29.04.2018, 08:04
|
#1 (permalink) |
|
Member
Регистрация: 02.01.2012
Сообщений: 50
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Проблема с Mikrotik'ами Hap Lite, периодически отключаются от сети
Итак, имеется роутер Mikrotik HAP Lite RB941-2ND, неделю назад с ним появилась проблема, о ней позже. Я поставил вместо него другой роутер —Mikrotik Hap Lite RB941-2ND-TC, перенес на него все настройки со старого роутера с помощью функции бекапа, однако проблема осталась, роутер ведет себя аналогично. Теперь суть проблемы: включаешь роутер, все работает, спустя какое-то время, при том разное, может 10 минут, может пол часа начинаются траблы, сначала пользователей отключает от нашего сервака (подключены по RDP), потом пропадает инет, в это время если подключатся к инету через Wi-Fi, подключение зависает на "Получение IP-адреса...", далее пишет "Ошибка аутентификации". Также, если был подключен к роутеру через Winbox, он пишет "Router has been disconnect", и к нему подключиться больше нельзя. Притом бывает, что с Winbox выкинет, Вайфай отвалится а по лан-портам связь еще может быть какое-то время. Если его перезагрузить, все работает, потом проблема появляется снова. Помогите как исправить? Доп. сведения: 1. Роутер достался от прошлого сотрудинка, все настройки делались до меня и все работало, пока в один день не перестало. 2. На роутере настроено несколько VPN PPTP. 3. Не знаю важный ли момент, но через оба роутера пинг на ya.ru составляется 22-23мс, и каждый n-й пакет имеет задержку то 80мс, то 144мс, видел даже больше. 4. Ставил вместо микротиков какой-то Асус, там все работает нормально, но там далеко не все настройки как на Микротике, а точнее только поднято PPPoE подключение и все. И пинг на ya.ru стабильно 22-23мс, без всплесков. 4. При пинге шлюза, когда подключен любой микротик, задержка составляет менее 1мс, что нормально, однако один пакет из нескольких может показать пинг, например 80 мс, или даже выше. 5. Думал свитч проблемный, менял его результата 0. Напомню, роутер Асус работает нормально на любом свитче. 4. Если отключить инет и свитч от Микротика, он стабильно проработал 3 дня (больше просто не тестировал). 5. Сеть организована так: Роутер, один свитч, с занятыми 7-ю портами. Некоторые пользователи имеют доступ в локальную сеть через VPN PPTP. Если нужны еще сведения - пишите. Спасибо за любую помощь! |
|
|
|
29.04.2018, 08:04
|
|
|
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Проблемы часто повторяются и ваша не исключение, вот схожие темы Ноутбук периодически подвисает во время работы в сети проблема с отправкой сообщения в icq lite |
|
29.04.2018, 10:41
|
#2 (permalink) |
|
Специалист
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
|
Если вы взяли бэкап в files то такой бэкап содержит точную копию всех настроек роутера, включая макадреса и т.д. и разворачиваться такой бэкап должен только на идентичный рутер.
Без текстового конфига гадать можно бесконечно.Вы сисадмин? Что рутер пишет в логах, после падения? Или после падения он уже не доступен? Во время падения он пингается? Прошивка последняя? |
|
|
|
|
29.04.2018, 18:37
|
#3 (permalink) | |||
|
Member
Регистрация: 02.01.2012
Сообщений: 50
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Цитата:
Цитата:
Код:
# apr/17/2018 11:08:06 by RouterOS 6.41
# software id = 7Z71-CVJC
#
# model = RouterBOARD 941-2nD
# serial number = 7DE307B119D1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=wlan \
wireless-protocol=802.11
/interface bridge
add admin-mac=000 arp=proxy-arp auto-mac=no name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=000 name=000
set [ find default-name=ether2 ] rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether3 ] name=switch
/interface pppoe-client
add add-default-route=yes disabled=no interface=000 name=000 password=\
000 use-peer-dns=yes user=000
/interface l2tp-server
add name=000 user=000
add name=r000 user=r000
/interface pptp-server
add name=C000 user=C000
add name=C000 user=C000
add name=s000 user=s000
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=000 \
wpa2-pre-shared-key=000
/ip pool
add name=LAN ranges=000.000.0.100-000.000.0.254
add name=VPN ranges=000.000.000.2-000.000.000.254
/ip dhcp-server
add address-pool=LAN disabled=no interface=bridge lease-time=1d name=bridge
/ppp profile
add bridge=bridge change-tcp-mss=yes incoming-filter="" local-address=\
000.000.000.1 name=VPN only-one=yes remote-address=VPN
add bridge=bridge change-tcp-mss=yes local-address=000.000.000.1 name=VIP \
only-one=yes remote-address=VPN
/interface l2tp-client
add allow-fast-path=yes connect-to=00.000.000.195 disabled=no name=000k \
password=0000r profile=default user=00000
/system logging action
set 1 disk-file-count=3 disk-lines-per-file=10000
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=switch
add bridge=bridge interface=ether4
add bridge=bridge interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=all
/interface detect-internet
set detect-interface-list=WAN lan-interface-list=LAN
/interface l2tp-server server
set default-profile=VPN enabled=yes
/interface list member
add interface=bridge list=LAN
add interface=000 list=WAN
add interface=000 list=WAN
/interface pptp-server server
set default-profile=VPN enabled=yes
/ip accounting
set enabled=yes
/ip address
add address=000.000.000.1/24 comment=defconf interface=bridge network=\
000.000.000.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=LDS
/ip dhcp-server lease
add address=000.000.000.72 always-broadcast=yes mac-address=000 \
server=bridge
add address=000.000.000.74 mac-address=000 server=bridge
add address=000.000.000.71 mac-address=0000 server=bridge
add address=000.000.000 mac-address=000 server=bridge
add address=000.000.000 always-broadcast=yes mac-address=0000 \
server=bridge
/ip dhcp-server network
add address=000.000.0000/24 comment=LAN gateway=000.000.000.1
add address=000.000.000.0/24 comment=VPN dns-server=000.000.000.1 gateway=\
000.000.000.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
protocol=tcp src-address-list=pptp_stage1
/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none \
out-interface=!bridge
add action=dst-nat chain=dstnat comment=Redmine dst-port=80 \
in-interface-list=WAN protocol=tcp to-addresses=000.000.000 to-ports=80
add action=dst-nat chain=dstnat comment=RDP dst-port=6 in-interface=!bridge \
protocol=tcp to-addresses=000.000.000 to-ports=3389
add action=dst-nat chain=dstnat comment=Ftp_Install dst-port=21 \
in-interface-list=WAN protocol=tcp to-addresses=000.000.000.70 to-ports=21
add action=dst-nat chain=dstnat comment="RDP 000" dst-port=12850 \
in-interface-list=WAN protocol=tcp to-addresses=000.000.000.70 to-ports=\
12850
add action=dst-nat chain=dstnat comment="RDP 000r" dst-port=156 \
in-interface-list=WAN protocol=tcp to-addresses=000.000.000 to-ports=\
3389
add action=dst-nat chain=dstnat comment="RDP 000m" dst-port=71 \
in-interface-list=WAN protocol=tcp to-addresses=000.000.000 to-ports=\
3389
add action=dst-nat chain=dstnat comment="RDP 000р" dst-port=72 \
in-interface-list=WAN protocol=tcp to-addresses=000.000.000 to-ports=\
3389
add action=dst-nat chain=dstnat comment="RDP 00ey" dst-port=73 \
in-interface-list=WAN protocol=tcp to-addresses=192.168.5.73 to-ports=\
3389
add action=dst-nat chain=dstnat comment="RDP 0a" dst-port=74 \
in-interface-list=WAN protocol=tcp to-addresses=000.000.000.74 to-ports=\
3389
add action=dst-nat chain=dstnat comment=Torrent dst-port=10001 protocol=tcp \
to-addresses=000.000.000.6 to-ports=10001
add action=dst-nat chain=dstnat comment=Torrent dst-port=10001 protocol=udp \
to-addresses=000.000.000.6 to-ports=10001
add action=dst-nat chain=dstnat comment=CommFort dst-port=9750 \
in-interface-list=WAN protocol=tcp to-addresses=1000.000.000.70 to-ports=\
9750
add action=dst-nat chain=dstnat comment=CommFort dst-address=9000.000.000 \
in-interface-list=!WAN protocol=tcp src-address=000.000.000/16 \
to-addresses=000.000.000
add action=masquerade chain=srcnat comment=CommFort dst-address=000.000.000 \
protocol=tcp
add action=dst-nat chain=dstnat dst-port=25 protocol=tcp to-addresses=\
000.000.000 to-ports=25
/ip proxy
set enabled=yes port=888 serialize-connections=yes src-address=0.0.0.0
/ip route
add distance=1 dst-address=000.000.0000/24 gateway=000.000.000.50
add distance=1 dst-address=000.000.0008.0/24 gateway=0000
add distance=1 dst-address=000.000.0009.0/24 gateway=000.000.000.254
add distance=1 dst-address=000.000.0000.0/24 gateway=000.000.000.253
/ip service
set telnet disabled=yes port=2323
set ftp port=2121
set www disabled=yes port=8080
set ssh disabled=yes port=2222
set api disabled=yes
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=0000t type=external
add interface=bridge type=internal
add interface=rt000 type=internal
/ppp secret
add name=0 password=0 profile=VPN
add name=0 password=0 profile=VPN
add name=0 password=0 profile=VPN
add name=0 password=0R profile=VPN
add name=0 password=0 profile=VIP
add name=R00_00 password=A0 profile=VPN
add name=rtdmn password=0 profile=VIP remote-address=\
000.00.100.00
add name=0 password=saxsafon profile=VPN remote-address=0.0.0.0
add name=C0R password=0 profile=VPN remote-address=0.0.0.0
add name=C00R password=0 profile=VPN remote-address=\
0.0.0.0
add name=0n password=C0 profile=VPN remote-address=\
0.0.0.0
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system identity
set name=Most
/system logging
set 0 action=disk
set 1 action=disk
set 2 action=disk
set 3 action=disk
/system ntp client
set enabled=yes primary-ntp=0.0.0.0 secondary-ntp=0.0.0.00 \
server-dns-names=прпрпрпрпр
/system routerboard settings
set cpu-frequency=750MHz
/tool graphing interface
add interface=00
add interface=00_Inet
add interface=bridge
add interface=ether2
add interface=switch
add interface=wlan1
add interface=ether4
add
/tool graphing queue
add
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Сейчас обратил внимание на: /ppp secret add name=0 password=0 profile=VPN add name=0 password=0 profile=VPN add name=0 password=0 profile=VPN add name=0 password=0R profile=VPN add name=0 password=0 profile=VIP add name=R00T_ADMIN password=00007 profile=VPN add name=rtdmn password=0007 profile=VIP remote-address=\ 0.0.0.00 Красными выделены логины, которыми пользовался прошлый админ, может он что-то удаленно подправил?[/SPOILER] PS: Тут стоит еще прошивка 6.41, обновлял до 6.42 - не помогло. Цитата:
На новом была прошивка 6.37, также обновлял до 6.42. |
|||
|
|
|
|
29.04.2018, 21:48
|
#4 (permalink) |
|
Специалист
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
|
черт ногу сломит в этом тексте. привык к цискарю.
куда рутер устанавливает l2tp соединение? А он перезагружается или что? Скриптов каких либо там не навешано? какие интерфейсы в интерфейс_листе WAN? Слишком подчистили конфиг, не понятно чо куда и зачем. Поставьте логгирование по всем событиям на диск, посмотрим что происходит, перед тем, как он падает. А вообще, если вы сисадмин, настройте железяку по новой с нуля. там не так и много всяких правил, причем на мой вкус сделаны они так себе. |
|
|
|
|
30.04.2018, 00:28
|
#5 (permalink) |
|
Специалист
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
|
Защита от переборщиков тоже, так себе. Долго ломал голову, что за правила такие. Сделал себе такие-же. Сижу, смотрю в динамически создаваемые листы с банами. С одного одреса пробуют логиниться раз в 5 минут. быстро ботнет обучился )
|
|
|
|
| Ads | |
|
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
 |
|
|
Линейный вид
