+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Ошибка настройки шлюзового роутера, DHCP-клиенты не получают адреса, DNS работает с перебоями.

Ошибка настройки шлюзового роутера, DHCP-клиенты не получают адреса, DNS работает с перебоями., RouterOS

bajzaadmin

Guest

24.10.2017 08:39:00

#ОБНОВЛЕННЫЙ ОП с финальным экспортом, «дело закрыто»! /20180122/ Всем привет! В итоге правила файрвола пошли лесом. Управление IP будет решаться уже по сервисному принципу. Закрываю тему, спасибо всем, кто пытался помочь! С уважением, IBR
\ software id = 5IAZ-WMI5
model = 2011UiAS
serial number = 724F066F9C98

/interface ethernet
set [ find default-name=ether1 ] comment=WAN mac-address=*********************
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] comment=LAN
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether10 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes

/interface ethernet switch port
set 6 !egress-rate !ingress-rate
set 7 !egress-rate !ingress-rate
set 8 !egress-rate !ingress-rate
set 9 !egress-rate !ingress-rate
set 10 !egress-rate !ingress-rate
set 12 !egress-rate !ingress-rate

/ip pool add name=dhcp_pool_1 ranges=192.168.249.1-192.168.251.254

/ip dhcp-server add address-pool=dhcp_pool_1 disabled=no interface=ether5 lease-time=2d10m name=dhcp1

/ip neighbor discovery-settings set discover-interface-list=!dynamic

/ip address add address=192.168.248.1/22 interface=ether5 network=192.168.248.0

/ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1

/ip dhcp-server network add address=192.168.248.0/22 dns-server=193.110.57.4,8.8.8.8 gateway=192.168.248.1

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.248.0/22

/ip service set telnet disabled=yes set www disabled=yes set api disabled=yes set winbox address=192.168.248.0/22 set api-ssl disabled=yes

/system clock set time-zone-name=Europe/Budapest

/system identity set name=MF-M-GW

/system ntp client set enabled=yes server-dns-names=pool.ntp.org,3.hu.pool.ntp.org

bajzaadmin Guest	#2 0 08.11.2017 08:06:00 Отлично, займусь этим завтра днем, но твоя логика кажется вполне безупречной.

bajzaadmin

Guest

09.11.2017 16:01:00

Я проверил все, что вы мне советовали, но всё без изменений. Публикую тут свежий экспорт конфига:

oct/24/2017 18:46:40 от RouterOS 6.39.2
software id = 5IAZ-WMI5

/interface ethernet
set [ find default-name=ether2 ] mac-address=F0:79:59:EB:9B:98 name=Eth2_WAN1_DIGI
set [ find default-name=ether5 ] name=Eth5_LAN

/ip pool
add name=dhcp_pool1 ranges=192.168.100.2-192.168.255.254

/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 always-broadcast=yes disabled=no interface=Eth5_LAN lease-time=1w3d name=DHCP_server1

/ip address
add address=192.168.0.1/16 comment=LAN interface=Eth5_LAN network=192.168.0.0

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=Eth2_WAN1_DIGI

/ip dhcp-server network
add address=192.168.0.0/16 gateway=192.168.0.1 netmask=16

/ip dns
set allow-remote-requests=yes

/ip firewall address-list
add address=192.168.1.24 list=AdminHosts
add address=192.168.3.3 list=AdminHosts
add address=192.168.3.2 list=AdminHosts
add address=192.168.3.1 list=AdminHosts
add address=192.168.3.4 list=AdminHosts
add address=192.168.3.5 list=AdminHosts
add address=192.168.3.6 list=AdminHosts

/ip firewall filter
add action=accept chain=input comment="Разрешить установленные и сопряжённые подключения" connection-state=established,related in-interface=Eth5_LAN
add action=accept chain=input comment="Разрешить ICMP с LAN на роутер" in-interface=Eth5_LAN protocol=icmp
add action=accept chain=input comment="Разрешить порт 53 UDP" dst-port=53 in-interface=Eth5_LAN protocol=udp
add action=accept chain=input comment="Разрешить порт 53 TCP" dst-port=53 in-interface=Eth5_LAN protocol=tcp
add action=accept chain=input comment="Разрешить порт 67 UDP" dst-port=67 in-interface=Eth5_LAN protocol=udp
add action=accept chain=input comment="Разрешить порт 67 TCP" dst-port=67 in-interface=Eth5_LAN protocol=tcp
add action=accept chain=input comment="Разрешить порт 68 UDP" dst-port=68 in-interface=Eth5_LAN protocol=udp
add action=accept chain=input comment="Разрешить порт 68 TCP" dst-port=68 in-interface=Eth5_LAN protocol=tcp
add action=accept chain=input comment="Разрешить адресам AdminHosts доступ к роутеру" in-interface=Eth5_LAN src-address-list=AdminHosts
add action=drop chain=input comment="Отклонить остальные входящие запросы!"
add action=fasttrack-connection chain=forward comment="быстрый трек сопряжённых подключений" connection-state=established,related
add action=accept chain=forward comment="быстрый трек сопряжённых подключений" connection-state=established,related
add action=accept chain=forward comment="Пропускать пакеты из LAN" out-interface=Eth2_WAN1_DIGI
add action=drop chain=forward comment="Отклонять остальные форвард запросы!"
add action=accept chain=input comment="Разрешить DHCP и DNS UDP" disabled=yes dst-port=53,67,68 in-interface=Eth5_LAN protocol=udp
add action=accept chain=input comment="Разрешить DHCP и DNS TCP" disabled=yes dst-port=53,67,68 in-interface=Eth5_LAN protocol=tcp

/ip firewall nat
add action=masquerade chain=srcnat out-interface=Eth2_WAN1_DIGI

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2200
set api disabled=yes
set api-ssl disabled=yes

/system clock
set time-zone-name=Europe/Budapest

/system identity
set name=MF-M-GW

/system logging
add disabled=yes topics=dns
add disabled=yes topics=dhcp

/system ntp client
set enabled=yes server-dns-names=pool.ntp.org, 3.hu.pool.ntp.org

/tool sniffer
set file-name=packetsni9ffere filter-interface=Eth5_LAN filter-mac-address=DC:0E:A1:DF:F5:3E/FF:FF:FF:FF:FF:FF

Также вот ссылка на пост в imgur с моими неудачами в роли статического и DHCP-клиента, там же видно, что DNS тоже не работает: https://imgur.com/a/Rzoj5

Спасибо заранее за помощь!
С уважением, IBR

bajzaadmin

Guest

14.11.2017 08:33:00

Я не хочу поднимать эту тему снова, но есть кто-нибудь, кто понимает, почему у меня не работает эта базовая конфигурация? Думаю, проблема в правилах фильтрации, но вроде бы всё в порядке. Может, дело в неисправном железе?

giorgiop

Guest

14.11.2017 15:33:00

Я бы посоветовал тебе отключить правила и включать их по одному, чтобы понять, что именно происходит. Возможно, проблема в каком-то параметре, но сейчас я не у лаборатории, чтобы воспроизвести твою настройку и разобраться

Я вернусь на выходных и тогда займусь этим детальнее.

bajzaadmin Guest	#6 0 15.11.2017 08:27:00 Ты просто супер, приятель, спасибо! Дело в том, что я делал это пару недель назад, и ничего не работало, пока я не отключил правило фильтра «add action=drop chain=input comment=» Drop all else input requests !»».

bajzaadmin Guest	#7 0 18.11.2017 11:32:00 Sby сказал, что мне нужно переместить правило фильтра «add action=drop chain=input» после правил, разрешающих форвард, есть у кого-то мысли по этому поводу?

blajah

Guest

18.11.2017 18:38:00

Порядок правил файрвола имеет смысл только тогда, когда вы смотрите на набор правил конкретной цепочки. Если вы смешиваете порядок цепочек с глобальным порядком, нам будет сложнее вам помочь. Ваше правило по умолчанию «запретить» должно быть последним при просмотре набора правил для цепочки INPUT. Самый простой способ отфильтровать правила — через winbox. В правом углу есть выпадающее меню, выберите цепочку, которую редактируете, и изменяйте порядок правил перетаскиванием.

giorgiop

Guest

19.11.2017 17:38:00

Я не знаю, совпадает ли порядок команд в export и winbox, поэтому пока не могу ничего сказать о текущей конфигурации. Но тебе стоит понимать, что когда пакет приходит на фаервол, ВСЕ правила проверяются по очереди, так что полезно знать, что происходит на твоём фаерволе… Например, если у тебя стоит правило drop для .0.0/24, а после него разрешение для 0.1, не жди, что это сработает. Если поставить второе правило перед первым, ты разрешишь только .0.1, а остальное просто отфильтруется. Возможно, одно из твоих правил было в неправильном «месте», хотя я и не знаю, в каком порядке правила экспортируются. Проверка порядка правил — это ОЧЕНЬ важно, так что, думаю, у тебя получилось настроить. Рад, что чуть помог (кстати, можешь оценить мои посты в системе репутации).

bajzaadmin

Guest

#10

20.11.2017 08:19:00

Привет, ребята! Извиняюсь, пока всё зависло, я ещё не успел протестировать конфиг. Позже сегодня сделаю скриншот фильтров, может, это поможет. Все правила «drop * packets» идут в конце каждой цепочки, но скриншот будет чуть позже! *Редактирую: вот обещанный скриншот моих правил фильтрации: https://imgur.com/a/nirs5 *Редактирую 17/11/22: конфиг всё ещё не работает, начинаю думать, что дело в неисправном железе...

bajzaadmin Guest	#11 0 24.11.2017 12:03:00 Повторно

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры