Страница 1 из 3
Не работает сеть (не пингуется шлюз)
Добавлено: 23 ноя 2018, 23:08
Suxo
Здравствуйте. Первый раз настраиваю устройство. Не могу понять, где ошибся. Не пингуется шлюз провайдера, хотя все данные введены правильно. Подскажите, пожалуйста.
Код: Выделить всё
# Nova/23/2018 22:49:27 by RouterOS 6.43.4
# software id =
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number =
/interface bridge
add fast-forward=no name=bridge-lan
/ip photspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp-pool ranges=192.168.10.100-192.168.10.200
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge-lan lease-time=12h10m \
name=dhcp-server
/interface pptp-client
add add-default-route=yes connect-to=*.*.*.243 name=PPTP password=\
password profile=default user=login
/interface bridge port
add bridge=bridge-lan hw=no interface=ether2
add bridge=bridge-lan hw=no interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan hw=no interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=none
/ip address
add address=*.*.*.75/24 interface=ether1 network=*.*.*.0
add address=192.168.10.1/24 interface=bridge-lan network=192.168.10.0
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=208.67.222.222,208.67.222.220
/ip firewall filter
add chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80,8291,22 \
in-interface=bridge-lan protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input connection-state=new protocol=udp src-address=\
192.168.10.0/24 src-port=53,123
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!invalid connection-type=""
# PPTP not ready
add action=accept chain=forward connection-state=established,new in-interface=\
bridge-lan out-interface=PPTP src-address=192.168.10.0/24
# PPTP not ready
add action=accept chain=forward connection-state=established,related \
in-interface=PPTP out-interface=bridge-lan
add action=drop chain=forward
add action=drop chain=input
add action=drop chain=output
/ip firewall nat
# no interface
add action=masquerade chain=srcnat out-interface=PPTP src-address=192.168.10.0/24
/ip route
add check-gateway=ping distance=1 gateway=*.*.*.1
/system routerboard settings
set silent-boot=no
На пинг шлюза с роутера получаю time out'ы. Настройки точно правильные, т.к. при прямом подключении все работает. Фильтра по mac нет.
Re: Не работает сеть (не пингуется шлюз)
Добавлено: 23 ноя 2018, 23:27
vladislav.granovskiy
add action=accept chain=input comment=------ICMP0------- icmp-options=0:0-255 \
protocol=icmp
add action=accept chain=input comment=------PING------ icmp-options=8:0-255 \
protocol=icmp
Re: Не работает сеть (не пингуется шлюз)
Добавлено: 23 ноя 2018, 23:31
Suxo
vladislav.granovskiy писал(а): ↑23 ноя 2018, 23:27
add action=accept chain=input comment=------ICMP0------- icmp-options=0:0-255 \
protocol=icmp
add action=accept chain=input comment=------PING------ icmp-options=8:0-255 \
protocol=icmp
Не совсем понял, что вы предлагаете. У меня в цепочке входящих icmp и так разрешен.
И отсутствие возможности пропинговать шлюз скорее последствие, а не причина. Вопрос в том, где я ошибся в настройке, и почему не могу подключиться к сети.
Re: Не работает сеть (не пингуется шлюз)
Добавлено: 24 ноя 2018, 12:17
podarok66
Вы знаете, скорее всего с вами не будут общаться завсегдатаи. Только новички. И причина проста - Вы путаете причину и следствие. Количество правил в фаерволе, работа или не работа какого-то сервиса - следствие. А причина, отсутствие базовых знаний. Почитайте, как работает фаервол в Микротике, его базовые принципы. Посмотрите, как идут пакеты. И ответ окажется на поверхности. Оказывается вы запретили всё, но не разрешили нужное до этого.
Эта тема мусолится тут с момента создания форума. И большинство юзеров просто пролистывает подобное, как спам.
Re: Не работает сеть (не пингуется шлюз)
Добавлено: 24 ноя 2018, 13:27
vladislav.granovskiy
человек даже особо не хочет пытать разобраться в этом...
что бы понять что не так отключите фаервол
после добавте основные правила
в самом низу дроп всего
создайте правило логов.
после этого станет понятно что блокируется.
Re: Не работает сеть (не пингуется шлюз)
Добавлено: 24 ноя 2018, 13:55
Suxo
vladislav.granovskiy писал(а): ↑24 ноя 2018, 13:27
человек даже особо не хочет пытать разобраться в этом...
что бы понять что не так отключите фаервол
после добавте основные правила
в самом низу дроп всего
создайте правило логов.
после этого станет понятно что блокируется.
То, что я не хочу разобраться, это исключительно ваше, в данном случае некомпетентное, мнение. Я позавчера вообще не представлял, что и как. Я прочел несколько статей на хабрахабре из курса "Сети для самых маленьких". Я нашел два достаточно свежих руководства по настройке, которые мне подходят (там рассматривается случай с pptp). Я прочел несколько статей из wiki mikrotik. Все это вылилось в текущий конфиг. Да, он пока не работает как нужно и он не идеален, я не питаю иллюзий. Но я учусь. Сомневаюсь, что вы с первого дня все настроили правильно и жили счастливо. Так что не надо с больной головы на здоровую перекладывать.
А по поводу правил firewall. Я оставил только маскарадинг и разрешил вообще все во всех цепочках - итог тот же. Буду пробовал добавлять комментарии для отслеживания в логах причин.
Re: Не работает сеть (не пингуется шлюз)
Добавлено: 24 ноя 2018, 13:59
Suxo
podarok66 писал(а): ↑24 ноя 2018, 12:17
Вы знаете, скорее всего с вами не будут общаться завсегдатаи. Только новички. И причина проста - Вы путаете причину и следствие. Количество правил в фаерволе, работа или не работа какого-то сервиса - следствие. А причина, отсутствие базовых знаний. Почитайте, как работает фаервол в Микротике, его базовые принципы. Посмотрите, как идут пакеты. И ответ окажется на поверхности. Оказывается вы запретили всё, но не разрешили нужное до этого.
Эта тема мусолится тут с момента создания форума. И большинство юзеров просто пролистывает подобное, как спам.
В общем-то на ваше сообщение ответ тот же, что и на сообщение ниже. Не все с первого дня стали разбираться и уметь настраивать такую сложную систему. Я тоже сторонник более фундаментального подхода к изучению вопроса. Дело только в том, что применительно к микротик информация по настройке и устройству или представлена в виде готовых howto без особого пояснения, или представлена в wiki, где нужно знать, что искать и что читать, а знание, как ни странно, приходит уже с пониманием процесса, а где это понимание получить - не понятно, или в платных курсах с сертификатами от микротик, которые мне, как домашнему пользователю, не нужны вовсе. В итоге я перебиваюсь статьями с хабра и уже переваренной информацией от других людей. Если вы обладаете источником информации, который комплексно охватывает процесс устройства и настройки, пожалуйста, выложите ссылку. А лучше вообще тему с этой информацией закрепить.
Re: Не работает сеть (не пингуется шлюз)
Добавлено: 24 ноя 2018, 17:59
vladislav.granovskiy
начните все сначало,
сбросьте все настройки
создайте бридж
создайте дшсп сервер
создайте подключение к инету
настройте нат
После этого всего все должно работать (если нет, то где то что то не так выше)
и только после этого настраивайте фаервол
Re: Не работает сеть (не пингуется шлюз)
Добавлено: 24 ноя 2018, 22:50
podarok66
Так, хорошо. Если вы начинаете с нуля, ну так с нуля и начинайте. То есть в правилах фаервола только дефолтные правила плюс дроп на 53 порт на инпуте. Зачем там у вас дропы на форварде почти по всему диапазону портов и вдобавок аутпут дропнутый?
Я давно уже вожусь с этими чудесными железками. Так вот в home-секторе при настройке я чаще всего вообще оставляю established, related в аксцессе и дроп на 53 порт по tcp и по udp. Всё остальное только по дополнительному заказу и за отдельные деньги. И честно предупреждаю, что каждый мой вызов стоит денег (открыть порт, настроить работу какой-то программулины) Практически никому этот весь спектр оказывается не нужен. Ну за исключением параноиков, но тех не убеждать, тех лечить надо. Это к доктору.
Вот если самостоятельно настраиваете, предлагаю сделать в фаерволе то же самое. Три правила. Проверяем работоспособность соединения. Потом начинаем урезать до того самого предела, когда перестаёт работать что-то нужное.
А аутпут вы всё же откройте, хотя бы до окончания настроек. Последним будете этот чудной шаг совершать...
Re: Не работает сеть (не пингуется шлюз)
Добавлено: 01 дек 2018, 12:33
Suxo
vladislav.granovskiy, podarok66,
благодарю за советы. Прошу прощения что долго не отвечал, в будни некогда этим заниматься.
Итак, я заново начал настройку, как советовали. Сбросил все, удалил дефолтную конфигурацию. Провел основную настройку (bridge, dhcp server, address pool, pptp, некоторые советы
отсюда) и включил в firewall только маскарадинг в nat без прочих условий. Соединение появилось.
Я еще почитал несколько статей по iptables и поправил свою прошлую конфигурацию:
Код: Выделить всё
/ip firewall filter
add action=drop chain=input comment="[INPUT] Drop invalid" connection-state=\
invalid
add action=accept chain=input comment="[INPUT] Allow est, rel" \
connection-state=established,related
add action=accept chain=input comment="[INPUT] Allow icmp" protocol=icmp
add action=accept chain=input comment="[INPUT] Allow not invalid from lan" \
connection-state=!invalid src-address=192.168.77.0/24
add action=accept chain=forward comment=\
"[FORWARD] Allow rel, est from pptp to lan" connection-state=\
established,related in-interface=pptp1 out-interface=bridge-lan
add action=accept chain=forward comment=\
"[FORWARD] Allow not invalid from lan to pptp" connection-state=!invalid \
in-interface=bridge-lan out-interface=pptp1
add action=accept chain=forward comment=\
"[FORWARD] Allow not invalid from lan to prov. lan" connection-state=\
!invalid in-interface=bridge-lan out-interface=ether1
add action=accept chain=forward comment=\
"[FORWARD] Allow est, rel from prov. lan to lan" connection-state=\
established,related in-interface=ether1 out-interface=bridge-lan
add action=drop chain=input comment="[INPUT] Drop everything else"
add action=drop chain=forward comment="[FORWARD] Drop everything else" log=yes \
log-prefix="[F drop]"
/ip firewall nat
add action=masquerade chain=srcnat
С такой конфигурацией все работает. Я написал везде комментарии в соответствии с тем, как понял, что я сделал. В итоге, я блокирую весь входящий на роутер трафик, кроме установленных и связанных соединений и icmp, из всех сетей, но разрешаю любые валидные подключение из моей локальной сети. Я разрешаю установленные и связанные соединения для транзица из локальной сети провайдера/интернета в мою локальную сеть и разрешаю любые валидные соединения для транзита из моей локальньной сети в локальную сеть провайдера/интернет. Все исходящие соединения роутера я пока оставил разрешенными, о целесообразности каких-либо правил я пока не читал. Все остальное запрещено. Было бы здорово получить ваше мнение о такой конфигурации для домашнего роутера. Заранее благодарен.