Пинг на микротике есть, интернет в лан не попадает

Тема в разделе "Маршрутизация", создана пользователем Ivan48, 14 авг 2016.

  1. Ivan48

    Ivan48 Новый участник

    Всем привет, я очередной новичек нифига не понимающий в маршрутизации :D

    Как водиться склепал конфиг из того что было, то там то тут, печаль в том, что на многих сайтах только кусок инфы, остальное как водится нужно состряпать самому, вот что получилось у меня, подозреваю что траблы где-то в маршрутах, т.к. интернет на mikrotik есть, пингует, но на тот же лан интерфейс не попадает, как и с него тоже не уходит, в остальном все вроде как норм, впрочем, немного о сети, есть 2 провайдера, по сути второй чисто резервный и подключаться по идее будет только по Enable в winboxe, соответсвенно основной провайдер в Disable, не люблю автоматику, да и не нуждаюсь в ней, т.к. инет пропадает достаточно редко, в остальном, можно сказать второго провайдера тупо нет, так же есть два компа, slot2, slot4 (соответсвенно), slot1 - основной провайдер, slot3 - доп провайдер. Не знаю где накосячил, но пакеты на лан интерфейсы вообще не летят, подозреваю что беда с маршрутизацией, ну и возможно что-то не так в правилах файервола, что еще можно в файервол добавить, что бы было надежнее?

    привожу скрин с основными, как мне показалось, полями)
    [​IMG]

    так же привожу полный конфиг:
    Код:
    set [ find default-name=ether1 ] comment=slot1 mac-address=00:11:22:33:44:55 name=wan-rt
    set [ find default-name=ether3 ] comment=slot3 name=wan-ttk
    
    /ip neighbor discovery
    set wan-rt comment=slot1 discover=no
    set wan-ttk comment=slot3 discover=no
    set wlan1 discover=no
    
    /interface ethernet
    set [ find default-name=ether2 ] master-port=wan-rt
    set [ find default-name=ether4 ] master-port=wan-rt
    
    /ip neighbor discovery
    set ether2 discover=no
    set ether4 discover=no
    
    /ip pool
    add name=pool1 ranges=192.168.88.245-192.168.88.254
    
    /ip dhcp-server
    add address-pool=pool1 disabled=no interface=ether2 lease-time=8h name=dhcp-serv1
    add address-pool=pool1 disabled=no interface=ether4 lease-time=8h name=dhcp-serv2
    
    /interface pppoe-client
    add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=pppoe-rt default-route-distance=0 dial-on-demand=no disabled=no interface=wan-rt \
        keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-rt password=BxVNCcjd profile=default service-name="" use-peer-dns=yes user=249098-1
    add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=pppoe-ttk default-route-distance=0 dial-on-demand=no disabled=no interface=wan-rt \
        keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-ttk password=jHErOcSv profile=default service-name="" use-peer-dns=no user=v671007860@slk
    
    /ip neighbor discovery
    set pppoe-rt comment=pppoe-rt discover=no
    set pppoe-ttk comment=pppoe-ttk discover=no
    
    /ip dhcp-client
    add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=wan-rt
    add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=wan-ttk
    
    /ip dhcp-server network
    add address=192.168.88.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.88.240,192.168.88.241 netmask=24 ntp-server=192.168.88.1
    
    /ip dns
    set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
    
    /ip firewall filter
    add chain=input protocol=icmp
    add chain=forward protocol=icmp
    add chain=input  connection-state=established
    add chain=forward connection-state=established
    add chain=input connection-state=related
    add chain=forward connection-state=related
    add action=drop chain=input connection-state=invalid
    add action=drop chain=forward connection-state=invalid
    add chain=input in-interface=!wan-rt src-address=192.168.88.0/24
    add chain=input in-interface=!wan-ttk src-address=192.168.88.0/24
    add action=drop chain=input in-interface=wan-rt
    add action=drop chain=input in-interface=wan-ttk
    add chain=forward  in-interface=!wan-rt out-interface=wan-rt
    add chain=forward in-interface=!wan-ttk out-interface=wan-ttk
    add action=drop chain=forward
    
    /ip firewall nat
    add action=masquerade chain=srcnat
    
    /ip firewall service-port
    set ftp disabled=yes
    
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    
    /tool mac-server
    set [ find default=yes ] disabled=yes
    add interface=ether2
    add interface=ether4
    add interface=ether5
    
    /tool mac-server mac-winbox
    set [ find default=yes ] disabled=yes
    add interface=ether2
    add interface=ether4
    add interface=ether5
    
    если кто-то знает в чем проблема, прошу не в общих фразах, а что куда вписать, а то дуб он и в африке дуб :huh:
    так же подскажите, как можно использовать только google dns, что бы провайдера днс никак не использовались на роутере или такое не реально? у меня прописаны, но на сколько правильно все сделано - большой вопрос.
    Спасибо всем кто откликнется.
     
    Последнее редактирование: 14 авг 2016
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Я не вижу чтобы вы с dhcp отдавали клиенту шлюз по умолчанию.

    /ip firewall nat
    add action=masquerade chain=srcnat
    Эта конструкция достаточно опасна, если вы планируете публиковать внешние сервисы.
     
  3. Ivan48

    Ivan48 Новый участник

    Ну у меня просто интернет для себя, домашний.
     
  4. AlexShoroh

    AlexShoroh Участник

    Во первых вопрос, зачем Вам два dhcp сервера. Поскольку у Вас раздается одна сеть, то и один сервер. Если у Вас два порта в локалку 2 и 4, то на 4-м оставляете мастер-порт ether2 и вуаля. Либо в один бридж их.
    Во вторых, не нашел у Вас секции ip address. То есть нет адресов которые смотрят в локалку. По настройкам dhcp
    gateway=192.168.88.240,192.168.88.241, а где они на микротике прописаны?
     
  5. Roman Markov

    Roman Markov Участник

    А чем она опасна? Именно в таком виде, без указания интерфейса или вообще?
    chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=WAN

    Фаевролл то блочит все, что не разрешено
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Да.
    при этом если есть пробросы портов внутрь, у вас на внутренние сервера запросы будут приходить с LAN-адреса маршрутизатора. В итоге можно получить Open Relay на SMTP, взломанную телефонию и еще кучу таких же забавных штук. Open Relay наиболее частая.