 Ni©olas

MikroTik RB/MRTG (miniROUTERG). Часть 2

Рекомендованные сообщения

Тоже стала происходить странная вещь. С компьютера доступ к некоторым сайтам не открывается (через роутер по проводу), а через планшет (через этот же роутер через Wifi) - работает. Сайты обычные, не блокированные.

Проверил на вирусы, на файерволы, на прокси. Разные броузеры - не открывает. Иногда ненадолго помогает перезагрузка роутера, через несколько минут опять не открывает.

Без роутера напрямую по проводу - открывает сайты.

Даже не знаю, где и что дальше копать, чтобы исправить.

 

P.S. В общем, снёс конфигурацию, по дефолту заработало.

Изменено пользователем Cheerful

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, с 6.29 можно разгрузить немного проц роутера за счет Fasttrack.

 

Для этого в IP - Settings ставим галочку Allow Fast Path.

В терминале фигачим

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

И выносим в начало правил.

Автоматом создастся динамическое правило. Так и должно быть.

Так же автоматом создадутся манглы.

 

На IPoE это в 6-7 раз разгрузит проц на тяжелых закачках и торрентах.

На L2TP процентов на 20. В среднем.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Kuja Leonhart, для Fasttrack'а две строчки для chain=forward:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
/ip firewall filter add chain=forward action=accept connection-state=established,related

Изменено пользователем  Ni©olas

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ Ni©olas,

Вторая строчка относится не к fasttrack, а стандартное правило разрешающее established и related подключения (есть в дефолт конфигурации). Оно у всех по-умолчанию должно быть (одним или двумя правилами) в фаерволле. Незачем его двоить.

Изменено пользователем Kuja Leonhart

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Kuja Leonhart, у меня на hAP с дефолтным конфигом этого правилы не было. мне пришлось две строки дописывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@ Ni©olas,

Может они дефолт конфинг поменяли. Раньше было.

 

Вообще, если фаерволл настраивать, то это правило всегда и так есть. Т.к. оно разрешает, а следом за ним запрещающие.

 

92f864fe47a33a39289003baf040994c.png

Изменено пользователем Kuja Leonhart

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Удалите из FAQ неактуальный конфиг под L2TP для RouterOS < 6.30.

Ибо нафиг огород из бесполезных настроек не нужен.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

 

Настроил L2TP по мануалу в три строчки. Интернет вроде как работает. Но почему то на часть сайтов не резолвятся DNS.

 

 

GXbk6xvXI-o.jpg

 

Полез смотреть. Прилетают DNS сервера:

213.221.63.59,

213.221.63.60

 

Но, на сколько я знаю, когда L2TP поднято, должны быть

195.190.106.59

195.190.106.60

 

Куда копать?

Роутер hAp lite

Изменено пользователем  Ni©olas
добавил спойлер

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Kuja Leonhart, о каком неактуальном конфиге говорите?

 

@Totoshka1001, может, что-то в билайне изменилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Kuja Leonhart, ссылку на статейку оставил, но добавил комментарий, что конфиг устарел. может кому-то пригодится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

Добрый день!

 

Настроил L2TP по мануалу в три строчки. Интернет вроде как работает. Но почему то на часть сайтов не резолвятся DNS.

GXbk6xvXI-o.jpg

Полез смотреть. Прилетают DNS сервера:

213.221.63.59,

213.221.63.60

 

Но, на сколько я знаю, когда L2TP поднято, должны быть

195.190.106.59

195.190.106.60

 

Куда копать?

Роутер hAp lite

 

 

Необходимо сделать изменения в Firewall > Mangle.

Удалить динамические правила change MSS all ppp.

Добавить правило:

/ip firewall mangle add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn tcp-mss=1453-65535

 

Изменить профиль, что бы динамические правила больше не создавались:

Изменено пользователем  Ni©olas
добавил спойлер

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А никто не сталкивался с невозможностью на приставке смотреть один канал и параллельно писать на диск другой? Т.е. сижу смотрю тв, картинка нормальная, претензий никаких. В какой-то момент начинается запись запланированной передачи (или сам зашел в ТВ Программу и нажал там "Запись"), через 5-10 сек картинка начинает бешено квадратить вплоть до полной остановки трансляции. Останавливаю запись - картинка нормализуется. Микротик hAP lite, RouterOS 6.32.4. В момент рассыпания картинки, загрузка CPU микротика не превышает 15%, загрузка сети зависит от типа каналов (HD/SD), но не превышает 20Мбит/с. Может что-то в конфиге не дописал?

