Помогите (до)настроить роутер mikrotik

winbox == нативная рендерилка веб-интерфейса

// мимопроходил, в сетях разбираюсь незначительно, свой микротик настраивал посредством вдумчивого чтения официальной wiki

winbox == нативная рендерилка веб-интерфейса

я понимаю. Но у меня не винда какбы...

официальной wiki

тоже смотрел официальный wiki. Там черт ногу сломит

Но у меня не винда какбы...

Есть вайн. Но речь не об этом, а о том, что инструкции для winbox применимы к веб-интерфейсу без изменений.

тебе нужно маскарад добавить в /ip/firewall/nat, убери все что есть /ip/firewall/filter

спасибо, попробую

свой микротик настраивал

У тебя кеширующий DNS используется на нём? Если да, то какой ответ возвращает dig gOOGle.coM? gOOGle.coM или google.com?

google.com.

Могу также предоставить текстовый конфиг.

С этого надо было начинать. Давай /export compact.

2) Настроить маршурты. Где их добавлять нашел, но вот там есть несколько дефолтных + вообще трудно понять что к чему.

Большинство опций при добавлении нового маршрута можно не трогать, в общем случае достаточно указать dst-address и gateway.

Мда. Значит, так до сих пор и не починили. Эта принудительная смена регистра может вызвать проблемы с некоторыми DNS клиентами, которые пытаются использовать https://tools.ietf.org/html/draft-vixie-dnsext-dns0x20-00

Ни хрена ж себе костыль.

в каком состоянии роутера предоставиь конфиг?

сейчас он с default настройками (т.е. после reset configuration)

http://paste.ubuntu.com/9870478/

в каком состоянии роутера предоставиь конфиг?

Вот в этом: «1) Добавляю pptp-client. Настраиваю. Сразу после подтверждения настроек включается pptp клиент и успешно подключается (об этом свидетельствует строка статуса). Интернета нет. На локальный сайт провайдера больше не заходит».

сейчас он с default настройками (т.е. после reset configuration)
http://paste.ubuntu.com/9870478/

Зачем ты выложил дефолтный конфиг? Толсто же.

Если не трудно, зайдите в вебе или winbox под wine(желательно) в раздел terminal,
в терминале выполните export compact
вывод скопируйте целиком в текстовик, сотрите Ваши пароли по тексту (замените на XXX), во избежание, результат на посмотреть)))

P.s. Тырнета нет потому что нет nat и бридж не создали..

в каком состоянии роутера предоставиь конфиг?

сейчас он с default настройками (т.е. после reset configuration)

Девочка, ты все больше радуешь анонимуса.

завтра после обеда всё сделаю
сейчас не возможности очередной раз отрубить всю сеть

Помогите (до)настроить роутер mikrotik (комментарий)

Девочка, ты все больше радуешь анонимуса.

всегда рада :)

Вот Вам пример конфигурации «Mikrotik для дома» для mikrotik rb951g-2hnd:
(в примере внешний стат. ip.. это измените в winbox под себя после.., так же настроена локальная сеть 192.168.1.0/24, wifi-ap, nat, примеры проброса портов,)

IP: 200.200.10.10
MASK: 255.255.255.252 (/30)
GW: 200.200.10.9
DNS1: 200.200.0.1
DNS2: 200.200.0.2
ИМЯ WIFI СЕТИ: homewifi
КЛЮЧ WIFI СЕТИ: superpassword
LAN_IP: 192.168.1.1
DHCP_POOL: 192.168.1.2-254

Редактируем для себя, открываем Terminal (в winbox..) вставляем + Enter, после выполняем export compact , и перезагружаем девайс))

/interface bridge
add arp=proxy-arp l2mtu=1598 name=bridge1
/interface wireless
set 0 disabled=no ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge ssid=homewifi tx-power=26 tx-power-mode=all-rates-fixed wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods=passthrough group-ciphers=tkip mode=dynamic-keys unicast-ciphers=tkip \
    wpa-pre-shared-key=superpassword wpa2-pre-shared-key=superpassword
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/ip address
add address=200.200.10.10/30 interface=ether1
add address=192.168.1.1/24 interface=bridge1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=200.200.0.1,200.200.0.2,192.168.1.1
/ip dns static
add address=192.168.1.251 name=ИМЯХОСТА ttl=3d
add address=192.168.1.252 name=ИМЯХОСТА ttl=3d
add address=192.168.1.253 name=ИМЯХОСТА ttl=3d
/ip firewall nat
add action=masquerade chain=srcnat comment=internet src-address=192.168.1.0/24
add action=netmap chain=dstnat comment=ПРОИЗВОЛЬНЫЙКОММЕНТ dst-port=5060 in-interface=ether1 protocol=tcp src-address=ТОЛЬКО.ДЛЯЭТОГО.ВНЕШНЕ.ГОIP to-addresses=\
    192.168.1.251 to-ports=5060
add action=netmap chain=dstnat comment=ПРОИЗВОЛЬНЫЙКОММЕНТ dst-port=5555 in-interface=ether1 protocol=tcp to-addresses=192.168.1.252 to-ports=5555
add action=netmap chain=dstnat comment=ПРОИЗВОЛЬНЫЙКОММЕНТ dst-port=5566 in-interface=ether1 protocol=udp to-addresses=192.168.1.252 to-ports=5566
add action=netmap chain=dstnat comment=ПРОИЗВОЛЬНЫЙКОММЕНТ dst-port=10000-50000 protocol=udp to-addresses=192.168.1.253 to-ports=10000-50000
/ip neighbor discovery
set wlan1 disabled=yes
/ip route
add distance=1 gateway=200.200.10.9
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
/system leds
set 0 interface=wlan1

ВНИМАНИЕ!!! в догонку!!!..
Если кроме winbox будете пользоваться www строку «set www disabled=yes» из конфига убрать!!!

спасибо большое!

обязательно завтра испытаю, но я вот что-то не вижу разницы между дефолтным конфигом. Вижу настройку сети, мост, dhcp... собственно, мне это и так удалось.
В шапке темы я описал проблему...

Вы писали:
Интернета нет. На локальный сайт провайдера больше не заходит.
Т.е.

/ip dns
set allow-remote-requests=yes servers=200.200.0.1,200.200.0.2,192.168.1.1

В терминале микротик

ip route print

Вангану. Маршрутом для 0.0.0.0/0 является шлюз внутренней подсети провайдера, а должен быть шлюз назначаемый впн сервером,

На вскидку. Попробуйте удалить в ip route маршрут с «dst.add» 0.0.0.0 и поставить галку в пптп клиенте «add default route» и переподключиться.

Если галка стоит, то достаточно просто удалить правило.

/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1

Ппц жуть какая...

winbox == нативная рендерилка веб-интерфейса

я понимаю. Но у меня не винда какбы...

через wine проблем не имел

Накати openwrt и не мучайся со всякими там боксами.

Накатили уже 8-)
https://www.linux.org.ru/forum/admin/11247943

В чем жуть то?
Есть 5 портов + wifi ap

ether1,ether2,ether3,ether4,ether5,wlan1

Например №1:

ether1 в интернет

ether2, ether3, ether4, ether5 и wlan1 в bridge1

на bridge1 вешаем dhcp,nat.. получаем 192.168.1.0/24 + интернет на 4-х портах и wifi ap

Например №2:

ether1 в интернет 1

ether2 в интернет 2

ether3,ether4 в bridge1 сеть 192.168.1.0/24 для VoIP телефонов

ether5,wlan1 в bridge2 сеть 192.168.2.0/24 для остальных

на bridge1, bridge2 вешаем dhcp,nat.. proxyapr между ними

между ether1 и ether2 балансировка или разделение по типу трафика или как Вам больше нравится.

Я реализовал на switch. Конечно есть минус, что трафом не поуправляешь, но, ЕМНИП, нагрузка на ЦП меньше.

Как там у ТС? Получилось побороть девайс?))

нет. Всё что я сделал - это снова настроил и притащил соответствующие конфиги в студию:

Сеть настроена: http://paste.ubuntu.com/9887865/
Добавил pptp-client: http://paste.ubuntu.com/9887876/

cast edigaryev

Попробуйте исправить в:

/interface pptp-client
add add-default-route=no allow=mschap1 connect-to=ppp.pautina.ch.ua \
    dial-on-demand=no disabled=no keepalive-timeout=disabled max-mru=1450 \
    max-mtu=1450 mrru=disabled name=pptp-out1 password=VPNPWDPWD profile=\
    default-encryption user=VPNUSERVPNUSER

add-default-route=no

add-default-route=yes

/ip dns
set allow-remote-requests=yes servers=ДНС1,ДНС2,192.168.1.1

У Вас

/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=172.17.0.2

/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=\
    192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=172.17.0.2,192.168.1.1

add-default-route=no

я когда настраивал через веб интерфейс была соответствующая галочка «Add default route», которая добавляла доп. запись в маршруты и интернет всё равно не появлялся. В любом случае, думаю, мне стоит проверить еще раз.

И что такое 192.168.88.1?

Это старый IP роутера по умолчанию. Подсеть 88 мне не подходила, я изменил её в настройках на 1. Почему dhcp выдает мне правильную конфигурацию/сеть работает, а в конфиге остался «висеть» 192.168.88.1 - понятия не имею. Мистика...

Судя по тому что я понял, настраивать этот роутер всё-таки надо руками/терминалом. Г-ди, знал бы я что будет такая возня - купил бы какой-нибудь говняный аналог от asus с гигабитными портами и сидел спокойно.

возможно, что так

но это всё пляски вокруг dns, в то время как всё еще не могу осилить pptp: ping 8.8.8.8 не дает результата.

Дорогу осилит идущий))

Сделайте в терминале исправления по примерам выше, потом export compact и ребут.. Должно помочь.

И да mikrotik os в этом смысле попроще cisco os будет)) стоит учить wiki

Завтра буду в офисе, возьму запасной rb951 попробую повторить.. Без девайса под рукой сложно..

Без девайса под рукой сложно..

Спасибо большое за помощь! :)

у меня аналогично: тестировать каждый раз отрубая рабочий интернет от сети (в который еще и сервак есть) не очень-то и просто удовольствие. Да и каждый раз ПЕРЕконфигурировать нужно.

И да, я так понимаю, что я могу просто поправить файл конфигурации и в следующий раз импортировать (судя по инфе в их wiki)

Да можно импортировать..

Вот еще вспомнил, нат для поднимаемого ppp

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pptp-out1

спасибо за помощь. Если кратко: я сегодня целый день провозился. Разрабов прошивки хочется ударить раз 30 башкой об стол. Столько НЕлогичного и НЕадекватного поведения от системы я еще не видел. Накатить чистый linux и настроить его под себя было бы гораздо проще.

Я продаю эту хрень. Тема больше не актуальна.

Жаль.. Пока не продали, попробуйте если не влом вот такой конфиг (замените адреса логины и пароли на свои значения),
сегодня на стенде настроил Ваш случай с «Dual Access PPTP Internet».
Все работает! в локальную сеть прова и в интернет дает)))

# Mikrotik RouterOS: ВЕРСИЯ 5.26
# МОДЕЛЬ: RB951G-2Hnd
#
# Пример настройки "Dual Access PPTP" Интернет

_ДАНО:
---------
WAN_IP: 192.168.100.33
WAN_MASK: 255.255.255.0 (/24)
WAN_GW: 192.168.100.1
WAN_DNS1: 192.168.100.2
WAN_DNS2: 192.168.100.3
---------
VPN_SRV: vpn.internet.local (192.168.200.1-10)
VPN_LOGIN: user1
VPN_PASSWORD: passworduser1
PPP_ФЕЙК_IP: 192.168.254.254 (!!ОСТАВЬТЕ ЭТОТ АДРЕС БЕЗ ИЗМЕНЕНИЙ!!)
---------
DHCP_IP_POOL: 192.168.1.2-254
LAN_GW: 192.168.1.1
LAN_MASK: 255.255.255.0 (/24)
LAN_DNS_R: 192.168.1.1
---------
WIFI_SSID: mywifi
WIFI_KEY: mywifipassword
WIFI_TYPE: wpa-psk, wpa2-psk

/interface bridge
add arp=proxy-arp l2mtu=1598 name=bridge1
/interface wireless
set 0 disabled=no ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge ssid=mywifi tx-power=26 tx-power-mode=all-rates-fixed wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods=passthrough group-ciphers=tkip mode=dynamic-keys unicast-ciphers=tkip \
    wpa-pre-shared-key=mywifipassword wpa2-pre-shared-key=mywifipassword
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/ip address
add address=192.168.100.33/24 interface=ether1
add address=192.168.1.1/24 interface=bridge1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=192.168.100.2,192.168.100.3,192.168.1.1
/ip firewall nat
add action=masquerade chain=srcnat comment=internet src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=pptp-internet out-interface=internet-pptp
/ppp profile 
add change-tcp-mss=yes comment="internet PPTP profile" name="internet-pptp" only-one=default remote-address=192.168.254.254 use-compression=no use-encryption=no use-vj-compression=no
/ppp interface pptp-client 
add name=internet-pptp profile=internet-pptp user=user1 password=passworduser1 server-address=vpn.internet.local disabled=no add-default-route=yes max-mru=1420 max-mtu=1420 mrru=disabled
/ip neighbor discovery
set wlan1 disabled=yes
/ip route
add distance=1 gateway=192.168.100.1
add dst-address=192.168.100.2 gateway=192.168.100.1 comment="DNS1 server"
add dst-address=192.168.100.3 gateway=192.168.100.1 comment="DNS2 server"
add dst-address=vpn.internet.local gateway=192.168.100.1 comment="VPN server"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=no
set ssh disabled=yes
/system leds
set 0 interface=wlan1

снова спасибо за помощь! однако...

1) отредактировал твой конфиг
2) сохранил и загрузил на роутер
3) Reset configuration с выбором нужного файла как аргумент для «run after reset»

Теперь роутер не выдает мне конфигурацию для dhcp, а при задании их вручную зайти на 192.168.1.1 невозможно.

Я уже не знаю что делать...

Просмотрел конфиг глазами. Я так понял, ваша настройка отличается (от моих прошлых попыток) тем, что вы добавили доп. маскарад для pptp подключения.

А вот прикола с 192.168.254.254 я так и не понял...

«run after reset» это не надо! Надо сброс и потом терминал и в нем конфу..

192.168.254.254 это заглушка, фейк для поднятия правильного интерфейса pptp при dual access, без оного не прилетят динамические маршруты от ppp соединения.. Без оного интернета одновременно с локальной сетью оператора НЕ БУДЕТ! Особенности pptp, не забивайте голову или в wiki..
Я так понял у нас разные версии ПО у Вас 6-я у меня более стабильная 5-я здесь возможны расхождения в например названии интерфейсов в конфе по умолчанию
т.е. У меня ether1 это первый порт, а у Вас например ether1-local.. Конфигурацию наверное нужно править под Вас исходя из этого!

По поводу маршрутов:

Для dual access pptp на примере нашего beeline нужно соблюсти несколько условий.

1. Маршрут от шлюза локальной сети оператора до vpn сервера оператора.
2. Маршрут от шлюза локальной сети оператора до dns оператора.
3. NAT для локальной сети из интерфейса локальной сети оператора.
4. NAT для локальной сети из интерфейса pptp оператора.

Вобщем, если желание побороться осталось сбросьте девайс, прочтите конфу на устройстве и редактируйте ее исходя из того что я Вам прислал. Оно ДОЛЖНО работать!))

P.s. Голова сегодня не варит(( вроде ничего не упустил.. Извините за много буков))

«run after reset» это не надо!

таки надо - оно нормально работает если подосвывать заранее сохраненный конфиг

терминал и в нем конфу.

вручную?

192.168.254.254 это заглушка, фейк для поднятия правильного интерфейса pptp при dual access, без оного не прилетят динамические маршруты от ppp соединения.. Без оного интернета одновременно с локальной сетью оператора НЕ БУДЕТ! Особенности pptp, не забивайте голову или в wiki

Я таки решил проблему. И она была в кривых и странно работающих маршрутах (хотя тут другой вопрос - почему при настройке pptp клиента на обычном ПК интернет работает (правда, без сети провайдера) без маршрутов?). Через некоторое время я забил и запросил у провайдера pppoe. Когда он стал доступен - настроил pppoe на чистой конфигурации за несколько минут.

Такие дела :)

Еще раз благодарю за поддержку

Тема решена