Mikrotik не видит роутер за ним
Обновлено: 06.07.2024
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 185.76.144.1 185.76.145.74 6
10.10.10.0 255.255.255.0 172.17.0.3 172.17.0.2 14
10.10.14.0 255.255.255.0 172.17.0.13 172.17.0.2 13
10.10.28.0 255.255.255.0 172.17.0.19 172.17.0.2 13
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.17.0.1 255.255.255.255 172.17.0.1 172.17.0.2 13
172.17.0.2 255.255.255.255 On-link 172.17.0.2 268
172.17.0.3 255.255.255.255 172.17.0.3 172.17.0.2 13
172.17.0.4 255.255.255.255 172.17.0.4 172.17.0.2 13
172.17.0.5 255.255.255.255 172.17.0.5 172.17.0.2 13
172.17.0.6 255.255.255.255 172.17.0.6 172.17.0.2 13
172.17.0.7 255.255.255.255 172.17.0.7 172.17.0.2 13
172.17.0.8 255.255.255.255 172.17.0.8 172.17.0.2 13
172.17.0.9 255.255.255.255 172.17.0.9 172.17.0.2 13
172.17.0.10 255.255.255.255 172.17.0.10 172.17.0.2 13
172.17.0.12 255.255.255.255 172.17.0.12 172.17.0.2 13
172.17.0.13 255.255.255.255 172.17.0.13 172.17.0.2 13
172.17.0.16 255.255.255.255 172.17.0.16 172.17.0.2 13
172.17.0.17 255.255.255.255 172.17.0.17 172.17.0.2 13
172.17.0.18 255.255.255.255 172.17.0.18 172.17.0.2 13
172.17.0.19 255.255.255.255 172.17.0.19 172.17.0.2 13
185.76.144.0 255.255.252.0 On-link 185.76.145.74 261
185.76.145.74 255.255.255.255 On-link 185.76.145.74 261
185.76.145.75 255.255.255.255 On-link 185.76.145.74 261
185.76.147.255 255.255.255.255 On-link 185.76.145.74 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 185.76.145.74 261
224.0.0.0 240.0.0.0 On-link 172.17.0.2 268
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 185.76.145.74 261
255.255.255.255 255.255.255.255 On-link 172.17.0.2 268
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 185.76.144.1 1
10.10.14.0 255.255.255.0 172.17.0.13 1
10.10.10.0 255.255.255.0 172.17.0.3 2
10.10.28.0 255.255.255.0 172.17.0.19 1
===========================================================================
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
12 1006 ::/0 2002:c058:6301::1
1 306 ::1/128 On-link
12 1005 2002::/16 On-link
12 261 2002:b94c:914a::b94c:914a/128
On-link
12 261 2002:b94c:914b::b94c:914b/128
On-link
13 261 fe80::/64 On-link
13 261 fe80::e5d2:f5c7:fff2:c2e2/128
On-link
1 306 ff00::/8 On-link
13 261 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует
PS C:\Users\denis>
Отключить брандмауэр вы всегда можете, это для начала проверок.
Но вопрос: а откуда винда имеет информацию о маршрутизации? Точно она понимает, что 10.10.10.0/24 находится за этим туннелем?
Восстановить доступ к микротику (Ниже 6.41.3)
Вроде бы здесь кто-то говорил что может вернуть доступ к взломаному микротику. Сам код експлойта я.
Доступ и работа с роутером на VB
Доброго времени! Задача: сделать два исполняемых файла, включающие и отключающие черный список.
Доступ к сети за роутером
Добрый вечер. Ситуация такая, есть HeadRouter с которого раздается DHCP в главном здании(20.
Доступ к устройствам другой за роутером
Есть локальная сеть 192.168.100.0 с ПК и контроллерами, так же в этой сети находится роутер ip.
если да, тогда и проброс надо делать на роутере с внешним белым ip
какая модель у него?
микротик какую роль за первым роутером выполняет? для чего он там? да, на этом роутере проброшен 1723, роутер зухель кинетик лайт
микротик в качестве pptp сервера, к нему будут из инета подключаться клиенты и я их должен видеть из своей сети
не знаю, как этот роутер с gre поступает, настройки такой нет.
я почему подумал про настройки на микротике: если я пробрасываю на роутере 22 порт до машины с убунту, я ее вижу из нета и подключаюсь, а если пробрасываю тот же порт на микротик, подключиться к нему извне не могу, хотя локально все работает
+ на микротике я вижу что подключение на него идет (syn sent на скрине с внешнего ip), но статус U (unreplied?)
а если пробрасываю тот же порт на микротик, подключиться к нему извне не могу, хотя локально все работает пробрось со сдвигом 22222 -> 22, потому как провайдер может резать этот порт, да и zyxel его слушать может+ на микротике я вижу что подключение на него идет (syn sent на скрине с внешнего ip), но статус U (unreplied?)
провайдер не режет, т.к я же подключаюсь к машине на убунту по 22, когда на нее пробрасываю
syn sent - это по pptp я вижу
щас поднял на убунту pptp и пробросил на нее - подключаюсь из инета норм, то есть тут что-то в микротике все ж таки
или может найдешь в настройках фичу типа PPTP Passthrough
так под убунтой pptp доступен же через тот же роутер тогда может на микротике в цепочку input правила дописать разрешающие ну да, только я не знаю, какиея добавил в input accept на 1723 и на gre и локально работает, а что надо, чтоб и из инета работало - не понимаю
Покажите вкуладку NAT (ip firewall nat export). Так-же интересует вкладка Routes (ip route export)
Есть возможность что поможет написанное ниже:
и в микротике политика на фаерволе по дефолту accept, никаких дополнительных разрешающих правил не требуется (если не было добавлено явное запрещающее правило)
на микротике дефолтный шлюз указывающий на кинетик установлен?
покажите настройки (таблицу маршрутизации)
gre через роутер проходит, т.к. на ubuntu через него же работает
шлюз на микротике не задавал, надо попробовать
В общем, оставил пока на ubuntu, все работает
правила задал такие, может кому пригодится:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables --table nat --append POSTROUTING -j MASQUERADE
iptables -I INPUT -s 192.168.3.0/24 -j ACCEPT
iptables --append FORWARD --in-interface eth0 -j ACCEPT
Доступ к локальной сети за роутером
Добрый вечер ! Есть два компа в сети одного провайдера, перед каждым компом установлен роутер.
Пропадает связь с роутером и доступ к интернету в браузере Chrome
День добрый, Стал пропадать доступ к интернету в браузере хром, проверил Malwarebytes и CureIt.
Подключение терминала к Микротику
Всем доброго дня! Имеется терминал Eltex к которому подключается оптоволокно, от терминала идет.
Как настроить IPTV на роутере подключенного к микротику?
Подскажите как настроить IPTV на роутере подключенного к микротику? Сам микротик настроен на.
Траблы с роутером
Помогите решить проблему! Роутер d-link dir620, через некоторое время после включения, теряется.
Работа с wi-fi роутером
Добрый вечер. Опишу свою проблему. Есть роутер Netgear N150, к нему подключены 3 ноута через wi-fi.
Самая распространенная проблема MikroTik (точнее жалоба) — «у меня ничего не работает», причем чаще всего это неправда. Если у босса не открывается вложение в письме с темой «вы выиграли миллион», потому что его заблокировал антивирус, то настраивать роутер в этот день вряд ли придется.
Поэтому один из важных навыков админа — это умение вести диалог с пользователем и выяснять, что именно и как не работает. Увы, эта статья не будет посвящена данному вопросу, так что переходим сразу к технической части.
Ресурсы
Первое, на что обращает внимание любой системный администратор, — потребление ресурсов. Благо WinBox выводит эти данные прямо в главном окне. А если еще не выводит — сейчас же добавляй их туда. Это сэкономит много времени в будущем. Тебе нужно меню Dashboard → Add. И кстати, зеленый квадратик в правой верхней части — это не загрузка процессора. Не обращай на него внимания.
Если процессор постоянно загружен больше 80% (в зависимости от условий это значение может меняться, но в среднем давай примем такое число), то что‑то неладно. В первую очередь смотрим на местный «диспетчер задач», меню Tools → Profile. Тут мы увидим, что именно нагружает CPU, и поймем, как действовать дальше.
Длительную статистику по нагрузке CPU, трафику на интерфейсах и другим параметрам можно увидеть в Tools → Graphing.
Объяснение полей вы найдете в вики. Наиболее часто встречаются DNS, Encrypting и Firewall.
- Encrypting — роутер тратит много ресурсов на шифрование. Скорее всего, у вас много туннелей VPN и нет аппаратного чипа шифрования. Нужно поменять на железку со специальным чипом или выбрать более слабые алгоритмы.
- Firewall — прямое указание, что вы не читали мои предыдущие статьи.
- DNS — а вот тут вас ждет кое‑что интересное.
Сам по себе DNS-сервер почти не нагружает роутер в небольших и средних сетях (до нескольких тысяч хостов). А использовать RouterOS в качестве DNS-сервера в больших сетях не лучшая идея. Так откуда нагрузка? Давай разбираться. Если есть нагрузка, значит что‑то ее создает. Вероятно, серверу DNS приходится отвечать на большое количество запросов. Проверим, так ли это. Создадим в файрволе правило.
add action = accept chain = input dst - port = 53 log = yes log - prefix = DNS protocol = udpИ теперь смотрим в лог. Если наши предположения верны, то заметим много сообщений с префиксом DNS. Увидим, с каких адресов и на какие интерфейсы летят запросы. Скорее всего, это будет интерфейс WAN. Но мы не хотим обрабатывать DNS-запросы, пришедшие к нам из интернета. Закроем UDP-порт 53 на интерфейсе WAN, поместим правило в нужном месте — и наслаждаемся снизившейся нагрузкой. Поздравляю! Мы только что обнаружили, что были частью ботнета, закрыли эту дыру и сделали интернет чуточку чище. Подобные атаки часто проводятся с применением протоколов, работающих над UDP.
Firewall
Вообще, умение работать с файрволом несет в себе огромную силу. Правильно построенное правило укажет, как проходит пакет через систему, в какой интерфейс попадает, из какого уходит дальше и получает ли ответный пакет. По одним только счетчикам можно многое узнать о своей сети.
Counters
В столбцах Bytes и Packets отображаются количество байтов и пакетов, обработанных правилом. Кнопки Reset Counters сбрасывают эти счетчики. Теперь можно наблюдать, попадает ли трафик в нужное правило или нет.
Полезной часто оказывается вкладка Connections файрвола. Тут видно все потоки, проходящие через роутер: их состояние, количество прошедших байтов, флаги потока (для получения подсказки достаточно навести на значение в столбце). Для большей наглядности нужно добавить поля Reply Dst. Address и Reply Src. Address. В этих полях видно, в какой и из какого адреса был проведен NAT.
Connections
Файрвол со всеми его фичами позволяет детально дебажить весь трафик, проходящий через роутер. Чтобы лучше понимать, что происходит во всех этих вкладках, нужно изучить, как пакеты проходят через роутер. На картинке упрощенная версия схемы. Более подробная есть в документации.
Traffic Flow
Другие способы анализа трафика
Увидеть состояние потока, его адреса, байты и прочее — хорошо. Но файрвол не позволяет удобно и из единого места убедиться, что маршрутизация корректна. Чтобы узнать, в какой интерфейс вылетает пакет, достаточно воспользоваться инструментом Torch.
Torch
Torch можно воспринимать как некое подобие tcpdump. Здесь можно увидеть VLAN ID, source/destination address/port, DSCP, битовую и пакетную скорость. Есть удобные фильтры, которые позволяют делать точные выборки. Если данные в окне меняются слишком быстро, увеличивай значение Entry Timeout. К сожалению, в одном окне он может показывать только трафик на одном интерфейсе, но никто не мешает нажать New Window и наблюдать за несколькими интерфейсами. Если Torch не показывает нужного трафика на нужном интерфейсе — налицо проблемы с маршрутизацией.
Torch позволяет наблюдать за потоками трафика в реальном времени. Но в некоторых случаях нужны более детальные данные о трафике. Их позволяет получить инструмент IP Sniffer.
С его помощью можно увидеть параметры трафика и даже содержимое пакета.
Но иногда требуется более детальный анализ — например, чтобы убедиться, что TCP handshake успешно прошел и данные передаются. В таком случае в передаваемых пакетах должен присутствовать флаг ACK. Но искать пакеты в скудном интерфейсе «Винбокса» неудобно.
И тут на помощь приходит всеми любимый Wireshark — мощнейший инструмент для анализа сетевого трафика. В Filter указываем нужные параметры, чтобы не снифать все подряд, в General выбираем Filename, жмем Apply и Start. Теперь в Files на роутере можно найти наш дамп, перекинуть его на компьютер и открыть «Шарком». О нем написано много статей, поэтому даже не буду пытаться писать тут, как с ним работать.
Но это лишь начало. Можно в реальном времени наблюдать за трафиком из Wireshark. И без всяких операций с файлами! Открываем «Шарк», в фильтре пишем udp. port == 37008 , на сниффере RouterOS во вкладке Streaming ставим галочку Streaming Enabled и вписываем IP-адрес компьютера с запущенным «Шарком». Можно поставить галочку Filter stream, чтобы лить в «Шарк» не весь трафик, а только выбранный.
Snif-stream Shark
Лить трафик в сниффер можно и из файрвола. За это отвечает действие sniff-TZSP в таблице Mangle. Работает это по аналогии со Sniffer Streaming, но в файрволе можно сделать более точную выборку пакетов для сниффера.
Mangle-sniff
Wireless
Самая сложная часть диагностики — это Wi-Fi. Он и сам по себе очень сложная технология, к тому же среда передачи данных общая и все соседские роутеры мешают работать твоему, так же как и он им. О работе 802.11 написана не одна книга, пересказывать их я не буду. Посмотрим только на инструменты, которые могут помочь при диагностике.
В RouterOS их немного. Самый главный — вкладка Registration в Wireless. Здесь видно всю информацию о подключенных клиентах: MAC, уровень сигнала, качество сигнала.
Registration
Самые важные поля:
- CCQ — Client Connection Quality. Чем ближе к 100%, тем лучше. Ниже 60% означает плохую связь;
- TX/RX Signal Strength — уровень сигнала. Отличное значение — от 0 до –45, приемлемое — от –55 до –75. Все, что между, — хорошо. Ниже –75 можно считать отсутствием связи. По крайней мере, я ориентируюсь на такие цифры.
- Signal to Noise — отношение сигнал/шум. Чем выше — тем лучше.
Второй инструмент — логи. Собственно, этот инструмент должен активно использоваться не только при диагностике Wi-Fi. Если стандартных логов недостаточно — просто включи расширенные.
Log
Ping, Traceroute
Первым инструментом диагностики у сисадмина всегда был пинг. Но далеко не все знают, сколько возможностей он в себе скрывает.
Многие сталкивались с тем, что текст на сайте отображается, а картинки нет. Или скрипты не загрузились, и сайт «поехал». Это первые признаки несогласованности MTU. С помощью пинга можно проверить этот вариант. Ставим галочку Don’t fragment, выставляем нужный нам размер пакета и смотрим на результат. Если видим packet too large — MTU в канале ниже заданного нами значения пакета. Уменьшаем его и проверяем снова. Таким образом выявляем максимальный пакет, который проходит через сеть без фрагментации.
Ping
По умолчанию пакет отправляется с роутера с src address того интерфейса, в который он вылетает. Бывает, что нужно его поменять. Например, при диагностике маршрутизации внутри VPN или корректности работы файрвола. Для этого нужно заполнить поле src address. Не забывай, что адрес должен быть существующим, чтобы ответный пакет вернулся.
При сложной маршрутизации необходимо выбрать нужную Routing Table. Впрочем, те, кто пользуется несколькими таблицами маршрутизации, и так это знают.
Заключение
Невозможно в одной статье и даже в нескольких книгах описать все возможные проблемы и методы их диагностики и решения. Для эффективного дебага нужно понимать, как работает сеть на каждом уровне, ее особенности в конкретной реализации — ведь не бывает двух одинаковых сетей: рецепты, работающие в одной инфраструктуре, будут бесполезными для другой.
Для дебага необходимо понимать, как пакет проходит внутри RouterOS, а в особо сложных случаях — и знать особенности вендора. И это относится не только к MikroTik. Лучший инструмент дебага — знания и опыт!
Что делать когда winbox не может подключиться к роутеру Mikrotik?
Вот что тогда делать, данный роутер Mikrotik RB951Ui-2Hnd не оборудован консольным портом, чтобы сбросить все настройки.
MAC адрес данного роутера (eth0) → E4:8D:8C:B6:6B:94
На заметку : все дальнейшие действия происходят на моей рабочей системе Ubuntu 12.04.5 Desktop amd64
Во многих статьях интернета все больше сводится к тому, что в процессе ранее когда подключали данный Mikrotik не корректно произвели обновление или просто напросто прервали сам процесс, но у меня исключительная ситуация — я не подключал ни куда данный роутер, а купил таким.
Как я уже знаю, что устройства Mikrotik поддерживают такие протоколы управления, как:
Первый способ: попробовать сделать reset всем настройкам
- Выключаем штекер питания
- Распрямляем скрепку и нажимаем ею в углубленную кнопку с надписью RES
- и держим скрепку в нажатом состоянии на кнопку.
- Подключаем штекер питания
- Ждем когда надпись на индикаторе ACT начнет мигать
- Отпускаем скрепку которое все это время была нажата на углубленную кнопку RES
и через некоторое время (обычно минуту или две) уже можно будет попробовать подключиться к устройству Mikrotik через утилиту winbox — В одном случае у меня данный способ привел к положительному результату, я получил доступ к устройству.
Второй способ: воспользоваться специальной утилитой от компании Mikrotik именуется она, как netinstall, с помощью данной утилиты происходит восстановление прошивки которую предварительно придется скачать.
Подключаю сетевой провод в первый порт на устройстве Mikrotik
Запускаю утилиту netinstall через wine, на появившееся окно с надписью «Bind bootp failed: (10013)» не обращаем внимание, т. е. Нажимать OK не следует иначе закроется сама утилита netinstall.
Через Browse указываем каталог местоположения прошивки, в моем случае это /home/aollo, а после нажимаем кнопку Net booting и активируем (Установка галочки Boot Server Enabled и указанием IP адреса текущей системы), что текущая система будет выступать PXE сервером с адресом Вашей системы где запущена утилита netinstall
Раз так, то попробую задействовать резервный ноутбук: HP ProBook 4540s с операционной системой Windows 7 Профессиональная SP1.
Подключаю к ноутбуку (выставляю статику 192.168.88.100) сетевой кабель, а другим разъемом в второй порт на роутере Mikrotik.
Проделываю все операции по переводу роутера Mikrotik в режим загрузки по сети, но так ни на одном из портов ничего не удается сделать. Может я пока чего-то не понимаю.
Итого проработать все шаги по закачки прошивки на Mikrotik не получилось, получилось только сделать аппаратный Reset и только после этого я уже смог через утилиту управления Winbox подключиться к устройству и произвести первоначальные шаги по конфигурированию. Надеюсь, что в дальнейшем я добью тот момент как использовать утилиту или же лучше бы он мне никогда не понадобился. На этом я прощаюсь, до новых практических заметок на моем блоге, с уважением, автор блога — ekzorchik.
Читайте также: