Работа умных устройства XIAOMI совместно с Микротик

[dmkbox]

Честно скажу, я не начинающий, но блин, притворюсь.
Есть такая штука. HAP AC lite. На нем поднят совершенно простой конфиг - роутер с 2 точками доступа.
Фаервол включен.
Есть другая штука, точнее несколько. Называется умны устройства XIAOMI. Они требую регистрации на китаайских серверах.
Так вот на совершенно простом зикселе все работает совершенно без проблем.
На микротике на этапе, когда устройство получает IP и пытается ломиться в свои китайские дебри - всегда отбой от микротика, причем где именно - не вижу.
В стаистике подключений файрвола вижу, что идет запрос от устройства по
Src. Address 192.168.1.126:4096 (смарт устройство)
Dst. Address 8.8.8.8:53 (ломится к ДНС)
Reply Src. Address 8.8.8.8:53 (получает ответ от гуглосервера)
Reply Dst. Address 172.16.177.67:4096 (присылает его на динамический адрес роутера.)
Protocol 17 (udp)

Традиционный вопрос русскийЖ"Что делать?"
Я так понимаю, что ответ от днс сервера почему-то не доходит до смартустройства.
Думаю, ответ будет очень интересен не только мне.

[vqd]

Традиционный вопрос русскийЖ"Что делать?"
Я так понимаю, что ответ от днс сервера почему-то не доходит до смартустройства.
Думаю, ответ будет очень интересен не только мне.

Смотреть конфиг ответ. Ибо лично у меня хиоми, у знакомых хиоми и вообще на сети пара сотен хиоми и все работают без нареканий

[Vlad-2]

Комментарий для всех: Сообщение отделил от той темы, так как считаю пробросом тут пока и не "пахнет".

Честно скажу, я не начинающий, но блин, притворюсь.

Не надо притворяться, но конфига Вы не дали, логику не показали.

Есть такая штука. HAP AC lite. На нем поднят совершенно простой конфиг - роутер с 2 точками доступа.
Фаервол включен.

Пробовали отключать/минимизировать правила?

На микротике на этапе, когда устройство получает IP и пытается ломиться в свои китайские дебри - всегда отбой от микротика, причем где именно - не вижу.
В стаистике подключений файрвола вижу, что идет запрос от устройства по
Src. Address 192.168.1.126:4096 (смарт устройство)
Dst. Address 8.8.8.8:53 (ломится к ДНС)
Reply Src. Address 8.8.8.8:53 (получает ответ от гуглосервера)

Не может ответ приходить с того же порта (обычно ответ идёт с рандомного порта)

Традиционный вопрос русскийЖ"Что делать?"

Показать пинг/трасерт с телефона, убедиться в работе других ссылок/сайтов/программ.
Опять же, если работают всё другое, как может роутер быть виноватым?

Я так понимаю, что ответ от днс сервера почему-то не доходит до смартустройства.
Думаю, ответ будет очень интересен не только мне.

У меня только вопросы:
1) ДНС на микротике включён
2) на смартфоне задан какой ДНС
3) адресация получает смартфон как (статика/DHCP)
4) НАТ как прописан (полный/явный)
5) Провайдер новый/свежий? Ограничений/привязак к МАКу нету на WAN'е ?

P.S.
Вы 2 сообщения запостили, второе сообщения было в этой теме: viewtopic.php?f=3&t=9656&start=10
так в той теме, я сразу предложил ТС у провайдера узнать и задать вопросы, и уже на второй
странице мы выяснили, что у провайдера адрес был у клиента из другой области и в каком-то чёрном списке.
Как итог: виноват был провайдер, но никак не роутер.

Поэтому говорить что виноват микротик, не показав ни конфиг, не то как Вы настроили,
что там у Вас и какая версия прошивки в том числе = как-то слишком преждевременно и даже
слегка нагло.
Давайте инженерно, технически будет изучать и прийдём к заключению.

[dmkbox]

Спасибо за формирование отдельного поста.
Я сейчас не дома. Но Сразу могу сказать - точно дело не в провайдере и не в китайских серверах.
ПРосто перетыкая роутер - меняя его на зихель - получаю стабильную регистрацию устройств. ПОдчеркиваю, на этом же кабеле! ЗИКСЕЛЮ принудительно даю МАК от МИКРОТИКА, так что даже это можно исключить, бан по маку.
Ночью победил лампоку умную. Прочел, что проблемы с ними возникают из-за неудачного кэширования ДНС адресов в микротике. Принудительно в DHCP прописал публичные ДНС вместо адреса роутера. Лампочка немедленно зарегистрировалась.
С увлажнителем проблема осталась. Логи предоставлю позже. Файервол я вообще выключил. Не помогает.
Но проблема не только у меня такая и именно с микротиком.
И да, я готов изучать вопрос, тк его решение поможет многим страждущим.

Вот нашел у себя вчерашний пинг до сяомной апи
Pinging api.io.mi.com [124.251.58.87] with 32 bytes of data:
Reply from 124.251.58.87: bytes=32 time=389ms TTL=39
Reply from 124.251.58.87: bytes=32 time=383ms TTL=39
Reply from 124.251.58.87: bytes=32 time=374ms TTL=39
Reply from 124.251.58.87: bytes=32 time=361ms TTL=39

Ping statistics for 124.251.58.87:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 361ms, Maximum = 389ms, Average = 376ms

[Vlad-2]

Спасибо за формирование отдельного поста.

Не за что. Тема порой актуальная, так как второй раз поднимается.

Я сейчас не дома. Но Сразу могу сказать - точно дело не в провайдере и не в китайских серверах.

Ну я же просил не быть так многоутверждающим. Доказательств нету, Вы не дома, роутер не под рукой,
и опять же, завели тему тут, немного конечно странно, как ни как у нас технический форум, заводить
тему, и без технический показаний, без доступа к роутера ..... тут я лично могу сказать что это
вверх не серьёзно даже.

ПРосто перетыкая роутер - меняя его на зихель - получаю стабильную регистрацию устройств. ПОдчеркиваю, на этом же кабеле! ЗИКСЕЛЮ принудительно даю МАК от МИКРОТИКА, так что даже это можно исключить, бан по маку.

Много раз было, и есть такие провайдеры, что при смене роутера, часть ресурсов доступно, а часть нет.
Или иные бывают нюансы, клонирование МАКов тоже не всегда помогает. Провайдеру тоже умны,
и хитрят по-разному. Видимо есть нюансы, при подключении к Вашему провайдеру?
Может надо MTU руками подкручивать, или ещё что-то делать?
Вы даже не описали тип подключения, тип протокола, адресация какая?

Ночью победил лампоку умную. Прочел, что проблемы с ними возникают из-за неудачного кэширования ДНС адресов в микротике. Принудительно в DHCP прописал публичные ДНС вместо адреса роутера. Лампочка немедленно зарегистрировалась.

Поэтому пункту ещё раз повторюсь:
1) ДНС у микротика работает хорошо
2) ДНС микротика можно настраивать (увеличить размер кеша, задердку получения ответа и ещё ряд параметров)
Так что тут проблем нету.

Второй нюанс:
Я спросил, Включили Вы ДНС ? и как Вы настроили ДНС в микротике? :
а) Вы включили (галочку поставили) чтобы микротик работал в качестве "отвечающего" ДНСа для Вас?
(слово отвечающего специально поставил в кавычки, поясняю, микротик взял от Вашего провайдера
ДНСы(тоже это надо включать/настраивать), кешируют запросы внутри себя, но не отдаст ничего пока Вы не включите это)
б) Я сразу спросил, какой ДНС задан на смартфоне(на Вашей лампочке?) Если Вы не смогли/не настроили
ДНС (через DHCP), так задайте руками его прямо в устройстве? Что мешало внутри задать в
качестве ДНСа 8.8.8.8 ?
Опять же = нет данных и нет ответов от Вас.

И да, я готов изучать вопрос, тк его решение поможет многим страждущим.

Я готов помогать, но я хочу видеть инженерный подход, а не только сочинения,
хотя и люблю когда подробно описывают, но выкладки конфигов, как настроено,
как идут трассерты, пинги, что и как сделано = тоже надо показывать.
Я пока вижу, что Вы путаете понятия ДНС-клиента, ДНС-сервера и ДНС-кеширования.
Не до конца или вовсе не настроили ДНС сущность в микротике, и/или для Ваших локальных
клиентов.
И не показали как вообще настроили Микротик. И плаваете в сетевых моментов.

Вот нашел у себя вчерашний пинг до сяомной апи
Pinging api.io.mi.com [124.251.58.87] with 32 bytes of data:
Reply from 124.251.58.87: bytes=32 time=389ms TTL=39

Даже я знаю (не имея ничего из XIAMI), что у адреса api.io.mi.com два IP, делаем из под линукса:

Код: Выделить всё

dig -t A api.io.mi.com @8.8.8.8

и видим ДВА адреса:

Код: Выделить всё

;; ANSWER SECTION:
api.io.mi.com.          179     IN      A       183.84.6.21
api.io.mi.com.          179     IN      A       124.251.58.87

Код: Выделить всё

ping 183.84.6.21
PING 183.84.6.21 (183.84.6.21) 56(84) bytes of data.
64 bytes from 183.84.6.21: icmp_seq=1 ttl=47 time=72.1 ms
64 bytes from 183.84.6.21: icmp_seq=2 ttl=47 time=72.0 ms

Код: Выделить всё

ping 124.251.58.87
PING 124.251.58.87 (124.251.58.87) 56(84) bytes of data.
64 bytes from 124.251.58.87: icmp_seq=1 ttl=48 time=91.5 ms
64 bytes from 124.251.58.87: icmp_seq=2 ttl=48 time=91.4 ms

Сравните сами. Считаю что с одним сервером бывают проблемы, с другим нет.
Может из-за этого и весь сыр-бор?

P.S.
При смене роутара на Зуксель = Вы меняете всю сеть, устройства получают новые
внутренние адреса, всё по-другому, при такой смене - глюки обычно всегда есть.
Виндовый файрвол сразу блокирует такое нововведение. Аккуратно с такими экспериментами.

[dmkbox]

Ну я же просил не быть так многоутверждающим. Доказательств нету, Вы не дома, роутер не под рукой,
и опять же, завели тему тут, немного конечно странно, как ни как у нас технический форум, заводить
тему, и без технический показаний, без доступа к роутера ..... тут я лично могу сказать что это
вверх не серьёзно даже.

Извините, я просто был на работе, и не думал что так быстро отреагируют на мой вопрос. Поэтому поспешил ответить.
Прошу меня извинить, я действительно не глубоких познаний в архитектуре Routerboard OS. Но базовые знания есть и есть умение их интерпретировать. Хотя основной род деятельности - SFX для анимации. Сделайте скидку на это, пожалуйста.

Много раз было, и есть такие провайдеры, что при смене роутера, часть ресурсов доступно, а часть нет.
Или иные бывают нюансы, клонирование МАКов тоже не всегда помогает. Провайдеру тоже умны,
и хитрят по-разному. Видимо есть нюансы, при подключении к Вашему провайдеру?
Может надо MTU руками подкручивать, или ещё что-то делать?
Вы даже не описали тип подключения, тип протокола, адресация какая?

Провайдер у меня - эксдомовая сеть Ринет. Привязка по мак, динамический IP, никаких PPTP PPOE и тд.
Порты все открыты. Такая настройка есть в ЛК.

Поэтому пункту ещё раз повторюсь:
1) ДНС у микротика работает хорошо
2) ДНС микротика можно настраивать (увеличить размер кеша, задердку получения ответа и ещё ряд параметров)
Так что тут проблем нету.

Второй нюанс:
Я спросил, Включили Вы ДНС ? и как Вы настроили ДНС в микротике? :
а) Вы включили (галочку поставили) чтобы микротик работал в качестве "отвечающего" ДНСа для Вас?
(слово отвечающего специально поставил в кавычки, поясняю, микротик взял от Вашего провайдера
ДНСы(тоже это надо включать/настраивать), кешируют запросы внутри себя, но не отдаст ничего пока Вы не включите это)
б) Я сразу спросил, какой ДНС задан на смартфоне(на Вашей лампочке?) Если Вы не смогли/не настроили
ДНС (через DHCP), так задайте руками его прямо в устройстве? Что мешало внутри задать в
качестве ДНСа 8.8.8.8 ?
Опять же = нет данных и нет ответов от Вас.

ДНС микротика я настраивал, естественно увеличивал таймауты, кэш менял, флашил и тд.

ДНС всключен и настроен так
Servers 8.8.8.8

Dynamic Servers
195.54.192.39
195.54.192.33

Allow Remote Requests (да)
Max UDP Packet Size 4096
Query Server Timeout 20.000s
Query Total Timeout 30.000s
Max. Concurrent Queries 100
Max. Concurrent TCP Sessions 20
Cache Size 60000
KiB
Cache Max TTL 01:00:00
Cache Used 23 KiB

ДНС в смартфоне автоматом прописываются в зависимости от значения Servers 8.8.8.8
Увы, лампочка не имеет доступа к настройкам, иначе бы мб моего поста не было бы. Но судя по логам она тоже получила 8.8.8.8
И увлажнитель, с которым проблема - тоже. Но он никак не регистрируется на сервере ксиаоми. Вот в чем дело!

Не до конца или вовсе не настроили ДНС сущность в микротике, и/или для Ваших локальных
клиентов.
И не показали как вообще настроили Микротик. И плаваете в сетевых моментов.

Да, могу плавать. Но в остальном то проблем нет, работает все что есть в сети, это 3 компа, смартфоны, умные телевизоры.

хотя и люблю когда подробно описывают, но выкладки конфигов, как настроено,
как идут трассерты, пинги, что и как сделано = тоже надо показывать.

Поясните, что именно и как выцепить - я предоставлю.
Хотя настройка простая. 2 беспроводных интерфейса в бридже с лан портами, Wan ом
WAN на первом порту. Включен NAT. FIrewall включен, выключен. Влиния не заметил. Да и в правилах все разрешено.
DHCP сервер раздает адреса из стандартного пула 192.168.1.10-254 -

Address 192.168.1.0/24
Gateway 192.168.1.1
Netmask 24
No DNS (галка снята)
DNS Servers 8.8.8.8
8.8.4.4

Сюда писал и китайские днс - без толку.

При смене роутара на Зуксель = Вы меняете всю сеть, устройства получают новые
внутренние адреса, всё по-другому, при такой смене - глюки обычно всегда есть.
Виндовый файрвол сразу блокирует такое нововведение. Аккуратно с такими экспериментами.

Винда вообще в процессе не участвует.
Авторизация происходит в приложении андроида.
Выглядит это так - девственное устройство соединяется непосредственно с телефоном по своему ad-hoc, получает у него авторизацию в активной WIFI сети и далее оно уже автономно регистрируется на роутере, получает свои адреса и ломится в китай за авторизацией и скачкой плагина для себя. Так вот большинство устройств преодолевают этот этап, а вот увлажнитель или робот - отваливаются на нем.
Как отследить их активность в этот момент - пока не понимаю, разве что в статистике соединений фаервола - то что я выложил в начале поста.
Зухель работает в том же адресном пространстве. Сейчас подрубил тенду - тоже сразу все авторизовалось. Микротик по-прежнему не сдается.

Скажите, что нужно опубликовать из конфигов - сделаю.

[Vlad-2]

1) ответил я быстро, ибо я с Камчатки, и живу на 9 часов вперёд (относительно материковской России)
2) скидку делаю, что Вы не инженер, но уж начали, то держитесь
3) давайте Вы сделаете пункт 5 (вверху темы, красным на красном описано). И я, посмотрю как
вообще настроен роутер, может есть нюансы....

А там уже будет думать....пока технической информации очень очень мало!

P.S.
адрес Вы сказали провайдер даёт динамический, а какой именно?
(внешний, белый, или ненастоящий, серый?)
Уточните этот вопрос(он важен), ибо при показе конфигурации это всегда понятно/видно

[dmkbox]

Адрес серый.
Вообще я инженер, но не по этому профилю
Сейчас файрвол включен.
VPN настраивался для доступа извне, но он не влияет на проблему.
Буду очень признателен, если найдете изьян в конфиге.

 

# jan/17/2019 03:53:01 by RouterOS 6.44beta54
# software id = YII3-E2XG
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 71AF070F75A2
/interface bridge
add admin-mac=64:D1:54:04:75:78 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full poe-out=off poe-priority=1
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode ampdu-priorities=0,1,2,3,4,5,6,7 band=2ghz-b/g/n basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps country=russia disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain ht-basic-mcs=\
mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7,mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15,mcs-16,mcs-17,mcs-18,mcs-19,mcs-20,mcs-21,mcs-22,mcs-23 mode=ap-bridge noise-floor-threshold=-110 ssid=Slo_mo_network tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=enabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=russia disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain ht-basic-mcs=mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15,mcs-16,mcs-17,mcs-18,mcs-19,mcs-20,mcs-21,mcs-22,mcs-23 ht-supported-mcs=\
mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15,mcs-16,mcs-17,mcs-18,mcs-19,mcs-20,mcs-21,mcs-22,mcs-23 mode=ap-bridge ssid=Pure_network wds-default-bridge=bridge wds-mode=dynamic wireless-protocol=802.11 wmm-support=enabled
/caps-man interface
add disabled=yes mac-address=00:00:00:00:00:00 master-interface=none name=cap1 radio-mac=00:00:00:00:00:00
/interface wireless nstreme
set wlan1 enable-polling=no
/interface ethernet switch port
set 4 vlan-header=add-if-missing
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=tkip,aes-ccm group-key-update=23h5m mode=dynamic-keys supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=********** wpa2-pre-shared-key=*********
add authentication-types=wpa-psk,wpa2-psk management-protection=allowed mode=dynamic-keys name=profile1 supplicant-identity=MikroTik wpa-pre-shared-key=*********** wpa2-pre-shared-key=********
add authentication-types=wpa-psk,wpa2-psk group-ciphers=tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=profile2 supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=************ wpa2-pre-shared-key=************
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp always-broadcast=yes disabled=no interface=bridge lease-time=23h10m name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=*E
/interface l2tp-server server
set ipsec-secret=*********** use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=192.168.1.0
/ip arp
add address=192.168.1.135 interface=bridge mac-address=7C:49:EB:17:C1:7B
add address=192.168.1.191 interface=bridge mac-address=A0:6F:AA:1C:83:37
add address=192.168.1.189 interface=bridge mac-address=D0:77:14:96:73:ED
add address=192.168.1.126 comment=z3play interface=bridge mac-address=00:1F:CE:5E:77:F5
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server config
set store-leases-disk=10h5m
/ip dhcp-server lease
add address=192.168.1.135 mac-address=7C:49:EB:17:C1:7B server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1 netmask=24
add address=192.168.1.135/32 dns-server=82.146.38.202,114.114.114.114 gateway=192.168.1.1 netmask=24 ntp-server=192.168.1.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1h cache-size=60000KiB query-server-timeout=20s query-total-timeout=30s servers=8.8.8.8
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward dst-port=34567 in-interface=ether1 out-interface=bridge protocol=tcp src-port=""
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input in-interface-list=!LAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip ipsec policy
add dst-address=192.168.1.1/32 src-address=192.168.43.252/32
/ip ssh
set allow-none-crypto=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/ppp secret
add name=vpn password=********
/system clock
set time-zone-name=Europe/Moscow
/system package update
set channel=testing
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool netwatch
add host=192.168.1.126
/tool sniffer
set filter-interface=all filter-ip-address=!192.168.1.126/32

[Vlad-2]

Адрес серый.
Вообще я инженер, но не по этому профилю
Сейчас файрвол включен.
VPN настраивался для доступа извне, но он не влияет на проблему.
Буду очень признателен, если найдете изьян в конфиге.

Честно...я в шоке

# jan/17/2019 03:53:01 by RouterOS 6.44beta54

Бета? Зачем сидеть не бета-версии???????????
Советую NetInstall'ом прошить роутер на стабильную версию,
на текучий час и день это 6.43.8 (Stable).
Повторю: прошить утилитой NetInstall'ом, а не обновить.
ЭТО Важно.

Второе: тут скажу, у Вас заводская конфигурация, заводская конфигурация
работает когда пользователь просто подключил и работает, если пользователь
хочет/интересно/любопытен = использовать заводскую конфигурацию, использовать
веб-морду, и использовать визард QuickSetup = СТРОГО не рекомендуется.!
ТОЛЬКО чистый роутер и утилита Winbox (для управления и конфигурирования)!

Код: Выделить всё

/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode ampdu-priorities=0,1,2,3,4,5,6,7 band=2ghz-b/g/n basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps country=russia disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain ht-basic-mcs=\
    mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7,mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15,mcs-16,mcs-17,mcs-18,mcs-19,mcs-20,mcs-21,mcs-22,mcs-23 mode=ap-bridge noise-floor-threshold=-110 ssid=Slo_mo_network tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=enabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=russia disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain ht-basic-mcs=mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15,mcs-16,mcs-17,mcs-18,mcs-19,mcs-20,mcs-21,mcs-22,mcs-23 ht-supported-mcs=\
    mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15,mcs-16,mcs-17,mcs-18,mcs-19,mcs-20,mcs-21,mcs-22,mcs-23 mode=ap-bridge ssid=Pure_network wds-default-bridge=bridge wds-mode=dynamic wireless-protocol=802.11 wmm-support=enabled

Зачем столько параметров в ВиФИ ?
Опять же = зачем Вы включаете все бэнды? (band=2ghz-b/g/n) = оставьте только N-only (занижаете скорость раза в 5-10)

Код: Выделить всё

/caps-man interface
add disabled=yes mac-address=00:00:00:00:00:00 master-interface=none name=cap1 radio-mac=00:00:00:00:00:00

Вы ставили CAPsMAN ????

Код: Выделить всё

/interface ethernet switch port
set 4 vlan-header=add-if-missing

Кто-то игрался со встроеным чипом коммутации и хочетл вилан4 настроить?

Код: Выделить всё

/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
add name=vpn ranges=192.168.89.2-192.168.89.255

Я так понимаю, Вы у себя РРРоЕ сервер не делаете, поэтому
адрес сетью тут не является, тогда зачем задавать 192.168.89.255 - это уже бродкаст.
И тем более наверно ВПН используется для доступа к сети?

Код: Выделить всё

/ip dhcp-server
add address-pool=dhcp always-broadcast=yes disabled=no interface=bridge lease-time=23h10m name=defconf

Ну зачем делать 23 часа аренду? Настройте всё, адресов у Вас масса в Вашей локальной сети!?!
Сделайте 20-40 минут, потом уже 2-4-6 часа. И адаптивно и удобно.

Код: Выделить всё

/interface bridge port
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=*E

Что за последняя строчка???? Что она означает?
(это глюк или когда нет то, что ранее было в бридже)

Код: Выделить всё

/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=192.168.1.0

Хоть у Вас и заводской конфиг, но адресация задаётся на бридже, если порт является
членом бриджа. Порт после вхождения в бридж является подчинённым интерфейсом.

Код: Выделить всё

/ip dhcp-server config
set store-leases-disk=10h5m

Даже я пока не могу вспомнить что это за параметр...Пока лень в мануале лезть...

Код: Выделить всё

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1 netmask=24
add address=192.168.1.135/32 dns-server=82.146.38.202,114.114.114.114 gateway=192.168.1.1 netmask=24 ntp-server=192.168.1.1

В вот тут = это шедевр: скажите мне, Вы описали в DHCP свою сеть которую он должен обслуживать, (это первая строчка),
так нафига Вы в уже описанной сети, создаёте описание отдельного узла, да ещё с кучей параметров? Тем более что далее,
второй DHCP сервер, нигде не настроен?
Вторая строка тут ни пришей к рубахе рукав...

Код: Выделить всё

/ip dns
set allow-remote-requests=yes cache-max-ttl=1h cache-size=60000KiB query-server-timeout=20s query-total-timeout=30s servers=8.8.8.8

Ну сильно тоже не надо все параметры трогать.
query-server-timeout= вот тут обычно 2 сек, я ставлю 4-5.
и query-server-timeout=4096 килобайта за глаза

Код: Выделить всё

/ip firewall filter

Скажу так - в этом разделе на чистом роутере лучше свои правила писать.

Код: Выделить всё

/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external

Я против протокола UPnP - если мы настраиваем микротик, соединения, защиту,
то и порты сможем сами пробросить. А с учётом что у Вас "серая" динамика,
то толку мало...он даже и не нужен.

Код: Выделить всё

/tool netwatch
add host=192.168.1.126
/tool sniffer
set filter-interface=all filter-ip-address=!192.168.1.126/32[/spoiler]

А тут Игрались похоже???



=== Итог: ===
1) Конфиг судя по всему не Ваш или какая-то сборная солянка.
2) Роутер настроен почти очень плохо
3) Заводская конфигурация = не всегда оптимальна
4) Главная проблема: серая адресация у Вашего провайдера, что там у
провайдера, какой адрес у Вас на момент выхода, и прочее...
Переменная с кучей неизвестных...И ещё, коли у Вас серая адресация,
у самого провайдера местами тоже может резаться доступы...
Включили микротик, провайдер Вас в один пул закинул, подключили
Зухель = получили другой серый адрес и в другой пул пошли.

Как видите, масса неизвестных.....так что тут для начала надо добиться правильной
красивой работы роутера, настройки привести к правильных или к оптимальным,
и уже потом, делать тесты, и разбираться как у нас работают клиенты, но обычно,
после правильной настройки всё сразу начинает работать в сети всё.

[dmkbox]

Честно...я в шоке

Я учился в МАТИ на специальности "Инженер РЭ для авиационной промышленности"
Увы, промышленность кончилась как и РЭ.

Зачем столько параметров в ВиФИ ?
Опять же = зачем Вы включаете все бэнды? (band=2ghz-b/g/n) = оставьте только N-only (занижаете скорость раза в 5-10)

Это была борьба за скорость (тщетно) на телефоне от Леново. Остались хвосты.
На проблему не влияет.

Вы ставили CAPsMAN ????

Да, был второй микротик. Цеплял через CAPS.

Кто-то игрался со встроеным чипом коммутации и хочетл вилан4 настроить?

Было дело, не помню для чего

Я так понимаю, Вы у себя РРРоЕ сервер не делаете, поэтому
адрес сетью тут не является, тогда зачем задавать 192.168.89.255 - это уже бродкаст.
И тем более наверно ВПН используется для доступа к сети?

ВПН не использую, 2 раза необходимость была.

Ну зачем делать 23 часа аренду? Настройте всё, адресов у Вас масса в Вашей локальной сети!?!
Сделайте 20-40 минут, потом уже 2-4-6 часа. И адаптивно и удобно.

Есть устройства в сети, которые плохо смену аренды переносят. Но вобщем, можно.

Что за последняя строчка???? Что она означает?
(это глюк или когда нет то, что ранее было в бридже)

Это действительно глюк.

В вот тут = это шедевр: скажите мне, Вы описали в DHCP свою сеть которую он должен обслуживать, (это первая строчка),
так нафига Вы в уже описанной сети, создаёте описание отдельного узла, да ещё с кучей параметров? Тем более что далее,
второй DHCP сервер, нигде не настроен?
Вторая строка тут ни пришей к рубахе рукав...

А вот это не просто бред, именно с этой строкой заработал и зарегался шлюз Xiaomi.
Это опытным путем. Без этой строки шлюз (это не описание гейта, а название устройства) не регестрируется и показывает статус офлайн.

dmkbox wrote: ↑Today, 03:51
CODE: SELECT ALL

/tool netwatch
add host=192.168.1.126
/tool sniffer
set filter-interface=all filter-ip-address=!192.168.1.126/32[/spoiler]
А тут Игрались похоже???

Да, пытался проанализировать поведение увлажнителя.



В любом случае я сейчас сделал чистый конфиг. И настроил все руками. Только версию оставил бету, но думаю это никак не влияет на проблему.
Правила файрволла настроил не сам, а по какой-то инструкции из интернета.
Увы, не помогло. Мой пылесос и увлажнитель срубаются на регистрации на сервере КСИАОМИ.
Мое мнение - нужно копать в сторону днс, но настроек там особо нет.

 

# jan/18/2019 22:06:23 by RouterOS 6.44beta54
# software id = YII3-E2XG
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 71AF070F75A2
/interface bridge
add mtu=1500 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=MyISP
set [ find default-name=ether2 ] comment=LAN
/interface wireless
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-Ceee \
disabled=no frequency=auto mode=ap-bridge name=Pure_network ssid=\
Pure_network wireless-protocol=802.11
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-Ce \
country=russia disabled=no mode=ap-bridge ssid=Slo_mo_network \
wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=beastieboys \
wpa2-pre-shared-key=beastieboys
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp authoritative=after-2sec-delay disabled=no \
interface=bridge-local lease-time=10h10m name=dhcp1
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=Pure_network
/interface list member
add interface=MyISP list=WAN
add interface=bridge-local list=LAN
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=MyISP
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=82.146.38.202,8.8.8.4,8.8.8.8 gateway=\
192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes cache-max-ttl=5m max-udp-packet-size=2048 \
query-server-timeout=10s
/ip dns static
add address=192.168.1.126 disabled=yes name=UVL
/ip firewall filter
add action=jump chain=forward in-interface=MyISP jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=drop chain=customer
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=9999 in-interface=MyISP \
new-connection-mark=allow_in passthrough=yes protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=MyISP
add action=redirect chain=dstnat dst-port=9999 in-interface=MyISP protocol=tcp \
to-ports=80
/ip upnp interfaces
add interface=MyISP type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
add interface=bridge-local type=internal
/system clock
set time-zone-name=Europe/Moscow
/system package update
set channel=testing
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >