Доступ из внутренней сети через микротик.

[densne]

Подскажите кто виноват и что, и самое главное, кому, в такой ситуации надо делать?
микротик RB951G,
PPoE интерфейс от провайдера "internet", поднимается. С самого микротика через терминал и т.п. все пингуется, в частности проверяю по ya.ru, через трасерт до ya.ru 8 прыжков, стабильных.
Далее.
Подключается компьютер к микротику, получаем адрес любой из внутренней сети, внутренняя сеть 192.168.2.1/24, на микротике пишем:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Internet, больше никаких правил в firewall пока нет, всё открыто.
компьютер(несколько разных пробовал) пингует только внутреннюю сеть провайдера, пинг до ya.ru уже отсутствует, трасерт идёт 4 хопа и встает, провайдеру звонили сказал никаких ограничений ни на ip (он белый) ни на mac нету. Да и в любом случае с самого микротика всё нормально, не понимаю куда дальше копать и что отслеживать.

Несколько подключений по подобной системе, но проблема только с одним, микротика два разных физически пробовали, и резет жали с поднятием с нуля конфигурации.

[KARaS'b]

DNS? А еще лучше конфиг сюда, что бы не играть в экстрасенсов.

[densne]

если не по имени, а по ip, так же себя ведет, да и в любом случае DNS пользуемся провайдера и во внутренней нашей сети есть свой днс сервер, всё это пингуется и доступно, затыкается только если пинговать с компьютеров ЗА микротиком внешнюю сеть, ya.ru например, ip соответствующий ya.ru видит(

ping ya.ru
Обмен пакетами с ya.ru [213.180.204.3] с 32 байтами данных:
Превышен интервал ожидания для запроса.

Конфиг на что именно нужен? Ничего лишнего не делал, только поднят интерфейс PPoE и обычный NAT с локалки во внешнюю сеть, 20 одинаковых точек подключений, в 19 местах работает в одной нет).. не понятно как такое теоретически возможно, если бы и с самого микротика не пинговало, то можно было бы предположить что данный адрес блочит провайдер:), а так непонятно(.

[densne]

Выяснили что прямой инет (там белый ip статика) работает любой, неважно с компьютера подключаться напрямую или через микротик в бридж, как только ставим сеть на инет через NAT, трафик гуляет только в пределах провайдера, любой выход дальше сети провайдера режется).

[podarok66]

А если в самый верх поднять правило

Код: Выделить всё

/ip firewall mangle
add action=change-ttl chain=prerouting new-ttl=increment:1

, что-либо изменится?

[densne]

без этого правила

Код: Выделить всё

C:\Users\user>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.204.3]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.2.1
  2     *        *        3 ms  81-27-48-1.domolink.elcom.ru [81.27.48.1]
  3     4 ms     *        *     bras2-asbr2.elcom.ru [84.53.204.213]
  4     3 ms     3 ms     3 ms  188.254.78.246
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7  ^C
C:\Users\user>

с этим правилом:

Код: Выделить всё

C:\Users\user>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.204.3]
с максимальным числом прыжков 30:

  1     *        *        3 ms  81-27-48-1.domolink.elcom.ru [81.27.48.1]
  2     4 ms     *        *     bras2-asbr2.elcom.ru [84.53.204.213]
  3     *        3 ms     3 ms  188.254.78.246
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *     ^C

[densne]

а вот с самого микротика(

Код: Выделить всё

[admin@MikRotik] /tool> traceroute 
address: ya.ru
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                                                                                                         
 1 81.27.48.1                         0%   10   3.4ms     3.6     3.3     4.2     0.3                                                                                                                
 2 84.53.204.213                      0%   10   3.8ms     5.6     3.7    10.3     2.1                                                                                                                
 3 188.254.78.246                     0%   10   3.1ms     7.5       3    42.1    11.6                                                                                                                
 4 213.59.212.113                     0%   10    24ms      24    23.9    24.1       0                                                                                                                
 5 90.154.106.66                      0%   10    24ms    24.1      24    24.2     0.1                                                                                                                
 6 87.250.239.62                      0%   10  25.7ms    25.8    25.4    28.3     0.8                                                                                                                
 7 87.250.239.14                      0%   10  25.1ms    25.6    25.1    29.6     1.3                                                                                                                
 8 213.180.204.3                      0%   10  30.3ms    30.3    30.3    30.6     0.1                                                                                                                

[admin@MikRotik] /tool> 

[podarok66]

Странность какая-то. Маскарад можно попробовать не интерфейса, а подсети:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.2.1/24

Но это предположение уже в порядке бреда. А конфиг бы глянуть стоило, дальше гадать уже не смешно

[densne]

да нет вроде бы ничего в конфиге(( в том то и дело.. он абсолютно одинаков с остальными рабочими точками.. роутинг ручками прописан только на мою сеть, доступ к которой через поднятый VPN... ip выдаваемый провайдер менял на другой, не помогло.
не понимаю куда копать дальше(.

Код: Выделить всё

[admin@MikRotik] > export
# jul/14/2016 14:46:14 by RouterOS 6.34.3
# software id = 0J2W-CS12
#
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mru=1480 max-mtu=1480 name=Internet password=XXXXX use-peer-dns=yes user=XXXXX
/interface pptp-client
add connect-to=84.53.XXX.XXX disabled=no max-mru=1460 max-mtu=1460 name=pptp01 password=xxx user=xxxvpn
/ppp profile
add name=remote-users only-one=yes use-compression=no use-encryption=no
/ip address
add address=192.168.2.1/24 interface=ether2 network=192.168.2.0
/ip dns
set servers=84.53.200.24,84.53.199.254
/ip firewall mangle
add action=change-ttl chain=prerouting disabled=yes new-ttl=increment:1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Internet src-address=192.168.2.150
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip ipsec policy
set 0 disabled=yes
/ip proxy
set parent-proxy=0.0.0.0
/ip route
add distance=1 dst-address=XX.XX.XX.0/24 gateway=192.168.253.1
/system clock
set time-zone-autodetect=no
/system identity
set name=MikRotik
/system leds
set 0 interface=wlan1
[admin@MikRotik] > 

[podarok66]

А вот не вижу я в вашем конфиге интерфейса с именем Internet
Да и правило маскарада совсем как бы не для проверки доступа, сделайте пока именно

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.2.1/24

Потом менять будете, когда поймем, что не так