Mikrotik не видит роутер за ним

Обновлено: 06.07.2024

POS_troi

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 185.76.144.1 185.76.145.74 6
10.10.10.0 255.255.255.0 172.17.0.3 172.17.0.2 14
10.10.14.0 255.255.255.0 172.17.0.13 172.17.0.2 13
10.10.28.0 255.255.255.0 172.17.0.19 172.17.0.2 13
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.17.0.1 255.255.255.255 172.17.0.1 172.17.0.2 13
172.17.0.2 255.255.255.255 On-link 172.17.0.2 268
172.17.0.3 255.255.255.255 172.17.0.3 172.17.0.2 13
172.17.0.4 255.255.255.255 172.17.0.4 172.17.0.2 13
172.17.0.5 255.255.255.255 172.17.0.5 172.17.0.2 13
172.17.0.6 255.255.255.255 172.17.0.6 172.17.0.2 13
172.17.0.7 255.255.255.255 172.17.0.7 172.17.0.2 13
172.17.0.8 255.255.255.255 172.17.0.8 172.17.0.2 13
172.17.0.9 255.255.255.255 172.17.0.9 172.17.0.2 13
172.17.0.10 255.255.255.255 172.17.0.10 172.17.0.2 13
172.17.0.12 255.255.255.255 172.17.0.12 172.17.0.2 13
172.17.0.13 255.255.255.255 172.17.0.13 172.17.0.2 13
172.17.0.16 255.255.255.255 172.17.0.16 172.17.0.2 13
172.17.0.17 255.255.255.255 172.17.0.17 172.17.0.2 13
172.17.0.18 255.255.255.255 172.17.0.18 172.17.0.2 13
172.17.0.19 255.255.255.255 172.17.0.19 172.17.0.2 13
185.76.144.0 255.255.252.0 On-link 185.76.145.74 261
185.76.145.74 255.255.255.255 On-link 185.76.145.74 261
185.76.145.75 255.255.255.255 On-link 185.76.145.74 261
185.76.147.255 255.255.255.255 On-link 185.76.145.74 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 185.76.145.74 261
224.0.0.0 240.0.0.0 On-link 172.17.0.2 268
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 185.76.145.74 261
255.255.255.255 255.255.255.255 On-link 172.17.0.2 268
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 185.76.144.1 1
10.10.14.0 255.255.255.0 172.17.0.13 1
10.10.10.0 255.255.255.0 172.17.0.3 2
10.10.28.0 255.255.255.0 172.17.0.19 1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
12 1006 ::/0 2002:c058:6301::1
1 306 ::1/128 On-link
12 1005 2002::/16 On-link
12 261 2002:b94c:914a::b94c:914a/128
On-link
12 261 2002:b94c:914b::b94c:914b/128
On-link
13 261 fe80::/64 On-link
13 261 fe80::e5d2:f5c7:fff2:c2e2/128
On-link
1 306 ff00::/8 On-link
13 261 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует
PS C:\Users\denis>

Отключить брандмауэр вы всегда можете, это для начала проверок.

Но вопрос: а откуда винда имеет информацию о маршрутизации? Точно она понимает, что 10.10.10.0/24 находится за этим туннелем?

Восстановить доступ к микротику (Ниже 6.41.3)
Вроде бы здесь кто-то говорил что может вернуть доступ к взломаному микротику. Сам код експлойта я.

Доступ и работа с роутером на VB
Доброго времени! Задача: сделать два исполняемых файла, включающие и отключающие черный список.


Доступ к сети за роутером
Добрый вечер. Ситуация такая, есть HeadRouter с которого раздается DHCP в главном здании(20.

Доступ к устройствам другой за роутером
Есть локальная сеть 192.168.100.0 с ПК и контроллерами, так же в этой сети находится роутер ip.

доступ-то к микротику нужен?
если да, тогда и проброс надо делать на роутере с внешним белым ip
какая модель у него?
микротик какую роль за первым роутером выполняет? для чего он там? да, на этом роутере проброшен 1723, роутер зухель кинетик лайт
микротик в качестве pptp сервера, к нему будут из инета подключаться клиенты и я их должен видеть из своей сети

не знаю, как этот роутер с gre поступает, настройки такой нет.
я почему подумал про настройки на микротике: если я пробрасываю на роутере 22 порт до машины с убунту, я ее вижу из нета и подключаюсь, а если пробрасываю тот же порт на микротик, подключиться к нему извне не могу, хотя локально все работает

+ на микротике я вижу что подключение на него идет (syn sent на скрине с внешнего ip), но статус U (unreplied?)

а если пробрасываю тот же порт на микротик, подключиться к нему извне не могу, хотя локально все работает пробрось со сдвигом 22222 -> 22, потому как провайдер может резать этот порт, да и zyxel его слушать может
+ на микротике я вижу что подключение на него идет (syn sent на скрине с внешнего ip), но статус U (unreplied?)

провайдер не режет, т.к я же подключаюсь к машине на убунту по 22, когда на нее пробрасываю

syn sent - это по pptp я вижу

щас поднял на убунту pptp и пробросил на нее - подключаюсь из инета норм, то есть тут что-то в микротике все ж таки

или может найдешь в настройках фичу типа PPTP Passthrough

так под убунтой pptp доступен же через тот же роутер тогда может на микротике в цепочку input правила дописать разрешающие ну да, только я не знаю, какие
я добавил в input accept на 1723 и на gre и локально работает, а что надо, чтоб и из инета работало - не понимаю

Покажите вкуладку NAT (ip firewall nat export). Так-же интересует вкладка Routes (ip route export)

Есть возможность что поможет написанное ниже:

и в микротике политика на фаерволе по дефолту accept, никаких дополнительных разрешающих правил не требуется (если не было добавлено явное запрещающее правило)

на микротике дефолтный шлюз указывающий на кинетик установлен?
покажите настройки (таблицу маршрутизации)

gre через роутер проходит, т.к. на ubuntu через него же работает
шлюз на микротике не задавал, надо попробовать

В общем, оставил пока на ubuntu, все работает
правила задал такие, может кому пригодится:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables --table nat --append POSTROUTING -j MASQUERADE
iptables -I INPUT -s 192.168.3.0/24 -j ACCEPT
iptables --append FORWARD --in-interface eth0 -j ACCEPT

Доступ к локальной сети за роутером
Добрый вечер ! Есть два компа в сети одного провайдера, перед каждым компом установлен роутер.


Пропадает связь с роутером и доступ к интернету в браузере Chrome
День добрый, Стал пропадать доступ к интернету в браузере хром, проверил Malwarebytes и CureIt.

Подключение терминала к Микротику
Всем доброго дня! Имеется терминал Eltex к которому подключается оптоволокно, от терминала идет.

Как настроить IPTV на роутере подключенного к микротику?
Подскажите как настроить IPTV на роутере подключенного к микротику? Сам микротик настроен на.

Траблы с роутером
Помогите решить проблему! Роутер d-link dir620, через некоторое время после включения, теряется.

Работа с wi-fi роутером
Добрый вечер. Опишу свою проблему. Есть роутер Netgear N150, к нему подключены 3 ноута через wi-fi.

MikroTik

Са­мая рас­простра­нен­ная проблема MikroTik (точнее жалоба) — «у меня ничего не работа­ет», при­чем чаще все­го это неп­равда. Если у бос­са не откры­вает­ся вло­жение в пись­ме с темой «вы выиг­рали мил­лион», потому что его заб­локиро­вал анти­вирус, то нас­тра­ивать роутер в этот день вряд ли при­дет­ся.

Поэто­му один из важ­ных навыков адми­на — это уме­ние вести диалог с поль­зовате­лем и выяс­нять, что имен­но и как не работа­ет. Увы, эта статья не будет посвящена данному вопросу, так что перехо­дим сра­зу к тех­ничес­кой час­ти.

Ресурсы

Пер­вое, на что обра­щает вни­мание любой сис­темный адми­нис­тра­тор, — пот­ребле­ние ресур­сов. Бла­го WinBox выводит эти дан­ные пря­мо в глав­ном окне. А если еще не выводит — сей­час же добав­ляй их туда. Это сэконо­мит мно­го вре­мени в будущем. Тебе нуж­но меню Dashboard → Add. И кста­ти, зеленый квад­ратик в пра­вой вер­хней час­ти — это не заг­рузка про­цес­сора. Не обра­щай на него вни­мания.

Resources

Resources

Ес­ли про­цес­сор пос­тоян­но заг­ружен боль­ше 80% (в зависи­мос­ти от усло­вий это зна­чение может менять­ся, но в сред­нем давай при­мем такое чис­ло), то что‑то нелад­но. В пер­вую оче­редь смот­рим на мес­тный «дис­петчер задач», меню Tools → Profile. Тут мы уви­дим, что имен­но наг­ружа­ет CPU, и пой­мем, как дей­ство­вать даль­ше.

Дли­тель­ную ста­тис­тику по наг­рузке CPU, тра­фику на интерфей­сах и дру­гим парамет­рам мож­но уви­деть в Tools → Graphing.

Profile

Profile

Объ­ясне­ние полей вы най­дете в вики. Наибо­лее час­то встре­чают­ся DNS, Encrypting и Firewall.

  • Encrypting — роутер тра­тит мно­го ресур­сов на шиф­рование. Ско­рее все­го, у вас мно­го тун­нелей VPN и нет аппа­рат­ного чипа шиф­рования. Нуж­но поменять на желез­ку со спе­циаль­ным чипом или выб­рать более сла­бые алго­рит­мы.
  • Firewall — пря­мое ука­зание, что вы не читали мои пре­дыду­щие статьи.
  • DNS — а вот тут вас ждет кое‑что инте­рес­ное.

Сам по себе DNS-сер­вер поч­ти не наг­ружа­ет роутер в неболь­ших и сред­них сетях (до нес­коль­ких тысяч хос­тов). А исполь­зовать RouterOS в качес­тве DNS-сер­вера в боль­ших сетях не луч­шая идея. Так отку­да наг­рузка? Давай раз­бирать­ся. Если есть наг­рузка, зна­чит что‑то ее соз­дает. Веро­ятно, сер­веру DNS при­ходит­ся отве­чать на боль­шое количес­тво зап­росов. Про­верим, так ли это. Соз­дадим в фай­рво­ле пра­вило.

add action = accept chain = input dst - port = 53 log = yes log - prefix = DNS protocol = udp

И теперь смот­рим в лог. Если наши пред­положе­ния вер­ны, то заметим мно­го сооб­щений с пре­фик­сом DNS. Уви­дим, с каких адре­сов и на какие интерфей­сы летят зап­росы. Ско­рее все­го, это будет интерфейс WAN. Но мы не хотим обра­баты­вать DNS-зап­росы, при­шед­шие к нам из интерне­та. Зак­роем UDP-порт 53 на интерфей­се WAN, помес­тим пра­вило в нуж­ном мес­те — и нас­лажда­емся сни­зив­шей­ся наг­рузкой. Поз­драв­ляю! Мы толь­ко что обна­ружи­ли, что были частью бот­нета, зак­рыли эту дыру и сде­лали интернет чуточ­ку чище. Подоб­ные ата­ки час­то про­водят­ся с при­мене­нием про­токо­лов, работа­ющих над UDP.

Firewall

Во­обще, уме­ние работать с фай­рво­лом несет в себе огромную силу. Пра­виль­но пос­тро­енное пра­вило ука­жет, как про­ходит пакет через сис­тему, в какой интерфейс попада­ет, из какого ухо­дит даль­ше и получа­ет ли ответный пакет. По одним толь­ко счет­чикам мож­но мно­гое узнать о сво­ей сети.

Counters

Counters

В стол­бцах Bytes и Packets отоб­ража­ются количес­тво бай­тов и пакетов, обра­ботан­ных пра­вилом. Кноп­ки Reset Counters сбра­сыва­ют эти счет­чики. Теперь мож­но наб­людать, попада­ет ли тра­фик в нуж­ное пра­вило или нет.

По­лез­ной час­то ока­зыва­ется вклад­ка Connections фай­рво­ла. Тут вид­но все потоки, про­ходя­щие через роутер: их сос­тояние, количес­тво про­шед­ших бай­тов, фла­ги потока (для получе­ния под­сказ­ки дос­таточ­но навес­ти на зна­чение в стол­бце). Для боль­шей наг­ляднос­ти нуж­но добавить поля Reply Dst. Address и Reply Src. Address. В этих полях вид­но, в какой и из какого адре­са был про­веден NAT.

Connections

Connections

Фай­рвол со все­ми его фичами поз­воля­ет деталь­но дебажить весь тра­фик, про­ходя­щий через роутер. Что­бы луч­ше понимать, что про­исхо­дит во всех этих вклад­ках, нуж­но изу­чить, как пакеты про­ходят через роутер. На кар­тинке упро­щен­ная вер­сия схе­мы. Бо­лее под­робная есть в докумен­тации.

Traffic Flow

Traffic Flow

Другие способы анализа трафика

Уви­деть сос­тояние потока, его адре­са, бай­ты и про­чее — хорошо. Но фай­рвол не поз­воля­ет удоб­но и из еди­ного мес­та убе­дить­ся, что мар­шру­тиза­ция кор­рек­тна. Что­бы узнать, в какой интерфейс вылета­ет пакет, дос­таточ­но вос­поль­зовать­ся инс­тру­мен­том Torch.

Torch

Torch

Torch мож­но вос­при­нимать как некое подобие tcpdump. Здесь мож­но уви­деть VLAN ID, source/destination address/port, DSCP, битовую и пакет­ную ско­рость. Есть удоб­ные филь­тры, которые поз­воля­ют делать точ­ные выбор­ки. Если дан­ные в окне меня­ются слиш­ком быс­тро, уве­личи­вай зна­чение Entry Timeout. К сожале­нию, в одном окне он может показы­вать толь­ко тра­фик на одном интерфей­се, но ник­то не меша­ет нажать New Window и наб­людать за нес­коль­кими интерфей­сами. Если Torch не показы­вает нуж­ного тра­фика на нуж­ном интерфей­се — налицо проб­лемы с мар­шру­тиза­цией.

Torch поз­воля­ет наб­людать за потока­ми тра­фика в реаль­ном вре­мени. Но в некото­рых слу­чаях нуж­ны более деталь­ные дан­ные о тра­фике. Их поз­воля­ет получить инс­тру­мент IP Sniffer.

IP Sniffer

IP Sniffer

С его помощью мож­но уви­деть парамет­ры тра­фика и даже содер­жимое пакета.


Но иног­да тре­бует­ся более деталь­ный ана­лиз — нап­ример, что­бы убе­дить­ся, что TCP handshake успешно про­шел и дан­ные переда­ются. В таком слу­чае в переда­ваемых пакетах дол­жен при­сутс­тво­вать флаг ACK. Но искать пакеты в скуд­ном интерфей­се «Вин­бокса» неудоб­но.

И тут на помощь при­ходит все­ми любимый Wireshark — мощ­ней­ший инс­тру­мент для ана­лиза сетево­го тра­фика. В Filter ука­зыва­ем нуж­ные парамет­ры, что­бы не сни­фать все под­ряд, в General выбира­ем Filename, жмем Apply и Start. Теперь в Files на роуте­ре мож­но най­ти наш дамп, переки­нуть его на компь­ютер и открыть «Шар­ком». О нем написа­но мно­го ста­тей, поэто­му даже не буду пытать­ся писать тут, как с ним работать.

Но это лишь начало. Мож­но в реаль­ном вре­мени наб­людать за тра­фиком из Wireshark. И без вся­ких опе­раций с фай­лами! Откры­ваем «Шарк», в филь­тре пишем udp. port == 37008 , на сниф­фере RouterOS во вклад­ке Streaming ста­вим галоч­ку Streaming Enabled и впи­сыва­ем IP-адрес компь­юте­ра с запущен­ным «Шар­ком». Мож­но пос­тавить галоч­ку Filter stream, что­бы лить в «Шарк» не весь тра­фик, а толь­ко выб­ранный.

Snif-stream Shark

Лить тра­фик в сниф­фер мож­но и из фай­рво­ла. За это отве­чает дей­ствие sniff-TZSP в таб­лице Mangle. Работа­ет это по ана­логии со Sniffer Streaming, но в фай­рво­ле мож­но сде­лать более точ­ную выбор­ку пакетов для сниф­фера.

Mangle-sniff

Mangle-sniff

Wireless

Са­мая слож­ная часть диаг­ности­ки — это Wi-Fi. Он и сам по себе очень слож­ная тех­нология, к тому же сре­да переда­чи дан­ных общая и все сосед­ские роуте­ры меша­ют работать тво­ему, так же как и он им. О работе 802.11 написа­на не одна кни­га, перес­казывать их я не буду. Пос­мотрим толь­ко на инс­тру­мен­ты, которые могут помочь при диаг­ности­ке.

В RouterOS их нем­ного. Самый глав­ный — вклад­ка Registration в Wireless. Здесь вид­но всю информа­цию о под­клю­чен­ных кли­ентах: MAC, уро­вень сиг­нала, качес­тво сиг­нала.

Registration

Registration

Са­мые важ­ные поля:

  • CCQ — Client Connection Quality. Чем бли­же к 100%, тем луч­ше. Ниже 60% озна­чает пло­хую связь;
  • TX/RX Signal Strength — уро­вень сиг­нала. Отличное зна­чение — от 0 до –45, при­емле­мое — от –55 до –75. Все, что меж­ду, — хорошо. Ниже –75 мож­но счи­тать отсутс­тви­ем свя­зи. По край­ней мере, я ори­енти­руюсь на такие циф­ры.
  • Signal to Noise — отно­шение сиг­нал/шум. Чем выше — тем луч­ше.

Вто­рой инс­тру­мент — логи. Собс­твен­но, этот инс­тру­мент дол­жен активно исполь­зовать­ся не толь­ко при диаг­ности­ке Wi-Fi. Если стан­дар­тных логов недос­таточ­но — прос­то вклю­чи рас­ширен­ные.

Log

Log

Ping, Traceroute

Пер­вым инс­тру­мен­том диаг­ности­ки у сисад­мина всег­да был пинг. Но далеко не все зна­ют, сколь­ко воз­можнос­тей он в себе скры­вает.

Мно­гие стал­кивались с тем, что текст на сай­те отоб­ража­ется, а кар­тинки нет. Или скрип­ты не заг­рузились, и сайт «поехал». Это пер­вые приз­наки несог­ласован­ности MTU. С помощью пин­га мож­но про­верить этот вари­ант. Ста­вим галоч­ку Don’t fragment, выс­тавля­ем нуж­ный нам раз­мер пакета и смот­рим на резуль­тат. Если видим packet too large — MTU в канале ниже задан­ного нами зна­чения пакета. Умень­шаем его и про­веря­ем сно­ва. Таким обра­зом выяв­ляем мак­сималь­ный пакет, который про­ходит через сеть без фраг­мента­ции.

Ping

Ping

По умол­чанию пакет отправ­ляет­ся с роуте­ра с src address того интерфей­са, в который он вылета­ет. Быва­ет, что нуж­но его поменять. Нап­ример, при диаг­ности­ке мар­шру­тиза­ции внут­ри VPN или кор­рек­тнос­ти работы фай­рво­ла. Для это­го нуж­но запол­нить поле src address. Не забывай, что адрес дол­жен быть сущес­тву­ющим, что­бы ответный пакет вер­нулся.

При слож­ной мар­шру­тиза­ции необ­ходимо выб­рать нуж­ную Routing Table. Впро­чем, те, кто поль­зует­ся нес­коль­кими таб­лицами мар­шру­тиза­ции, и так это зна­ют.

Заключение

Не­воз­можно в одной статье и даже в нес­коль­ких кни­гах опи­сать все воз­можные проб­лемы и методы их диаг­ности­ки и решения. Для эффектив­ного дебага нуж­но понимать, как работа­ет сеть на каж­дом уров­не, ее осо­бен­ности в кон­крет­ной реали­зации — ведь не быва­ет двух оди­нако­вых сетей: рецеп­ты, работа­ющие в одной инфраструк­туре, будут бес­полез­ными для дру­гой.

Для дебага необ­ходимо понимать, как пакет про­ходит внут­ри RouterOS, а в осо­бо слож­ных слу­чаях — и знать осо­бен­ности вен­дора. И это отно­сит­ся не толь­ко к MikroTik. Луч­ший инс­тру­мент дебага — зна­ния и опыт!

Что делать когда winbox не может подключиться к роутеру Mikrotik?

Не могу через winbox подключиться к роутеру Mikrotik

Вот что тогда делать, данный роутер Mikrotik RB951Ui-2Hnd не оборудован консольным портом, чтобы сбросить все настройки.

MAC адрес данного роутера (eth0) → E4:8D:8C:B6:6B:94

На заметку : все дальнейшие действия происходят на моей рабочей системе Ubuntu 12.04.5 Desktop amd64

Во многих статьях интернета все больше сводится к тому, что в процессе ранее когда подключали данный Mikrotik не корректно произвели обновление или просто напросто прервали сам процесс, но у меня исключительная ситуация — я не подключал ни куда данный роутер, а купил таким.

Как я уже знаю, что устройства Mikrotik поддерживают такие протоколы управления, как:

Первый способ: попробовать сделать reset всем настройкам

  • Выключаем штекер питания
  • Распрямляем скрепку и нажимаем ею в углубленную кнопку с надписью RES
  • и держим скрепку в нажатом состоянии на кнопку.
  • Подключаем штекер питания
  • Ждем когда надпись на индикаторе ACT начнет мигать
  • Отпускаем скрепку которое все это время была нажата на углубленную кнопку RES

и через некоторое время (обычно минуту или две) уже можно будет попробовать подключиться к устройству Mikrotik через утилиту winbox — В одном случае у меня данный способ привел к положительному результату, я получил доступ к устройству.

Второй способ: воспользоваться специальной утилитой от компании Mikrotik именуется она, как netinstall, с помощью данной утилиты происходит восстановление прошивки которую предварительно придется скачать.

Подключаю сетевой провод в первый порт на устройстве Mikrotik

Скачиваю прошивку с официального сайта

Запускаю утилиту netinstall через wine, на появившееся окно с надписью «Bind bootp failed: (10013)» не обращаем внимание, т. е. Нажимать OK не следует иначе закроется сама утилита netinstall.

Через Browse указываем каталог местоположения прошивки, в моем случае это /home/aollo, а после нажимаем кнопку Net booting и активируем (Установка галочки Boot Server Enabled и указанием IP адреса текущей системы), что текущая система будет выступать PXE сервером с адресом Вашей системы где запущена утилита netinstall

Активирую сервис загрузки по сети

Раз так, то попробую задействовать резервный ноутбук: HP ProBook 4540s с операционной системой Windows 7 Профессиональная SP1.

Подключаю к ноутбуку (выставляю статику 192.168.88.100) сетевой кабель, а другим разъемом в второй порт на роутере Mikrotik.

Проделываю все операции по переводу роутера Mikrotik в режим загрузки по сети, но так ни на одном из портов ничего не удается сделать. Может я пока чего-то не понимаю.

Итого проработать все шаги по закачки прошивки на Mikrotik не получилось, получилось только сделать аппаратный Reset и только после этого я уже смог через утилиту управления Winbox подключиться к устройству и произвести первоначальные шаги по конфигурированию. Надеюсь, что в дальнейшем я добью тот момент как использовать утилиту или же лучше бы он мне никогда не понадобился. На этом я прощаюсь, до новых практических заметок на моем блоге, с уважением, автор блога — ekzorchik.

Читайте также: