks comment="Invalid TCP destination port (0)" \
    dst-port=0 protocol=tcp
add action=drop chain=Attacks comment="Invalid UDP source port (0)" protocol=\
    udp src-port=0
add action=drop chain=Attacks comment="Invalid UDP destination port (0)" \
    dst-port=0 protocol=udp
add action=return chain=Attacks comment="Return to the chain that jumped"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN
add action=netmap chain=dstnat disabled=yes dst-address=5.53.16.61 dst-port=\
    9091 in-interface=ether1-WAN protocol=tcp to-addresses=192.168.0.55
/ip firewall raw
add action=drop chain=prerouting comment="Drop FROM intrusBL list" \
    src-address-list=intrusBL
add action=drop chain=prerouting comment="Drop TO intrusBL list" \
    dst-address-list=intrusBL

Аватара пользователя
Chupaka
Сообщения: 1036
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Помогите разобраться где проблема

Сообщение Chupaka » 05 сен 2018, 11:43

Не пингуется какой IP? Его нет в списке intrusBL? Или вообще не резолвит имя?

Туда же трассировку запустите - увидите, где пакеты теряются.

"error 404" - это точно http error 404, или вы так назвали страницу браузера с таймаутом?

wan
Сообщения: 25
Зарегистрирован: 20 авг 2017, 13:43

Re: Помогите разобраться где проблема

Сообщение wan » 05 сен 2018, 11:58

IP резолвиться.
"error 404" - это точно http error 404, или вы так назвали страницу браузера с таймаутом?
да, это я так страницу таймаута обозвал, прошу прощения, всё это от скуки и бессоницы в 4 утра писал.
Его нет в списке intrusBL?
5 раз все перепроверил, даже все списки и правила удалял.

Похоже проблема на стороне моего домашнего провайдера. Я ночью даже не попробовал пингануть адрес.
Извиняюсь, от бессоницы вторые сутки на ногах, соображалка видать не включается.

Думаю стоит подождать ответа от провайдера(Metro-set)

Вот что я им отослал, просто ссылки вставлю:
дом(метросеть) - https://image.ibb.co/dO0TNz/metro.png
трасса из дома - https://preview.ibb.co/cgxxFK/tracert.png
работа(РТК) - https://image.ibb.co/gLhKUe/rostelecom.png

Аватара пользователя
Chupaka
Сообщения: 1036
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Помогите разобраться где проблема

Сообщение Chupaka » 05 сен 2018, 12:09

Хм... У вас роутер получает адрес из той же подсети, в которой находится pay.rkc-...?

Да, возможно, провайдер прояснит ситуацию

wan
Сообщения: 25
Зарегистрирован: 20 авг 2017, 13:43

Re: Помогите разобраться где проблема

Сообщение wan » 05 сен 2018, 12:16

Chupaka писал(а):
05 сен 2018, 12:09
Хм... У вас роутер получает адрес из той же подсети, в которой находится pay.rkc-...?
именно. у нас весь город почти милионник на этого провайдера переехал, выдает гигабит "за копейки", и ipv4 и ipv6. :)

Ответить