Билайн и микротик. Не подключается.

Смысл маскарада на красный интерфейс? L2TP не работает...
Во первых вам никто не гарантирует что ваш адрес будет всегда 10.99.137.30 - этот ай пи выдал Билайн после включения DHCP Client. Даже если они его изменят, а это скорее всего, это будет видно в адресах, поменять несложно, но суть всё-равно не в этом.
Суть в L2TP, почему он не работает?
В третьих, если вам надо раздавать интернет от Билайна только на 192.168.2.3 то используйте файрволл - вы ранее научили меня так ))) И это прекрасно работает с другими провайдерами! И Билайн бы заработал, если бы опять же не проблема с L2TP (((

 

Микротик? Да, после включения DHCP Client сразу прописались DNSы в DNS. Компьютеры тоже их получают и даже nslookup tp.internet.beeline.ru на компах проходит, а из Микротика - нет!

 

Код:

/export hide-sensitive
# sep/30/2019 19:13:24 by RouterOS 6.44.5
# software id = FNLB-KYT4
#
# model = 951G-2HnD
# serial number = 965008FB0D46
/interface bridge
add admin-mac=CC:2D:E0:F8:52:1B auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
  distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-F8521F \
  wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether3 ] mtu=1460
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=HomeDHCP ranges=192.168.2.10-192.168.2.100
add name=dhcp_pool2 ranges=10.99.136.1-10.99.137.29,10.99.137.31-10.99.143.254
add name=dhcp_pool3 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool3 disabled=no interface=ether5 name=dhcp1
/ppp profile
add change-tcp-mss=yes name=Beeline-L2TP remote-address=192.167.35.35 \
  use-compression=no use-encryption=no
/interface l2tp-client
add add-default-route=yes allow-fast-path=yes connect-to=tp.internet.beeline.ru \
  disabled=no name=Beeline profile=Beeline-L2TP user=0854812161
/interface bridge port
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set authentication=chap,mschap2 default-profile=default max-mru=1500 max-mtu=\
  1460
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=ether5 list=LAN
add interface=ether2 list=WAN
add interface=ether4 list=WAN
add interface=ether3 list=WAN
add interface=Beeline list=WAN
/ip address
add address=192.168.1.30/24 interface=ether2 network=192.168.1.0
add address=192.168.2.1/24 interface=ether5 network=192.168.2.0
/ip dhcp-client
add dhcp-options=clientid,hostname,parameter_request_list disabled=no \
  interface=ether3
/ip dhcp-server lease
add address=192.168.2.100 client-id=1:0:d8:61:2f:d0:1 mac-address=\
  00:D8:61:2F:D0:01
/ip dhcp-server network
add address=10.99.136.0/21 gateway=10.99.137.30
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=176.62.88.7 list=Farm
add address=192.168.2.100 list=Klupka
/ip firewall filter
add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=Farm
add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=\
  Klupka
add action=accept chain=input dst-port=1701 protocol=udp
add action=accept chain=input comment=\
  "defconf: accept established,related,untracked" connection-state=\
  established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
  invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
  in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
  ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
  ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
  connection-state=established,related
add action=accept chain=forward comment=\
  "defconf: accept established,related, untracked" connection-state=\
  established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
  invalid
add action=drop chain=forward comment=\
  "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
  connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=Beeline passthrough=\
  yes src-address=192.168.2.3
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=8990 in-interface=ether2 protocol=tcp \
  to-addresses=192.168.2.9 to-ports=3389
add action=dst-nat chain=dstnat dst-port=8996 in-interface=ether2 protocol=tcp \
  to-addresses=192.168.2.6 to-ports=3389
add action=dst-nat chain=dstnat dst-port=65 in-interface=ether3 protocol=tcp \
  to-addresses=192.168.2.3 to-ports=3389
add action=dst-nat chain=dstnat dst-port=8995 in-interface=ether2 protocol=tcp \
  to-addresses=192.168.2.5 to-ports=3389
add action=dst-nat chain=dstnat dst-port=8994 in-interface=ether2 protocol=tcp \
  to-addresses=192.168.2.4 to-ports=3389
add action=dst-nat chain=dstnat dst-port=8991 in-interface=ether2 protocol=tcp \
  to-addresses=192.168.2.100 to-ports=3389
add action=src-nat chain=srcnat comment="\D0\EE\F1\F2\E5\EB\E5\EA\EE\EC \E2\EE \
  \E2\F1\FE \EB\EE\EA\E0\EB\FC\ED\F3\FE \F1\E5\F2\FC" out-interface=ether2 \
  src-address=192.168.2.0/24 to-addresses=192.168.1.30
add action=src-nat chain=srcnat comment="\D0\EE\F1\F2\E5\EB\E5\EA\EE\EC \E2\EE \
  \E2\F1\FE \EB\EE\EA\E0\EB\FC\ED\F3\FE \F1\E5\F2\FC" out-interface=ether3 \
  src-address=192.168.2.0/24 to-addresses=10.99.137.30
add action=src-nat chain=srcnat out-interface=ether3 src-address=192.168.2.3 \
  to-addresses=10.99.137.30
add action=dst-nat chain=dstnat dst-port=7 in-interface=ether2 protocol=tcp \
  to-addresses=192.168.2.7 to-ports=8006
add action=dst-nat chain=dstnat dst-port=8 in-interface=ether2 protocol=tcp \
  to-addresses=192.168.2.8 to-ports=80
/ip route
add check-gateway=ping disabled=yes distance=1 gateway=192.168.1.1 \
  routing-mark=Rostelekom
add check-gateway=ping disabled=yes distance=1 gateway=192.168.0.4 \
  routing-mark=Beeline
add check-gateway=ping disabled=yes distance=5 gateway=10.99.136.1 \
  routing-mark=Beeline
add check-gateway=ping distance=5 dst-address=10.99.136.0/21 gateway=ether3 \
  pref-src=10.99.137.30 routing-mark=Beeline scope=10
add check-gateway=ping distance=1 gateway=192.168.1.1
add distance=5 dst-address=85.21.59.0/24 gateway=10.99.136.1
add distance=1 dst-address=85.21.192.3/32 gateway=10.99.136.1
add distance=5 dst-address=213.234.192.8/32 gateway=10.99.136.1
/ip route rule
add action=lookup-only-in-table disabled=yes routing-mark=Rostelekom table=\
  Rostelekom
add action=lookup-only-in-table disabled=yes routing-mark=Beeline table=Beeline
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Omsk
/system ntp client
set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.235 \
  server-dns-names=ntp2.stratum2.ru,ntp3.stratum2.ru
/system package update
set channel=long-term
/system script
add dont-require-permissions=no name=config owner=Nick policy=\
  ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
  "export file=config"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN 

 

Я знал, что вы волшебник Да, всё заработало сходу )) Спасибо большое!
Думаю, накрутил от каждой просмотренной инструкции вот и получился винегрет )))
И вы снова правы - теперь уже можно докручивать конфиг!

 

Допиливаю конфиг и выясняю, что интернет существенно замедляется (очевидно медленнее открываются страницы браузера) у провайдера, которого я замаркировал. Грешил на провайдера - нет. Поменял местами - та же картина наоборот. Подскажите, почему замаркированный трафик медленнее?
/export hide-sensitive
# jan/02/1970 01:27:40 by RouterOS 6.44.5
# software id = FNLB-KYT4
#
# model = 951G-2HnD
# serial number = 965008FB0D46
/interface bridge
add admin-mac=CC:2D:E0:F8:52:1B auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=MikroTik-F8521F wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether5 name=dhcp1
/interface l2tp-client
add add-default-route=yes allow-fast-path=yes connect-to=tp.internet.beeline.ru \
disabled=no name=Beeline-L2TP profile=default user=0854812161
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=Beeline-L2TP list=WAN
add interface=ether5 list=LAN
add interface=ether2 list=WAN
/ip address
add address=192.168.2.1/24 interface=ether5 network=192.168.2.0
add address=192.168.1.30/24 interface=ether2 network=192.168.1.0
/ip dhcp-client
add default-route-distance=10 dhcp-options=hostname,clientid disabled=no \
interface=ether1
/ip dhcp-server lease
add address=192.168.2.254 client-id=1:0:d8:61:2f:d0:1 mac-address=\
008:61:2F0:01 server=dhcp1
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.1
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=Rostelekom \
passthrough=yes src-address=192.168.2.254
/ip firewall nat
add action=src-nat chain=srcnat dst-address=!192.168.2.0/24 out-interface=\
ether2 routing-mark=Rostelekom src-address=192.168.2.254 to-addresses=\
192.168.1.30
add action=src-nat chain=srcnat out-interface=Beeline-L2TP src-address=\
192.168.2.0/24 to-addresses=93.81.236.27
/ip route
add check-gateway=ping distance=1 gateway=192.168.1.1 routing-mark=Rostelekom
/ip route rule
add action=lookup-only-in-table routing-mark=Rostelekom table=Rostelekom
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 

Вопрос решен. Как-то была у меня подобная проблема, с которой я достал провайдера так, что их спецы приехали разбираться на месте. В итоге, отключив это правило файрволла, проблема была решена:
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related

 

Докручиваю дальше конфиг... С Вашей помощью успешно добавил Ростелеком через pppoe и добавляю ТТК. Звоню в их техподдержку, чтобы они сбросили привязку по МАКу и после перезагрузки наблюдаю как продолжает работать Ростелеком, поднимается ТТК и... не возвращается Билайн (( В Address не появляется вторая строчка со статическим адресом!

Но в DHCP Client он автоматом стоял 1. Снес, поставил 10 - все равно не появляется

 

Проблема решена настройкой с нуля, все три провайдера раздают интернет. Второй раз и всё из-за падающего Билайна приходится с дефолта поднимать и докручивать конфиг. Чем он так капризен?

 

Да когда же это кончится? Не выдержал Билайн ребута, снова не вернулся

 

Тоже сталкивался с L2TP Билайна. Их DHCP сервер не дружит с Mikrotik(или наоборот) и не корректно получает маршруты, DNS и тд.
Надо добавить DHCP Clent options: Name: Parameter_request_list Code:55 Value:0x01F90321062A
И применить этот совместно с hostname и clientid на DHCP Client. Default Route Distance - 10 там же ставится.
Потом надо прописать статические маршруты к DNS серверу Билайна, сами адреса до DNS DHCP Client получит а маршрутов к ним не будет.
Потом посмотреть ip этого tp.internet.beeline.ru и проверить есть ли маршрут к этой подсети, если нет то добавить.
В результате надо добиться того чтобы из терминала пинговался tp.internet.beeline.ru

Несколько раз приходилось настраивать, всегда плевался)

 

Делал всё это, какое-то время работает, при чём только если настраиваешь с нуля, потом после очередного ребута всё слетает. Подозреваю, что Билайн не хочет работать в микротике, когда на нём есть ещё pppoe-провайдеры или просто не хочет работать с микротиком. Я помучался, плюнул и разорвал с ними договор. На RB951 осталось три провайдера, которые работают безо всяких проблем.

 

Настройки Билайн слетали после перезагрузки ещё до поднятия туннеля. Ну представьте. Всё поднял, всё работает, тот же Билайн, сутки-двое, перезагрузка - всё работает, кроме Билайна. При чём после этого ничего с Билайном нельзя исправить, только с нуля конфигурацию всего тика приходилось поднимать. Итак три раза!!! Я плюнул и послал их! Я бы может и дальше с вашей помощью домучил бы его, но надо работать, время идёт... пришлось так кардинально уйти от проблемы

 

Наверное. Мало того, что у меня там был MultiWAN, так ещё тик был клиентом L2TP сервера конторы + Билайн. Возможно в этом причина

 

С конца декабря прошлого года начались проблемы с L2TP Билайна. Настроенный микротик переставал раздавать интернет сначала раз в месяц, потом все чаще и чаще. Сейчас хватает на вечер или до перезагрузки. Восстанавливается после загрузки бекапа. Грешил на железо, так как при подключении кабеля к компьютеру интернет есть. Поменял железо, поменял настройки. Результат прежний L2TP соединение активно, а трафика нет. Настройки работают до перезагрузки роутера, помогает восстановление из бекапа. Резервный канал (LTE) исправно раздает интернет. Оба роутера настраивались с нуля, первый проработал год , потом начались проблемы. Город Екатеринбург, есть у кого-то аналогичная проблема или сразу поменять на другого провайдера?