Пропадают пинги до шлюза провайдера mikrotik
Есть Mikrotik RB3011UIAS-RM, прошивка 6.47.10 stable, 2 WAN от двух разных провайдеров, адрес микрота 192.168.1.1, бридж 192.168.1.1/23. Во всех кабинетах стоит неуправляемый коммутатор, в который приходит кабель канал передачи данных (КПД) от провайдера. В эти неуправляемые коммутаторы в кабинетах подключены точки cAP ac и через CAPSMAN они работают в бесшовной сети. Микрот по DHCP раздает адреса всем клиентам.
Порты микрота:
eth1 - WAN от провайдера №1
eht2 - WAN от провайдера №2
eth5 - канал передачи данных(КПД) к провайдеру №1.
eth9 - напрямую подключенный компьютер 192.168.0.30
- комп 192.168.0.30 (подключен напрямую в микрот eht9) пингует и шлюз 192.168.1.1, и принтер 192.168.1.230 и точку 192.168.0.253 всегда
- ноут 192.168.1.101 (подключен по wifi к точке, которая подключена к коммутатору, который через КПД подключен к роутеру) пингует и шлюз 192.168.1.1, и принтер 192.168.1.230 и точку 192.168.0.253 всегда
- комп 192.168.0.40 (подключен к коммутатору, который через КПД подключен к роутеру) перестает пинговать шлюз 192.168.1.1, но при этом пингует принтер 192.168.1.220 и точку 192.168.0.252, которые находятся в другом кабинете(этот кабинет тоже подключен через КПД)
- ноут 192.168.1.100 (подключен к коммутатору, который через КПД подключен к роутеру) перестает пинговать шлюз 192.168.1.1, но при этом пингует принтер 192.168.1.220 и точку 192.168.0.252, которые находятся в другом кабинете(этот кабинет тоже подключен через КПД)
После 19-20 вечера(основная часть сотрудников БЦ уходит) пинг сам по себе появляется по всех кабинетах без каких-либо перезагрузок микротика или неуправляемых коммутаторов.
Провайдер приезжал тестировал, охренел с этой проблемы и сказал, что дело в микротике или в какой-то петле. Сказал, что их КПД чистый L2, и с ним никаких проблем нет. При этом провайдер посмотрел настройки микротика и сказал, что все вроде бы ОК.
Сегодня мы по очереди посреди дня выключали/включали на 5 мин коммутаторы во всех кабинетах(пытаясь найти петлю или взбесившееся устройство) и пинговали шлюз с другого кабинета - пинга так и не было.
Понятно, что сеть на неуправляемых коммутаторах плоха, но тут такие особенности БЦ, что они не дают прокладывать свою СКС, а заставляют пользоваться текущей. Учитывая все вышесказанное, какие могут быть варианты решения проблемы? Петли вроде как нет, в логах микрота никаких ошибок, провайдер говорит с их КПД все в порядке. Посоветуйте пожалуйста куда копать.
Имеется Микротики RB951Ui-2Hnd и hAP lite. На обоих тестил с одинаковыми настройками
1 port - wan (dhcp client + nat)
2-5 port + wireless - в бридже ( на нем dhcp server)
Firewall - правил нет.
Короче стандартные настройки.
Ситуация следующая :
Я с компа подключенного по ethernetу (условно Хост№1) запускаю пинг к хосту подключенному по вай-фаю(Хост №2). Пинги не идут, пишет "заданный узел не доступен". Параллельно запускаю к вай-файному хосту(Хост №2) пинги от Микротика (или от другого хоста в локальной сети) - пинги идут и сразу начинают идти пинги от Хоста№1 к Хосту№2.
Через некоторое время ситуация может проявляться по другому :
С Хоста№1 пускаю пинг на Хост№2 - пингов нет. И через некоторое время (20-30 сек или несколько минут) пинги начинают ходить. Причем первые 3-4 пинга с большой задержокой (1000мс, 700мс,100мс).
Проявляется это на разных микротиках. Делал ARP-таблицу статической - не помогает. Ситуация очень похожа на вымывание arp-таблицы на коммутаторах.(Это когда таблица полностью забивается и новая запись не происходит). Но у меня всего-то 16 записей максимум. Помогите люди знающие, пожалуйста.
- Вопрос задан более года назад
- 2734 просмотра
Средний 8 комментариев
Drill, Выставил(на каждый порт), буду тестить. Подскажи, пожалуйста, лучше на каждом интерфейсе отдельно поставить proxy-arp или сразу на bridge_lan?
Drill, К сожалению ситуация осталось прежней. С хостов, которые подключены по ethernety криво (то ходят, то не ходят) ходят пинги на хосты, которые на интерфейсе wi-fi. Пробовал убирать Fast forward на бридже - не помогает.
Я с компа подключенного по ethernetу (условно Хост№1) запускаю пинг к хосту подключенному по вай-фаю(Хост №2). Пинги не идут, пишет "заданный узел не доступен". Параллельно запускаю к вай-файному хосту(Хост №2) пинги от Микротика (или от другого хоста в локальной сети) - пинги идут и сразу начинают идти пинги от Хоста№1 к Хосту№2. .
- это не описание! вы бы правила фаервола сюда хотя бы привели, картинку сети.
а вообще на схожую проблему наткнулся не debian`е, при включенной фильтрации и NAT, правил ^
iptables -P OUTPUT ACCEPT
оказалось недостаточно для прохождения пингов с роутера в локальную сеть. При этом из внешней и локальной сети роутер пинговался и соотвествующие правила были.
Решение:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
можно конечно ограничить по интерфейсам:
iptables -A FORWARD -i $NET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
Секреты настройки
файрвола через
Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Решение проблемы с потерей пакетов Mikrotik
В общем оставалось два вариант, это подключение провайдера в другой порт и замена самого Mikrotik.
Объясню почему сразу не переключил кабель провайдера в другой порт. Я уже говорил выше, что пинг до шлюза самого провайдера был отличный без потери пакетов. Из опыта и здравого смысла можно сделать вывод что раз до шлюза потерь нет значит и с портом все нормально и с Mikrotik.
Но делать было нечего взял под мышку новый Mikrotik и пошел. Надежды на то что проблема с портом практически не было, решил сразу менять Микротик. Но так как замена основного узла сети предвещала целый день настройки нового. Все же решил проверить порт.
И вот случилось чудо. Потери прекратились!
В итоге потеря 3 -10 % пакетов решилась сменой порта подключения провайдера!
Так как я потратил на решение проблемы с потерей пакетов на Mikrotik RB2011UiAS-2HnD достаточно много времени. Решил написать эту статью и поделиться с вами своим опытом может кому пригодиться!
Диагностика проблемы с потерей пакетов своими силами
Так как опыта у меня достаточно много, практически 10 лет. Полагаясь на него я начал диагностировать и пробовать решать проблему. Вот что было мною сделано.
1 Переобжат кабель провайдера. Не помогло.
2 Проверка линии провайдера. Не помогло.
3 Обновление Mikrotik и перезагрузка. Не помогло.
4 Проверка всех правил firewall, полное отключение. Не помогло.
5 Отключение всей сети от Mikrotik. Не помогло.
6 Проверка нагрузки на Mikrotik.
7 Переключение кабеля провайдера в другой порт откладывалось так выяснилось что при пинге до основного шлюза оператора потерь нет.
8 Замена Микротика откладывалась так же по этой причине.
9 При подключении кабеля провайдера напрямую потерь не было.
10 В логах ни каких ошибок не было.
На этом мои идеи иссякли.
Пропадает доступ к шлюзу по LAN в офисе
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ситуация такая, что раз в день, иногда чаще, у всего офиса "пропадает интернет", а по факту нет связи с шлюзом по LAN.
Сеть выглядит след. образом:
Шлюз (Mikrotik RB952Ui-5ac2nD, прошивка 6.40.6 bugfix), подключен к D-Link DGS 1500-28. Тот, в свою очередь, подключен к D-Link DES 1050G, расположенному в другой части офиса и объединяющему большую часть машин компании.
Еще есть пара точек доступа и один 4-х портовый коммутатор, в месте где не хватило розеток.
Ко всему этому добру подключено 40+машин, десяток ip телефонов, МФУ. Работает в одном домене, без VLAN'ов.
Когда происходит "пропажа интернета", не могу получить доступ на шлюз по локальной сети: пинг не проходит, вэб интерфейс не доступен. При этом доступ на все железки в локальной сети есть. Если в этот момент подключаться к шлюзу по Wi-Fi, то всё в порядке, есть и интернет и доступ в вэб интерфейс.
Доступ на шлюз по LAN сам восстанавливается через 1-5 минут. В логах микротика и DGS нет ничего, что намекало бы о каких либо проблемах. Т.е. даже инфы о том, что порт упал/поднялся нет.
Сама проблема появилась несколько месяцев назад, но не носила регулярный характер, до недавнего времени.
Сейчас на месте Микротик стоит старый маршрутизатор RT-N16. С ним таких проблем нет.
Пробовал прошить микротик через Netinstall, но проблему это не решило. Была версия, что это loop protect отключает все порты, но он по умолчанию выключен.
Прошу совета, на что еще обратить внимание?
1) когда я вижу такое "comment=defconf" - это означает что на уже заводскую конфигурацию
наложили свою, это практически на 50% может давать глюки и проблемы.
Поэтому совет не простой, это очистить роутер, и руками в ручном режими
создать конфигурацию без всяких визардов Quick Setup и без пре-конфигурации.
2) Теперь ещё по конфигурации:
а зачем созданному бриджу мак стоит такой:
/interface bridge
add admin-mac=00:00:00:00:00:00 auto-mac=no comment=defconf name=br-lan
Считаю что вроде это не совсем корректная запись?! А Вы как думаете?
(вернуть бриджу мак нормальный)
3) зачем такой адрес задаёте?
/ip address
add address=00.00.00.00/00 interface=eth1-wan network=00.00.00.00
Я не удивлюсь если роутеру может быть плохо, не проверял,да и не хочу.
И я не понял как Вы выходите в Интернет? Если через ether1 то какой всё же адрес?
Или нули тут как псевдоадресация?
4) Что за LTE1 фигурирует у Вас? подключали что-то? пробовали?
5) опять же бардак в DHCP:
/ip dhcp-server network
add address=192.168.3.0/24 dns-server=192.168.3.1 gateway=192.168.3.1 \
netmask=24 ntp-server=192.168.3.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
У Вас описаны две сети, Ваше это 3.0/24 и 88.0/24 (дефолтная), вот дефолтную
надо убрать, а то у Вас там мусор.
5.1) бардак и с ДНС'ом
/ip dns static
add address=192.168.88.1 name=router
это настройки дефолтные, к текущим адресам не применимы получается.
6) советую 5й порт убрать из бриджа. Локальным сделать 3 или 4.
Скажем 4-й будет локальным (вместо 5).
а 3-й порт вытащить из бриджа(сделать независимым), воткнуть в него комп,
подключиться по МАК-адресу роутера и смотреть.
Если роутер виноват и сеть упадёт, то Вы поймёте это, если нет, то
разрыва сессии между 3й портом и компом не будет.
Также возможно что у Вас петля между 2 и 3м свитчом, микротик петлю не видит,
но свитч(и) видят и включают защиту (включают отключение) порта(ов) на свитчах,
и связь до микротика падает. Что в логах всех свитчей .
Ну и естественно проверьте питание, кабеля на всякий случай.
На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Что бы кто не говорил но оборудование Mikrotik так же выходит из строя как и обычный D-link. У него могут поехать мозги, сгореть порты да и в принципе все что угодно может с ним случиться. Ведь это электроника и она не совершенна. Например, расскажу про недавний случай, на оборудование Mikrotik происходит потеря пакетов. Поделюсь свои опытом по диагностированию и решению этой проблемы.
И так как же бороться с небольшой потерей пакетов на роутере Mikrotik RB2011UiAS-2HnD.
В чем была проблема
В настройках DHCP Client заметил статус подключения error. Он периодически менялся, поиск ошибка, поиск ошибка. На скриншоте статус уже нормальный. Просто чтобы вы знали где его смотреть.
Предисловие и симптомы
Обратилась ко мне одна фирма с проблемой. В одном из офисов происходить прерывание связи на 1 сек при разговоре по IP телефонии. Происходит все это в разное время.
Первое обследование инфраструктуры выявило потерю пакетов при пинге любого ресурса в интернете. Например, те же 8.8.8.8. Внутри сети потерь ни каких не было.
Как видите потери не большие примерно от 3 до 10 %. На пользование интернетом это вообще ни как не отражается. А вот IP телефония к потерям очень чувствительна.
В качестве шлюза стоял Mikrotik RB2011UiAS-2HnD.
К нему был подключен кабель провайдера (Подключение по DHCP.) и три коммутатора. В сети было около 50 устройств, компьютере, сетевые принтеры, IP телефоны, видеокамеры. В общем стандартный набор среднего офиса. Это был центральный узел организации к нему, подключалось много других офисов. Замена его была самым последним вариантом.
Помощь Интернета
Дальше оставалось только гуглить. Информации на эту тему в интернете не много. Все способы которые я нашел, я конечноже проверил.
1 Были отключены все ограничения на полосу пропускания.
2 Отключение Allow Remote Requests в настройках DNS.
3 Отключение всех подключений к Mikrotik.
4 Отключение лишних пунктов в настройках IP Settings. Об этом даже есть ролик на ютубе.
Это были все белее менее вминаемые советы из интернета. Дошло даже до того что кто-то писал что нужно в разрез с провайдером поставить обычный свитч. Якобы у него подобным способ решилась проблема с потерей пакетов на Микротике. Проверено не работает)
Потеря пакетов : 1 комментарий
Есть аналогичная проблема. На порту ether1 находится основной (проводной) провайдер, на порту ether5 находится запасной провайдер (мобильный интернет). В DHCP-Client на порту ether1 и на порту ether5 статус (Status) «error». Пытаюсь решить проблему, но понимаю как. Хотя на обоих портах статус «error», все вроде бы работает, но хочется во всем порядка:)
Добрый день форумчане, сложилась такая ситуация, что Микротик пингует все кроме провайдерского dns (их 4 штуки) Где я выполнил не правильную настройку - в фаерволе только форвард локалки, в нате - только маскарад в настройках днс 77.88.8.8 и один из провайдерских. Провайдер отдает PPPoE. С динамическим внешним адресом. Интернет бегает но тут еще одна проблема download в пределах тарифа , а вот upload - 0.01-1 мбит . Я в микротиках человека новый. И интернет уже рыл. RouteOs 6.34.4. UPD: с самого микротика dns пингуется (все 4)
Проверь настройку портов - настроен ли порт на PPPoe
Также узнай, есть ли привязка к ΜΑC адресу - если до этого коннект был заассайнен к другому устройству, то просто «подмени» мак, это делается на раз-два. Микротик тебе даже покажет роут до провайдера, а интернета не будет ровно потому, что хост назначения «не отдаст» тебе интернет.
И снабди ещё деталями
Конфиг в студию!
Асинхронный аплоад норма в этом мире. А про пинг - не понял. Микротик его пингует или нет? Провайдер точно icmp не дропает нигде?
Микротик пингует провйдерские: локалки и внешние адреса. Все что за микротиком не видит провйдерскую локалки и внешние адреса. Допустим с микротика я буду пинговатт lds.ua, а с локалки пинг не идёт туда
Там показывать не чего настраивал все по первым мануала в Гугле. Как буду за ним, скину то нечего, что есть
Привязка по маку есть. Мак я сменил. Пппое подключается и выдает десяток маршрутов которые доступны через интерфейс pppoe-out1, и там есть все маршруты и днс внутренние и внешние и локалка
Пока на словах. Бридж - eth2-4+wlan1; dhcp - bridge . Dns - добавил два , один 77.88.8.8 , второй 10.0.0.2 - провайдера . Ну и настроен pppoe client . Все. В днс ещё пишет по мимо этих двух 4 динамических.
Значит правила fw косые. Смотри счетчик где отлуп идет
Сделал для теста вот так: провайдер - тп-линк(скорость 40/20) - микротик (скорость 20/10) на микротике вообще нет настроек кроме бриджа, и маскарада и wifi настроен по дефолту. Все. Но заметил одну магическую штуку, что если подключить провайдер к микротику напрямую, то скорость порта не 100(как через тп-линк, а 10. Если убераю автоматическое определение скорости порта, а ставлю 100, то тогда отдача падает до 0.01 а загрузка выше 20 не поднимается. Как то давно читал , что кто-то гоаорил о том, что микротик начинает нормально работать после 3 резетов. 2 уже было .
Как то давно читал , что кто-то гоаорил о том, что микротик начинает нормально работать после 3 резетов. 2 уже было .
А если в бубен постучать, то все заработает само-собой. Что за бред вы пишите?
Хотите решить вопрос - скиньте сюда конфигурацию, гадать на кофейной гуще никто не будет.
Читайте также: