Всем привет, я очередной новичек нифига не понимающий в маршрутизации Как водиться склепал конфиг из того что было, то там то тут, печаль в том, что на многих сайтах только кусок инфы, остальное как водится нужно состряпать самому, вот что получилось у меня, подозреваю что траблы где-то в маршрутах, т.к. интернет на mikrotik есть, пингует, но на тот же лан интерфейс не попадает, как и с него тоже не уходит, в остальном все вроде как норм, впрочем, немного о сети, есть 2 провайдера, по сути второй чисто резервный и подключаться по идее будет только по Enable в winboxe, соответсвенно основной провайдер в Disable, не люблю автоматику, да и не нуждаюсь в ней, т.к. инет пропадает достаточно редко, в остальном, можно сказать второго провайдера тупо нет, так же есть два компа, slot2, slot4 (соответсвенно), slot1 - основной провайдер, slot3 - доп провайдер. Не знаю где накосячил, но пакеты на лан интерфейсы вообще не летят, подозреваю что беда с маршрутизацией, ну и возможно что-то не так в правилах файервола, что еще можно в файервол добавить, что бы было надежнее? привожу скрин с основными, как мне показалось, полями) так же привожу полный конфиг: Код: set [ find default-name=ether1 ] comment=slot1 mac-address=00:11:22:33:44:55 name=wan-rt set [ find default-name=ether3 ] comment=slot3 name=wan-ttk /ip neighbor discovery set wan-rt comment=slot1 discover=no set wan-ttk comment=slot3 discover=no set wlan1 discover=no /interface ethernet set [ find default-name=ether2 ] master-port=wan-rt set [ find default-name=ether4 ] master-port=wan-rt /ip neighbor discovery set ether2 discover=no set ether4 discover=no /ip pool add name=pool1 ranges=192.168.88.245-192.168.88.254 /ip dhcp-server add address-pool=pool1 disabled=no interface=ether2 lease-time=8h name=dhcp-serv1 add address-pool=pool1 disabled=no interface=ether4 lease-time=8h name=dhcp-serv2 /interface pppoe-client add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=pppoe-rt default-route-distance=0 dial-on-demand=no disabled=no interface=wan-rt \ keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-rt password=BxVNCcjd profile=default service-name="" use-peer-dns=yes user=249098-1 add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 comment=pppoe-ttk default-route-distance=0 dial-on-demand=no disabled=no interface=wan-rt \ keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-ttk password=jHErOcSv profile=default service-name="" use-peer-dns=no user=v671007860@slk /ip neighbor discovery set pppoe-rt comment=pppoe-rt discover=no set pppoe-ttk comment=pppoe-ttk discover=no /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=wan-rt add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=wan-ttk /ip dhcp-server network add address=192.168.88.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.88.240,192.168.88.241 netmask=24 ntp-server=192.168.88.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall filter add chain=input protocol=icmp add chain=forward protocol=icmp add chain=input connection-state=established add chain=forward connection-state=established add chain=input connection-state=related add chain=forward connection-state=related add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid add chain=input in-interface=!wan-rt src-address=192.168.88.0/24 add chain=input in-interface=!wan-ttk src-address=192.168.88.0/24 add action=drop chain=input in-interface=wan-rt add action=drop chain=input in-interface=wan-ttk add chain=forward in-interface=!wan-rt out-interface=wan-rt add chain=forward in-interface=!wan-ttk out-interface=wan-ttk add action=drop chain=forward /ip firewall nat add action=masquerade chain=srcnat /ip firewall service-port set ftp disabled=yes /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether4 add interface=ether5 /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether4 add interface=ether5 если кто-то знает в чем проблема, прошу не в общих фразах, а что куда вписать, а то дуб он и в африке дуб :huh: так же подскажите, как можно использовать только google dns, что бы провайдера днс никак не использовались на роутере или такое не реально? у меня прописаны, но на сколько правильно все сделано - большой вопрос. Спасибо всем кто откликнется.
Я не вижу чтобы вы с dhcp отдавали клиенту шлюз по умолчанию. /ip firewall nat add action=masquerade chain=srcnat Эта конструкция достаточно опасна, если вы планируете публиковать внешние сервисы.
Во первых вопрос, зачем Вам два dhcp сервера. Поскольку у Вас раздается одна сеть, то и один сервер. Если у Вас два порта в локалку 2 и 4, то на 4-м оставляете мастер-порт ether2 и вуаля. Либо в один бридж их. Во вторых, не нашел у Вас секции ip address. То есть нет адресов которые смотрят в локалку. По настройкам dhcp gateway=192.168.88.240,192.168.88.241, а где они на микротике прописаны?
А чем она опасна? Именно в таком виде, без указания интерфейса или вообще? chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=WAN Фаевролл то блочит все, что не разрешено
Да. при этом если есть пробросы портов внутрь, у вас на внутренние сервера запросы будут приходить с LAN-адреса маршрутизатора. В итоге можно получить Open Relay на SMTP, взломанную телефонию и еще кучу таких же забавных штук. Open Relay наиболее частая.
