Имею следующую конфигурацию. 1-й Микотик hAP ac lite (домашний раздает интернет) за ним стоит 2-ой Микотик CRS125-24G-1S в режиме роутера (необходимо настроить) сеть hAP ac lite 192.168.7.0/24 сеть CRS125-24G-1S 192.168.10.1/24 такая проблема захожу в терминал 1-го Микотик набираю ping ya.ru идут нормальные пинги захожу в терминал 2-го Микотик набираю ping ya.ru и получаю invalid value for argument address: invalid value of mac-address, mac address required invalid value for argument ipv6-address while resolving ip-address: could not get answer from dns server в настройках DNS 2-го микротик стоят 192.168.7.1 шлюз 1-го Микотик и два IP выданных провайдером ну и соответственно DNS кеш пустой подозреваю что или правила файервола или что-то с нат. При простом подключении компа ко второму микротик интернет нормально ходит. варианты снять домашний и поставить клиентский не всегда удобно.
Проблема решилась удалил все правила файервола создал их заново все заработало. в чем был прикол так и осталось тайной.
Добрый день! Прошу помощи. Проблема та же. Интернет работает, из терминала с микротика ping по ip-адресу проходит, по имени узла выходит ошибка, как в топике: invalid value for argument address: invalid value of mac-address, mac address required invalid value for argument ipv6-address while resolving ip-address: could not get answer from dns server Отключаю 4 снизу правило в фаерволе - разрешение имен начинает работать, но отключать-то его не хочется, нафига мне входящий мусор и DNS-запросы? Подскажите что исправить. /ip firewall filter add action=accept chain=input protocol=icmp add action=accept chain=forward protocol=icmp add action=accept chain=input connection-state=established connection-type="" add action=accept chain=forward connection-state=established add action=accept chain=input connection-state=related add action=accept chain=forward connection-state=related add action=accept chain=forward connection-state="" dst-port=8129 in-interface-list=LAN protocol=tcp add action=accept chain=forward comment="LAN" connection-type="" in-interface-list=LAN src-address=10.0.0.0/24 add action=accept chain=forward comment="!WAN FreeWiFi" connection-type="" in-interface-list=!WAN src-address=172.16.88.0/24 add action=accept chain=forward comment="LAN VPN." connection-type="" in-interface-list=LAN src-address=172.16.20.0/24 add action=accept chain=input comment="VPN" dst-port=1723 protocol=tcp add action=accept chain=input comment="SSTP test." dst-port=443 protocol=tcp add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid add action=drop chain=input in-interface-list=WAN add action=accept chain=forward comment="internet for FreeWiFi to all WAN" in-interface=ether10 out-interface-list=WAN add action=accept chain=forward comment="internet for LAN to all WAN" in-interface-list=LAN out-interface-list=WAN add action=drop chain=forward
Сделайте фаервол на основе стандартного: add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1 add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1 У вас он слишком усложнен... Потом тестируйте все должно заработать.
/ip dns set allow-remote-requests=yes есть? не хочется дропать всё и открывать то что нужно? Тогда дропаем днс на wan порту /ip firewall filter add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=ether1 protocol=udp add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp А так, да, забиваем сперва стандартный фаервол, а потом добавляем всё что надо
/ip dns set allow-remote-requests=no - закрыто. Получается, что правило add action=drop chain=input in-interface-list=WAN дропает запросы микротика к dns-серверам, нужно наверное выше разрешить запрос от него на DNS? Что-то типа add action=allow chain=output comment="From Mikrotik HQ DNS" dst-port=53 out-interface-list=all protocol=udp
add action=accept chain=input connection-state=established connection-type="" вот тут возможно ошибка, поле connection-type="" пустое, по идеи оно не отрабатывает у вас
