CCR1016-12G и несколько сетей. Обрываются соединения

[velter]

Добрый день. Есть сабжевый роутер. Сети, которые в него подключаются:
eth1(192.168.0.0/24) - сеть головного офиса, в которой находятся юзерские компы. Подключается кабелем в первый порт.
eth2(192.168.3.0/24) - сеть головного офиса, в которой находятся только сервера. Подключается кабелем во второй порт.
eth10(91.196.229.6/30) - кабель от инет-провайдера
eth11() - еще один кабель от провайдера. Обеспечивает связь с удаленными офисами. В нем 2 влана:
vlan1-skl - влан на удаленный склад
vlan2-kiev - влан на удаленный офис
eth12(192.168.88.0/24) - Сеть чисто для настройки роутера.
Внутри этих вланов еще поднимаются ipip туннели, в которых ходит интернет траффик. Внутрикорпоративный траффик ходит по голым вланам. Так было сделано на старом маршрутизаторе для того чтобы приоритезировать траффик. Пока на микроте дело до приоритетов не дошло, но решил сразу поднимать все так, как было раньше.

Проблема заключается в том, что когда начинаю копировать файлы c 192.168.3.0 в нулевую сеть, связь практически сразу обрывается. Винда пишет о том, что указанное сетевое имя более недоступно. Как только переключаю все на старый маршрутизатор - сразу все начинает нормально работать
Где можно искать проблему?
Конфиг под спойлером.

 config

# jan/02/1970 02:29:10 by RouterOS 6.10
# software id = RH2I-QMHR
#
/interface bridge
add name=Br_0
add name=Br_3
/interface ethernet
set [ find default-name=ether1 ] name=eth1-192.168.0
set [ find default-name=ether2 ] name=eth2-192.168.3
set [ find default-name=ether3 ] name=eth3
set [ find default-name=ether4 ] name=eth4
set [ find default-name=ether5 ] name=eth5
set [ find default-name=ether6 ] name=eth6
set [ find default-name=ether7 ] name=eth7
set [ find default-name=ether8 ] name=eth8
set [ find default-name=ether9 ] name=eth9
set [ find default-name=ether10 ] name=eth10-Stels
set [ find default-name=ether11 ] name=eth11-Golden
set [ find default-name=ether12 ] name=eth12-192.168.88
/interface ipip
add local-address=172.17.17.14 name=ipip0-kiev remote-address=172.17.17.10
add local-address=172.17.17.22 name=ipip1-sklad remote-address=172.17.17.18
/interface vlan
add interface=eth11-Golden l2mtu=1586 name=vlan1-sklad vlan-id=610
add interface=eth11-Golden l2mtu=1586 name=vlan2-kiev vlan-id=515
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/port
set 0 name=serial0
set 1 name=serial1
/ip address
add address=192.168.88.1/24 comment=Settings_Port interface=eth12-192.168.88 \
network=192.168.88.0
add address=192.168.0.1/24 comment="AMIGO LAN" interface=eth1-192.168.0 \
network=192.168.0.0
add address=192.168.3.1/24 interface=eth2-192.168.3 network=192.168.3.0
add address=91.196.229.6/30 comment=Stels interface=eth10-Stels network=\
91.196.229.4
add address=172.17.17.14/30 comment=Vlans interface=vlan2-kiev network=\
172.17.17.12
add address=172.17.17.22/30 interface=vlan1-sklad network=172.17.17.20
add address=10.100.100.1/24 comment=IPIP interface=ipip0-kiev network=\
10.100.100.0
add address=10.100.100.3/24 interface=ipip1-sklad network=10.100.100.0
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment=AllowPing protocol=icmp
add chain=forward protocol=icmp
add chain=input comment=Accept_established_connections connection-state=\
established
add chain=forward connection-state=established
add chain=input comment=Accept_related_connections connection-state=related
add chain=forward connection-state=related
add action=drop chain=input comment=Drop_invalid_connections \
connection-state=invalid disabled=yes
add action=drop chain=forward connection-state=invalid disabled=yes
add chain=input comment=Allow_UDP protocol=udp
add chain=forward protocol=udp
add chain=forward comment=Internet_for_Amigo_Networks in-interface=\
eth1-192.168.0 out-interface=eth10-Stels protocol=tcp
add chain=forward in-interface=eth2-192.168.3 out-interface=eth10-Stels
add chain=forward in-interface=ipip0-kiev out-interface=eth10-Stels
add chain=forward in-interface=ipip1-sklad out-interface=eth10-Stels
add chain=forward comment="Amigo Traffic" disabled=yes dst-address=\
192.168.0.0/16 src-address=192.168.0.0/16
add chain=forward dst-address=10.0.0.0/8 src-address=192.168.0.0/16
add chain=forward dst-address=192.168.0.0/16 src-address=10.0.0.0/8
add chain=forward src-address=192.168.0.0/16
add chain=forward src-address=10.100.100.2
add chain=forward src-address=10.100.100.4
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade for Amigo networks" \
src-address=192.168.0.0/24
add action=masquerade chain=srcnat src-address=192.168.3.0/24
add action=masquerade chain=srcnat src-address=192.168.10.0/24
add action=masquerade chain=srcnat src-address=192.168.1.0
add action=dst-nat chain=dstnat comment="Port Forwarding" dst-port=8934 \
in-interface=eth10-Stels protocol=tcp to-addresses=192.168.3.6 to-ports=\
3389
add action=masquerade chain=srcnat dst-address=192.168.3.0/24 protocol=tcp
add action=dst-nat chain=dstnat dst-address=192.168.3.3 dst-port=389 \
protocol=tcp to-addresses=192.168.3.5 to-ports=389
add action=dst-nat chain=dstnat comment="Redirect to Mail Server" \
dst-address=91.196.229.6 dst-port=22 protocol=tcp to-addresses=\
192.168.0.2 to-ports=22
add action=dst-nat chain=dstnat dst-address=91.196.229.6 dst-port=21 \
protocol=tcp to-addresses=192.168.0.2 to-ports=21
add action=dst-nat chain=dstnat dst-address=91.196.229.6 dst-port=25 \
protocol=tcp to-addresses=192.168.0.2 to-ports=25
add action=dst-nat chain=dstnat dst-address=91.196.229.6 dst-port=2125 \
protocol=tcp to-addresses=192.168.0.2 to-ports=25
add action=dst-nat chain=dstnat dst-address=91.196.229.6 dst-port=110 \
protocol=tcp to-addresses=192.168.0.2 to-ports=110
add action=dst-nat chain=dstnat dst-address=91.196.229.6 dst-port=80 \
protocol=tcp to-addresses=192.168.0.2 to-ports=80
add action=dst-nat chain=dstnat dst-address=91.196.229.6 dst-port=143 \
protocol=tcp to-addresses=192.168.0.2 to-ports=143
add action=dst-nat chain=dstnat dst-address=91.196.229.6 dst-port=443 \
protocol=tcp to-addresses=192.168.0.2 to-ports=443
add action=dst-nat chain=dstnat dst-address=91.196.229.6 dst-port=993 \
protocol=tcp src-port="" to-addresses=192.168.0.2 to-ports=993
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip route
add distance=1 gateway=91.196.229.5
add distance=1 dst-address=10.100.100.2/32 gateway=ipip0-kiev
add distance=1 dst-address=10.100.100.4/32 gateway=ipip1-sklad
add distance=1 dst-address=172.17.17.8/30 gateway=172.17.17.13
add distance=1 dst-address=172.17.17.16/30 gateway=172.17.17.21
add distance=1 dst-address=192.168.1.0/24 gateway=172.17.17.21
add distance=1 dst-address=192.168.10.0/24 gateway=172.17.17.13
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=no
/lcd
set default-screen=informative-slideshow read-only-mode=yes touch-screen=\
disabled
/lcd pin
set pin-number=9999
/lcd interface
set eth1-192.168.0 interface=eth1-192.168.0
set eth2-192.168.3 interface=eth2-192.168.3
set eth3 disabled=yes interface=eth3
set eth4 disabled=yes interface=eth4
set eth5 disabled=yes interface=eth5
set eth6 disabled=yes interface=eth6
set eth7 disabled=yes interface=eth7
set eth8 disabled=yes interface=eth8
set eth9 disabled=yes interface=eth9
set eth10-Stels interface=eth10-Stels
set eth11-Golden interface=eth11-Golden
set eth12-192.168.88 interface=eth12-192.168.88
/lcd screen
set 1 disabled=yes
set 2 disabled=yes
set 3 disabled=yes
set 4 timeout=30s
set 5 disabled=yes
/system clock
set time-zone-name=Europe/Kiev
/system ntp client
set enabled=yes mode=unicast primary-ntp=83.143.51.50 secondary-ntp=\
46.8.40.31
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR

[vqd]

eth1(192.168.0.0/24) - сеть головного офиса, в которой находятся юзерские компы. Подключается кабелем в первый порт.
eth2(192.168.3.0/24) - сеть головного офиса, в которой находятся только сервера. Подключается кабелем во второй порт.

Вы марскарадинг нормально настройке, а то у вас во все стороны он работает а не туда куда нужно

[velter]

Вы марскарадинг нормально настройке, а то у вас во все стороны он работает а не туда куда нужно

Мне казалось, что этот кусок должен все делать правильно.

Код: Выделить всё

add action=masquerade chain=srcnat comment="Masquerade for Amigo networks" src-address=192.168.0.0/24
add action=masquerade chain=srcnat src-address=192.168.3.0/24

И, если я правильно понимаю, то если бы неправильно был настроен маскарад, то оно бы не работало совсем. Или я не прав?

[vqd]

Почему, оно работает но криво т.к. у вас между сетями тоже адреса преобразуются

[velter]

Почему, оно работает но криво т.к. у вас между сетями тоже адреса преобразуются

То есть эти правила вообще не нужны?

[vqd]

Я как то сталкивался с подобной проблемой. С тех пор делаю так

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" dst-address=\
    !192.168.0.0/16 out-interface=wlan1 src-address=192.168.0.0/16 \
    to-addresses=0.0.0.0

[velter]

То есть, фактически, маскарад для внутренних сетей, идущих во внутренние же сети отключается. Я понял. Буду пробовать. Спасибо

[velter]

/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade for Amigo networks" out-interface=eth10-Stels src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=eth10-Stels src-address=192.168.3.0/24
add action=masquerade chain=srcnat out-interface=eth10-Stels src-address=192.168.10.0/24
add action=masquerade chain=srcnat out-interface=eth10-Stels src-address=192.168.1.0/24


Сделал так. Вечером воткну роутер обратно в рабочую среду и попробую.

[vqd]

все ваши правила можно заменить одним

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 out-interface=eth10-Stels  src-address=192.168.0.0/16 to-addresses=0.0.0.0

[velter]

все ваши правила можно заменить одним

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 out-interface=eth10-Stels  src-address=192.168.0.0/16 to-addresses=0.0.0.0

Это понятно, но если нужно будет закрыть какой-то одной сети доступ в интернет, то наличие правил для каждой сети будет более в тему.