RB2011 не видит интернет через провайдерский роутер

[RomanJahn]

Добрый день всем!
Осваиваю RB2011UiAS-2HnD-IN
Задача: настроить для раздачи интернета в домашнюю сеть через МГТС-ый роутер
Проблема: адрес 192.168.254.254 МГТС-ого роутера пингуется а дальше никак,
хотя дефолтный маршрут 0.0.0.0 ведущий на него есть.
В краце процесс настройки:
1) Собрал интерфейсы ether1 (переим. в LAN1) - ether7 в бридж bridgeLAN
ether8 (переим. в WAN8) - для подключения к интернету
ether9 и ether10 - не используются
2) Добавил адресное пр-во для WAN8: 192.168.254.254/24 и для bridgeLAN: 192.168.88.1/24
Добавил DHCP Server и DNS
3) Добавил беспроводной интерфейс в бридж bridgeWLAN, и ему тоже адреса и DHCP настроил
4) Создал маршрут по умолчанию 0.0.0.0 для
5) Пытаясь решить проблему с доступом в интернет настроил файрвол. Но он не мешает, проверял. Отключал все правила.

Что не так?
Может роутинг не правильный?
Или не понимаю особенности настройки через Bridge после обновления 6.41..


вот конфиг:

Код: Выделить всё

[admin3481@MikroTik] > export
# jan/02/1970 01:36:03 by RouterOS 6.48.1
# software id = I9V3-CZI4
#
# model = RB2011UiAS-2HnD
# serial number = C44F0CA61594
/interface bridge
add name=bridgeLAN
add name=bridgeWLAN
/interface ethernet
set [ find default-name=ether9 ] name=DMZ9
set [ find default-name=ether1 ] name=LAN1
set [ find default-name=ether2 ] name=LAN2
set [ find default-name=ether3 ] name=LAN3
set [ find default-name=ether4 ] name=LAN4
set [ find default-name=ether5 ] name=LAN5
set [ find default-name=ether6 ] name=LAN6
set [ find default-name=ether7 ] name=LAN7
set [ find default-name=ether10 ] name=PoE10
set [ find default-name=ether8 ] name=WAN8
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.88.30-192.168.88.50
add name=dhcp_pool1 ranges=192.168.188.60-192.168.188.80
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridgeLAN lease-time=7h10m \
    name=dhcpLAN
add address-pool=dhcp_pool1 disabled=no interface=bridgeWLAN lease-time=1h10m \
    name=dhcpWLAN
/interface bridge port
add bridge=bridgeLAN interface=LAN1
add bridge=bridgeLAN interface=LAN2
add bridge=bridgeLAN interface=LAN3
add bridge=bridgeLAN interface=LAN4
add bridge=bridgeLAN interface=LAN5
add bridge=bridgeLAN interface=LAN6
add bridge=bridgeLAN interface=LAN7
add bridge=bridgeWLAN interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.88.1/24 interface=bridgeLAN network=192.168.88.0
add address=192.168.254.254/24 interface=WAN8 network=192.168.254.0
add address=192.168.188.1/24 interface=bridgeWLAN network=192.168.188.0
/ip dhcp-client
add interface=WAN8
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
add address=192.168.188.0/24 dns-server=192.168.188.1 gateway=192.168.188.1
/ip dns
set allow-remote-requests=yes servers=192.168.254.254
/ip firewall filter
add action=accept chain=input comment="Accept: established & related" \
    connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Deny: invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Accept WinBox manage from Internet" \
    dst-port=8291 in-interface=WAN8 protocol=tcp src-port=""
add action=drop chain=input comment=\
    "Deny all connection from internet to Router for all protocols and prots" \
    in-interface=WAN8
add action=accept chain=forward comment=\
    "Accept UDP&TCP WLAN->Internet (SIP, FTP, DNS, NPT)" dst-port
    5060,36600-39999,53,123 in-interface=bridgeWLAN out-interface
    protocol=udp
add action=accept chain=forward dst-port=80,443,25,995,993,465,58
    in-interface=bridgeWLAN out-interface=WAN8 protocol=tcp
add action=accept chain=forward comment=\
    "Accept UDP&TCP WLAN-> LAN (SIP, FTP, DNS, NPT)" dst-port=\
    5060,36600-39999,53,123 in-interface=bridgeWLAN out-interface
    protocol=udp
add action=accept chain=forward dst-port=80,443,25,995,993,465,58
    in-interface=bridgeWLAN out-interface=bridgeLAN protocol=tcp
add action=accept chain=forward comment="accept PINGs from WLAN"
    bridgeWLAN protocol=icmp
add action=drop chain=forward comment=\
    "Deny all other trafic from WLAN -> Internet" in-interface=br
add action=drop chain=forward comment="Deny all trafic from WLAN
    in-interface=bridgeWLAN out-interface=bridgeLAN
/ip route
add distance=1 gateway=192.168.254.254
/lcd interface pages
set 0 interfaces=sfp1,LAN1,LAN2,LAN3,LAN4,LAN5,LAN6,LAN7,WAN8,DMZ

скрины:

[Ca6ko]

Проблема: адрес 192.168.254.254 МГТС-ого роутера пингуется а дальше никак,
хотя дефолтный маршрут 0.0.0.0 ведущий на него есть.
Добавил DHCP Server и DNS

вот конфиг:
/ip address
add address=192.168.254.254/24 interface=WAN8 network=192.168.254.0
/ip dhcp-client
add interface=WAN8
/ip dns
set allow-remote-requests=yes servers=192.168.254.254
/ip route
add distance=1 gateway=192.168.254.254

У Вас чего-то не складывается с сетью 192.168.254.0/24
Определитесь какой адрес у роутера МГТС, а какой у Микротика.
Сейчас пингуется адрес 192.168.254.254 установленный на микротике на порт 8.
Если .254 действительно на роутере МГТС тогда первая строчка конфига вручную назначает его на порт микротике, измените там адрес или вообще удалите, у Вас там и DHCP клиент есть

[RomanJahn]

У Вас чего-то не складывается с сетью 192.168.254.0/24
Определитесь какой адрес у роутера МГТС, а какой у Микротика.

Спасибо большое! Оказалось этот порт зарезервирован под IP-TV и там своя настройка.
192.168.254.254 адрес на WAN8 удалил.
Переткнул в другой порт и включил DHCP клиент - заработало!

Но не совсем
Роутер видит интернет, а вот ПК нет.
Буду рад, если найдёте возможность посмотреть.

Сейчас конфиг такой:

Код: Выделить всё

[admin3481@MikroTik] > export
# feb/07/2021 22:36:26 by RouterOS 6.48.1
# software id = I9V3-CZI4
#
# model = RB2011UiAS-2HnD
# serial number = C44F0CA61594
/interface bridge
add name=bridgeLAN
add name=bridgeWLAN
/interface ethernet
set [ find default-name=ether9 ] name=DMZ9
set [ find default-name=ether1 ] name=LAN1
set [ find default-name=ether2 ] name=LAN2
set [ find default-name=ether3 ] name=LAN3
set [ find default-name=ether4 ] name=LAN4
set [ find default-name=ether5 ] name=LAN5
set [ find default-name=ether6 ] name=LAN6
set [ find default-name=ether7 ] name=LAN7
set [ find default-name=ether10 ] name=PoE10
set [ find default-name=ether8 ] name=WAN8
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.88.30-192.168.88.50
add name=dhcp_pool1 ranges=192.168.188.60-192.168.188.80
add name=dhcp_pool2 ranges=192.168.88.30-192.168.88.40
add name=dhcp_pool3 ranges=192.168.188.60-192.168.188.80
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=bridgeLAN lease-time=7h10m name=dhcp1
add address-pool=dhcp_pool3 disabled=no interface=bridgeWLAN lease-time=3h10m name=dhcp2
/interface bridge port
add bridge=bridgeLAN interface=LAN1
add bridge=bridgeLAN interface=LAN2
add bridge=bridgeLAN interface=LAN3
add bridge=bridgeLAN interface=LAN4
add bridge=bridgeLAN interface=LAN5
add bridge=bridgeLAN interface=LAN6
add bridge=bridgeLAN interface=LAN7
add bridge=bridgeWLAN interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.88.1/24 interface=bridgeLAN network=192.168.88.0
add address=192.168.188.1/24 interface=bridgeWLAN network=192.168.188.0
/ip dhcp-client
add disabled=no interface=WAN8
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
add address=192.168.188.0/24 dns-server=192.168.188.1 gateway=192.168.188.1
/ip firewall filter
add action=accept chain=input comment="Accept: established & related" connection-state=\
    established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Deny: invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Accept WinBox manage from Internet" dst-port=8291 \
    in-interface=WAN8 protocol=tcp src-port=""
add action=drop chain=input comment=\
    "Deny all connection from internet to Router for all protocols and prots" in-interface=WAN8
add action=accept chain=forward comment="Accept UDP&TCP WLAN->Internet (SIP, FTP, DNS, NPT)" \
    dst-port=5060,36600-39999,53,123 in-interface=bridgeWLAN out-interface=WAN8 protocol=udp
add action=accept chain=forward dst-port=80,443,25,995,993,465,587,110,143,3389 in-interface=\
    bridgeWLAN out-interface=WAN8 protocol=tcp
add action=accept chain=forward comment="Accept UDP&TCP WLAN-> LAN (SIP, FTP, DNS, NPT)" \
    dst-port=5060,36600-39999,53,123 in-interface=bridgeWLAN out-interface=bridgeLAN protocol=\
    udp
add action=accept chain=forward dst-port=80,443,25,995,993,465,587,110,143,3389 in-interface=\
    bridgeWLAN out-interface=bridgeLAN protocol=tcp
add action=accept chain=forward comment="accept PINGs from WLAN" in-interface=bridgeWLAN \
    protocol=icmp
add action=drop chain=forward comment="Deny all other trafic from WLAN -> Internet" \
    in-interface=bridgeWLAN
add action=drop chain=forward comment="Deny all trafic from WLAN -> LAN" in-interface=\
    bridgeWLAN out-interface=bridgeLAN
/lcd interface pages
set 0 interfaces=sfp1,LAN1,LAN2,LAN3,LAN4,LAN5,LAN6,LAN7,WAN8,DMZ9,PoE10

[KARaS'b]

нет нат правила.

[vasiliy.zalukaev]

нет нат правила.

+ за masquerade

[RomanJahn]

vasiliy.zalukaev » 08 фев 2021, 15:50

KARaS'b писал(а): ↑08 фев 2021, 14:46
нет нат правила.
+ за masquerade

точно пропустил!
добавил:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN8 src-address=192.168.88.0/24

так, вот что получилось, теперь видит интернет, но не разрешает имена((
видимо DNS не работает



какой сюда вписать адрес будет правильнее IP внутренней сети или внешней, той что на роутер провайдера смотрит?

[KARaS'b]

днс вписывать можете любой, хоть тот что выдал провайдер, хоть гугловские восьмерки, хоть какой-то еще из известных вам и доступных. Но если у клиентов в качестве днс указан микротик, то вам еще потребуется установить галочку "allow remote requests".