 

 

# may/12/2016 20:05:50 by RouterOS 6.32.4

#

/interface ethernet

set [ find default-name=ether4 ] name=LAN4

set [ find default-name=ether1 ] advertise=100M-full,1000M-full name=WAN

/ip neighbor discovery

set WAN discover=no

/interface ethernet

set [ find default-name=ether2 ] master-port=LAN4 name=LAN2

set [ find default-name=ether3 ] master-port=LAN4 name=LAN3

/interface wireless security-profiles

add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name="Home Wi-Fi Profile" supplicant-identity="" wpa2-pre-shared-key=\

"Pass"

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n bridge-mode=disabled disabled=no frequency=2437 mode=ap-bridge name=WLAN security-profile="Home Wi-Fi Profile" ssid=MkT \

tx-power=12 tx-power-mode=all-rates-fixed wps-mode=disabled

/interface wireless nstreme

set WLAN enable-polling=no

/ip pool

add name=LAN-Pool ranges=192.168.233.1-192.168.233.29

add name=WLAN-Pool ranges=192.168.233.33-192.168.233.61

/ip dhcp-server

add address-pool=LAN-Pool disabled=no interface=LAN4 lease-time=4h name=DHCP-Srv-LAN

add address-pool=WLAN-Pool disabled=no interface=WLAN lease-time=30m name=DHCP-Srv-WLAN

/ip address

add address=192.168.233.30/27 interface=LAN4 network=192.168.233.0

add address=192.168.233.62/27 interface=WLAN network=192.168.233.32

/ip dhcp-client

add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=WAN

/ip dhcp-server network

add address=192.168.233.0/27 gateway=192.168.233.30

add address=192.168.233.32/27 gateway=192.168.233.62

/ip dns

set allow-remote-requests=yes

/ip firewall filter

add action=fasttrack-connection chain=forward connection-state=established,related

add chain=forward connection-state=established,related

add chain=input comment="Allow IGMP" protocol=igmp

add chain=input comment="Allow UDP" protocol=udp

add chain=forward comment="Allow UDP" protocol=udp

/ip firewall nat

add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.233.0/27

add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.233.32/27

/ip service

set telnet disabled=yes

set ftp disabled=yes

set www disabled=yes

set ssh address=192.168.233.0/27,192.168.233.32/27

set api disabled=yes

set winbox address=192.168.233.0/27,192.168.233.32/27

set api-ssl disabled=yes

/routing igmp-proxy

set query-interval=30s query-response-interval=20s

/routing igmp-proxy interface

add alternative-subnets=0.0.0.0/0 comment=Upstream interface=WAN upstream=yes

add comment=Downstream interface=LAN4

/system clock

set time-zone-name=Europe/Moscow

/system package update

set channel=bugfix

/system routerboard settings

set cpu-frequency=650MHz protected-routerboot=disabled

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый вечер. А никто не сталкивался с такой проблемой, что роутер microtick не получает ip из сети Билайна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день Всем! Подскажите, настройку микротика с прошивкой 6.32 теперь делать короткую? Там где всего три строчки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Andrew-matveyev, это зависит от того, какой протокол доступа в интернет планируете использовать. если L2TP, то да, где три строчки.

 

@pilot125, сталкивался один раз. были проблемы у провайдера в подвале с их коммутатором.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Господа, RB951Ui постоянно теряет ip адрес от билайна. Помогает только остановка и запуск интерфейса, на который приходит кабель с интернетом. Вчера это происходило каждые 10 минут. MikroTik RouterOS 6.35.2. Настроено через IPOE. Подскажите куда копать? Запись в логе с ошибкой - "dhcp-critical error - dhcp-client on ether1 lost IP address - lease expired"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Accent658, 10 минут - это время аренды на протоколе ipoe. так настроено у билайна. возможно проблемы где-то в промежутке от вашего роутера до коммутатора провайдера: проблема с патч-кордом, проблема с портом в коммутаторе провайдера. Попробуйте без роутера подключить комп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Роутер микротик с недавнешнего времени стал получать по dhcp адрес с нулем на конце типа 100.12.34.0/19

И в связи с этим отказывается работать причем другие роутеры работают нормально,есть соображения как решить эту проблему?

Изменено пользователем asmman

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на login.beeline.ru попробуйте авторизовать ваш роутер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@asmman, если ранее у вас был доступ по l2tp, то сейчас необходимо будет изменить настройки роутера, так как теперь доступ в интернет предоставляется по технологии ipoe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообщем проблема следующего характера. Доступ в интернет по L2TP. Роутер Mikrotik. Столкнулся с проблемой - торренты качал на ура, скорость по спидтесту великолепная. В игре Ворлд оф танкс пинг до серверов за 200+... Ну думаю переустановлю и все будет ОК. Обнулил роутер. Взял из темы http://homenet.beeline.ru/index.php?showtopic=322861 настройки

 

/interface l2tp-client

add add-default-route=yes allow=chap,mschap2 connect-to=tp.internet.beeline.ru disabled=no max-mru=1500 max-mtu=1460 name=Beeline password=XXXX user=XXXX

/ip dhcp-client

add default-route-distance=1 dhcp-options=hostname,clientid disabled=no interface=ether1-gateway

/ip firewall nat

add action=masquerade chain=srcnat out-interface=Beeline

 

Прошивка последняя по состоянию на вчера. Больше никаких кроме настроек выше не производилось. Все чудесно интернет взлетел НО пинг подскачил на сервера танков до 500+ сайт их игры на ряду с кучей других перестали открываться. В частности HH.ru так же перестал открываться, гугл и ряд других. Сбавил max-mru=1460 сайты начали открываться и пинг до серверов танков поднялся до 200... Но это все равно не решение проблемы ибо тот же hh.ru и ряд других сайтов (гугл некоторые сервисы яндекса) все еще не открываются. Пинг до сайтов которые не открываются отрабатывает на <1 мсек. Что делать? Как поднять пинг в танчиках и сделать доступными сайты??

Изменено пользователем xsb3

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@xsb3, как работает без роутера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@xsb3, как работает без роутера?

Когда на прямую - шикарно. Но смысл именно привести интернет в Микротик и раздавать Вайфайку. Просто если нет вариантов подскажите альтернотивное оборудование простенькое в использовании способное поддерживать различные стандарты используещие билайн...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...пинг до серверов танков поднялся до 200... Но это все равно не решение проблемы ибо тот же hh.ru и ряд других сайтов (гугл некоторые сервисы яндекса) все еще не открываются. ...

это при подключениие к роутеру по проводу или по воздуху?

 

покажите трасировку до танков, ну и конфиг своего роутера (логин и пароль на интернет в нем уберите)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

# jun/01/2016 03:57:22 by RouterOS 6.35.2
# software id = VAR3-HTEI
#
/interface bridge
add admin-mac=D4:CA:6D:9A:19:0F auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
   disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
   HomeSweetHome wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface l2tp-client
add add-default-route=yes allow=chap,mschap2 connect-to=\
   tp.internet.beeline.ru disabled=no max-mru=1460 max-mtu=1460 name=Beeline \
   password=XXXXX  user=XXXXXXX
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
   dynamic-keys wpa-pre-shared-key=XXXXX wpa2-pre-shared-key=\
   XXXXXX
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-master network=\
   192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=forward connection-state=established,related
add chain=forward connection-state=established,related
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept established,related" \
   connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
   in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
   connection-state=established,related
add chain=forward comment="defconf: accept established,related" \
   connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
   connection-state=invalid
add action=drop chain=forward comment=\
   "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
   connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
   out-interface=ether1
add action=masquerade chain=srcnat out-interface=Beeline
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Krasnoyarsk
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

 

 

C:\Users\oracle>tracert login.p4.worldoftanks.net

Трассировка маршрута к login.p4.worldoftanks.net [92.223.38.61]
с максимальным числом прыжков 30:

 1    <1 мс     6 ms    <1 мс  router [192.168.88.1]
 2     3 ms     5 ms     3 ms  176.14.0.1
 3   227 ms   351 ms   240 ms  10.2.254.122
 4     6 ms     8 ms     8 ms  m9-crs-tengige0-7-0-13.corbina.net [195.14.62.112]
 5     5 ms    10 ms     5 ms  m9-br-be1.corbina.net [195.14.54.79]
 6    16 ms     4 ms     3 ms  corbina-gw11.moscow.rt.ru.145.102.83.in-addr.arpa [83.102.145.126]
 7    32 ms    31 ms    31 ms  95.167.92.190
 8    33 ms    33 ms    32 ms  188.254.106.74
 9    33 ms    32 ms    31 ms  dh-n5548-fe-2-vl231.fe.core.pw [92.223.108.164]
10    31 ms    31 ms    32 ms  dh-sl-e61.worldoftanks.ru [92.223.38.61]

post-946941-059702700 1464728401_thumb.jpg

post-946941-034593000 1464728418_thumb.jpg

Изменено пользователем  Ni©olas
добавил спойлеры

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@xsb3, рекомендованные значения настроек сетевых протоколов для L2TP:

  • MTU=1460
  • MRU=1500
  • MSS=1460

 

чуть выше был дан совет по уменьшению MSS

...

Необходимо сделать изменения в Firewall > Mangle.

Удалить динамические правила change MSS all ppp.

Добавить правило:

/ip firewall mangle add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn tcp-mss=1453-65535

 

Изменить профиль, что бы динамические правила больше не создавались:

 

может быть поможет...

Изменено пользователем  Ni©olas

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

может быть поможет...

 

Один вопрос как изменить профиль, что бы динамические правила больше не создавались???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас