Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Проблема с доступом к определенным сайтам

https://forummikrotik.ru/viewtopic.php?t=11191

Страница 1 из 1

Проблема с доступом к определенным сайтам

Добавлено: 17 янв 2020, 04:23
Arsonist95
Проблема с доступом к определенным сайтам. Например к сайту http://www.ammyy.com/ru/
Так же не работает интернет-версия Гаранта. Так как работать она перестала в день смены роутера, грешу на него
 Конфиг
# jan/17/2020 13:06:55 by RouterOS 6.44.6
# software id = U2TG-X6A4
#
# model = CRS109-8G-1S-2HnD
# serial number = 7869079DF95A
/interface bridge
add name=bridgeLAN
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge ssid=MikroTik \
wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] mac-address=C8:3A:35:00:4B:88
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mtu=1460 name=\
pppoe-out1 password=password use-peer-dns=yes user=PPPOE-000001
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
password wpa2-pre-shared-key=password
/interface bridge port
add bridge=bridgeLAN interface=wlan1
add bridge=bridgeLAN interface=ether2
add bridge=bridgeLAN interface=ether3
add bridge=bridgeLAN interface=ether4
add bridge=bridgeLAN interface=ether5
add bridge=bridgeLAN interface=ether6
/interface list member
add interface=ether1 list=WAN
add interface=bridgeLAN list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=199.124.150.235/24 interface=ether2 network=199.124.150.0
/ip dns
set servers=85.28.195.130
/ip firewall mangle
add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn \
tcp-mss=1453-65535
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=\
199.124.150.234
/ip route
add disabled=yes distance=1 gateway=199.124.150.235
/system clock
set time-zone-name=Asia/Kamchatka
Перед постом прочитал несколько статей, где советовали:
- уменьшить MTU viewtopic.php?t=7409 или
- создать правило в Mangle https://sidorovich.pp.ua/network-hardwa ... vaet-sajty
Но это не помогло. Так же скопировал (на всякий случай) MAC адрес со старого роутера. Тоже безуспешно. Если подытожить, то интернет есть, но работает медленно и не открывает некоторые сайты

Re: Проблема с доступом к определенным сайтам

Добавлено: 17 янв 2020, 09:59
MaxoDroid
Что бросилось в глаза.
1. зачем в интерфейс лист WAN Вы включили ethre1?
/interface list member
add interface=ether1 list=WAN - уберите его. Он там не к стати.
2. DNS. Вы поставили set servers=85.28.195.130 адрес Ростелекома. Вы точно уверены, что Ростелеком обладает хорошим сервисом поиска имен?
3. В Вашем роутере не включено кэширование DNS. Также нет DHCP.
нет строчки типа
/ip dhcp-server network
add address=199.124.150.0/24 dns-server=199.124.150.235 gateway=199.124.150.235

Re: Проблема с доступом к определенным сайтам

Добавлено: 17 янв 2020, 11:09
Vlad-2
Arsonist95 писал(а): 17 янв 2020, 04:23 Проблема с доступом к определенным сайтам. Например к сайту http://www.ammyy.com/ru/
Так же не работает интернет-версия Гаранта. Так как работать она перестала в день смены роутера, грешу на него
(Общее правило - не знаем, не трогаем)

1)

Код: Выделить всё

/interface ethernet
set [ find default-name=ether1 ] mac-address=C8:3A:35:00:4B:88
Уберите "чужой" МАК. Ростелеком не делает привязок по МАКу. НЕ занимайтесь отсебячиной.

2)

Код: Выделить всё

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 [b][size=150]max-mtu=1460[/size][/b] name=\
    pppoe-out1 password=password use-peer-dns=yes user=PPPOE-000001
Удалите рррое-out1 подключение и создайте новое, НЕ трогаем МТУ, (я с Камчатки, роутеров 12-15 стоят
микротиков на Ростелекоме), ТРОГАТЬ не надо,всё работает. Поэтому не трогаем, главное галочку
на против "use peer dns" ставим, тем самым придут DNS'ы от Ростелекома (новые), и они у Вас
автоматически будут видны (серым, без права редактирования) в закладке IP - DNS

3)

Код: Выделить всё

/ip address
add address=199.124.150.235/24 interface=ether2 network=199.124.150.0
Я уже устал говорить, адрес роутера ставят (задают) НА бридже, а не на порту.
В этом скорее 85% проблем Ваших.
Перенесите адрес на бридж, и всё будет хорошо.

4)

Код: Выделить всё

/ip dns
set servers=85.28.195.130
Данный ДНС сервер, как и 195.129 почти вышли из обслуживания. Их использование
скорее всего уже точно не рекомендуется.
(усложняете себе жизнь, нет чтобы использовать подключение, как положено,просто и автоматом,
делаете всё через очень сложно и тернистые поля).

5)

Код: Выделить всё

/ip firewall mangle
[b][size=150]add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn \
    tcp-mss=1453-65535[/size][/b]
УДАЛИТЬ. (повторюсь - не знаем, не трогаем, не меняем логику).

6)

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=\
    199.124.150.234
Во-первых, маскарайдинг лучше сделать ниже пробросов, согласно таблице прохождения
пакетов внутри роутера, dst обрабатывается быстрее, чем маскарайдин
Во-вторых, временно уберите интерфейс WAN, просто оставьте вот так:

Код: Выделить всё

add action=masquerade chain=srcnat
Arsonist95 писал(а): 17 янв 2020, 04:23 Перед постом прочитал несколько статей, где советовали:
Плохо и мало читали.

Я с Вами в одном часовом поясе и в одном городе.
Напишите в ЛС, помогу, покажу. НО не надо городить огород.


P.S.
Для MaxoDroid:
Я тоже ether1 выделяю лист WAN, ибо там бегает всякое, я боюсь,
поэтому порт1 привязать к внешнем правилам логично.
Единственно что, я делаю так:
порт привязываю к ls1-WANs-ALL (где могут быть другие порты, другие DMZ порты)
и делаю второй WAN список, ls1-WAN1 где привязан только один рррое интерфейс (ибо
он точно имеет адрес). И уже его использую в файрволле.

Re: Проблема с доступом к определенным сайтам

Добавлено: 20 янв 2020, 02:33
Arsonist95
Vlad-2 писал(а): 17 янв 2020, 11:09 Уберите "чужой" МАК. Ростелеком не делает привязок по МАКу. НЕ занимайтесь отсебячиной.

Понял, уберу. Этот шаг был скорее из безысходности

Vlad-2 писал(а): 17 янв 2020, 11:09 Удалите рррое-out1 подключение и создайте новое, НЕ трогаем МТУ
Сделаю

Vlad-2 писал(а): 17 янв 2020, 11:09 Я уже устал говорить, адрес роутера ставят (задают) НА бридже, а не на порту.
Тут мой косяк, хотя при настройке, я ОСОЗНАННО задавал адрес бриджу :ne_vi_del: Видимо где-то прозевал

Vlad-2 писал(а): 17 янв 2020, 11:09 Данный ДНС сервер, как и 195.129 почти вышли из обслуживания
Вот это не знал, сделаю через "use peer dns", как Вы сказали

Vlad-2 писал(а): 17 янв 2020, 11:09 УДАЛИТЬ. (повторюсь - не знаем, не трогаем, не меняем логику).
Еще один шаг, в надежде все быстро починить, уберу

Vlad-2 писал(а): 17 янв 2020, 11:09 Во-первых, маскарайдинг лучше сделать ниже пробросов, согласно таблице прохождения
пакетов внутри роутера, dst обрабатывается быстрее, чем маскарайдин
Во-вторых, временно уберите интерфейс WAN, просто оставьте вот так:
Понял, опять же сделаю

Vlad-2 писал(а): 17 янв 2020, 11:09 Я с Вами в одном часовом поясе и в одном городе.
Напишите в ЛС, помогу, покажу. НО не надо городить огород.
За это отдельное спасибо. :-ok-: Попав на этот форум, понял как тесен мир

Re: Проблема с доступом к определенным сайтам

Добавлено: 20 янв 2020, 02:38
Arsonist95
MaxoDroid писал(а): 17 янв 2020, 09:59 Что бросилось в глаза.
1. зачем в интерфейс лист WAN Вы включили ethre1?
/interface list member
add interface=ether1 list=WAN - уберите его. Он там не к стати.
2. DNS. Вы поставили set servers=85.28.195.130 адрес Ростелекома. Вы точно уверены, что Ростелеком обладает хорошим сервисом поиска имен?
3. В Вашем роутере не включено кэширование DNS. Также нет DHCP.
нет строчки типа
/ip dhcp-server network
add address=199.124.150.0/24 dns-server=199.124.150.235 gateway=199.124.150.235
1. Настройку PPPOE делал через quick set
2. Пользовался просто старыми наработками, которые остались от прошлого админа
3. Кэширование DNS? Нашел эту тему: viewtopic.php?t=8723 и почитаю еще
3.1 Нет DHCP потому что адреса в сети статические. Потому его и не настраивал

Спасибо за ответ :-):

Re: Проблема с доступом к определенным сайтам

Добавлено: 20 янв 2020, 11:01
Ca6ko
Arsonist95 писал(а): 20 янв 2020, 02:38 Настройку PPPOE делал через quick set
Вот это главная ошибка. quick set у Микротика одноразовый, им можно пользоваться только при первичной настройке.
Потому как основная особенность интерфейса Микротика- поставить галочку, а затем снять не всегда возвращает устройство в первоначальное состояние.
Поэтому в Вашем случае очень рекомендуется выгрузить конфиг, сбросить устройство в завод и настроить заново по конфигу.
И тогда с некоторыми проблемами даже не столкнетесь :mi_ga_et:
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB