Mikrotik lan не работает

Обновлено: 04.07.2024

Есть микротик RB2011UiAS-RM:
-порт ether1-wan, порты с 2-по 10 объединены в свитч через бридж мастерами являются 2 и 6 порты.
Свитч работает, т.е. в настоящий момент 1-я камера на 10 порту, другая на 3-м, регистратор (сетевой) на 7-м, PC на 2-м, все друг друга видят.
Возникла такая проблема, не работает 9-й порт, ну то есть совсем, джек втыкаешь, лампочки не загораются, в winbox(e) на вкладке interface у ether9 буковка S не появляется, в логах подключение к порту также не отображается.
Сравнил настройки ether9 с другими портами, такие же.
Вот думаю в ремонт или всё таки есть какие-нибудь настройки, до которых я ещё не добрался, для оживления порта?
Микротик перегружал, ether9 включал, выключал.

Попробуйте конфиг сохранить и сделайте полный сброс, у меня такое было.

Мудрость приходит с годами, но к некоторым приходят только годы

Попробовал. Сохранил конфигурацию, сделал ресет, даже базовую конфигурацию заливать не стал, по mac адресу заходить пришлось.
Залил потом сохраненную конфигурацию, результат отрицательный.
Все больше склоняюсь к ремонту.

видел около 5 таких устройств, проблема с портами на гигабитном свиче. ни разу не удалось завести.

Блин, проблема решилась исключительно просто. Получил я сегодня наконец то PoE коммутатор, переключил на него камеры и 9-й порт чудесным образом заработал.

Извиняюсь за некропост, но у меня похожая ситуация, даже не знаю что делать (правда микротик находится удаленно и что там кто куда тыкает мне не видно, только с их слов)
роутер Mikrotik hAP Lite
у себя все настроил, вначале подключался через 2й порт, потом по WiFi, отправил заказчику, подключают, говорят что порт(ы) не работает (пробовали по разным портам, кабель вроде как тоже меняли)
Сервер подключают , индикатор на порту не загорается. У сервера интегрированная сетевая карта, материнка древняя intel se7221ba1
Компьютер такой же древний с интегрированной сетевой картой аналогичная история, а вот с дискретной сетевой картой все нормально. Так же при прямом подключении сервер - компьютер они друг друга видят.
Не понимаю что за фигня? при этом аналогичный роутер с аналогичным железом у другого заказачика отлично все работает.

пока попросил найти свитч попробовать через свитч.

PS: так же заводская прошивка на микротике была обновлена до версии bugfix 6.40.8

arp print выдает:

172.27.23.4 - это сервер, выходит он его видеЛ?

так же. может ли быть проблемой нерабочести порта если DHCP сервер включен и на сервере и на роутере?

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Проблема с подключением по Ethernet

Раздел для тех, кто начинает знакомиться с MikroTik

Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

п.5 красных правил вверху страницы. Экстрасенсов нет.

1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.

Сюда вошли наиболее типичные проблемы микротик и их решения.

Теперь они собраны в одном месте, а не разбросаны по крупицам по всему интернету.

6.1. Как ходит трафик в Микротик?

Представьте компьютер с двумя сетевыми картами. Будем называть его ШЛЮЗ.

В одну карту входит интернет. Со второй выходит к свитчу.

А к свитчу подключены другие компы.

За этими компьютерами люди в интернете выходят.

Это левая диаграмма. Как раз наш случай с Микротик.

А если на самом шлюзе запускаются браузер, почта и пр.

Это левая и правая диаграмма, только без центрального блока FORWARD.

В Микротике правая практически никогда не задействована.

Так что про INPUT-OUTPUT забудьте.

Только для блокировки входящих пакетов.

Никаких локальных адресов в пакете нет, только внешний адрес Микротика!

Происходит подмена (из таблицы NAT) для входящих пакетов внешнего IP на локальный.

или DstNat (это для тех, кто пытается достучаться до локальных IP-адресов из интернета)

3. Теперь срабатывают правила в цепочках Mangle Forward и Filter Forward.

Тут уже можно фильтровать клиентов вашей сети.

4.Далее снова срабатывает NAT.

Здесь создаются записи в таблице NAT для исходящих пакетов. Т.е. срабатывает SRC-NAT.

По этим записям будет происходить обратная замена IP, когда придут ответные пакеты.

И для исходящих пакетов происходит подмена локального IP 192.168.0.2 на IP Микротика 80.80.80.1.

Никаких локальных адресов в пакете нет, только внешний адрес Микротика!

Далее все это направляется в шейпер. Queue Tree и Simple Queue.

Для Транзитного трафика:
сеть -> mangle PREROUTING -> nat PREROUTING -> mangle FORWARD -> filter FORWARD -> mangle POSTROUTING -> nat POSTROUTING -> сеть

6.2. Firewall Filter — блокируем и разрешаем.

Здесь создаются блокирующие и разрешающие правила.

Порядок записей имеет значение.

Проверка правил происходит сверху вниз.

Если пакет соответствует правилу, то дальнейшая проверка не происходит, если конечно не стоит галка PassTrugh

Есть 2 варианта.

Блокируется или входящие пакеты или исходящие.

Важно!

1. Никогда не пытайтесь одним правилом блокировать входящие и исходящие пакеты одновременно.

Да и Роутер разгрузится от лишнего входящего трафика.

Важно! Src.Address и Dst.Address в правилах меняются местами. В зависимости от направления движения пакета.

3. В правилах всегда указывайте Out. Interface или In. Interface.

Это очень важно!

То же самое (п. 1 и 2) касается и Mangle.

6.3. NAT. Проброс портов.

6.4. Маркировщик Mangle. Следим и помечаем трафик.

Это очень мощное средство. Позволяет маркировать пакеты по любым правилам. Подчиняется тем же правилам, что описаны в разделе 6.2. FireWall Filter. Но Мангле ничего не запрещает и не разрешает. Он просто помечает трафик: соединения, пакеты, маршруты и пр. Умеет также добавлять в AddressList, Менять TTL пакетов, приоритет, порядок цепочек и пр. пр. Это для дальнейшей обработки в фаерволе или шейпере.

6.5. Address List. Для чего он?

Это в основном для того, чтоб не указывать кучу однотипных правил для разных IP, а кинуть эти IP в один Address List. И затем создать только одно правило на этот Address List.

Чрезвычайно удобная штука!

6.6. Нарезаем скорость. Simple Queues.

Важно! Проверка правил шейпера происходит сверху вниз. Если какое-то правило шейпа сработало, то дальнейшая проверка уже не производится!

Добавляем IP или список IP, для которых в сумме можно выставить максимальную скорость Max Limit.

Отдельно входящую и исходящую скорость.

А также потребленный входящий и исходящий трафик. (Rx Avg. Rate и Tx Avg. Rate )

Начиная с момента последней перезагрузки роутера.

Можно скорости писать в виде 500K, 2M, а также можно указать скорости Burst Limit (с Burst TreshHold, Burst Time)

Это взрывная кратковременная скорость.

Очень эффективно при низко скоростных тарифах и если Вас качальщики задрали.

Веб сайты открываются тогда моментом на Burst скорости, а закачки идут на обычной скорости.

Если у Вас Dual Access, то можно для каждого клиента создать еще одну дополнительную запись с высокой скоростью на локальные ресурсы.

Эту запись нужно поставить выше основной записи клиента.

Если Вы скорость на локальные ресурсы не хотите подрезать вообще, то

и поместить ее на самый верх.

Важно! Очень советую в самый конец добавлять правило END.

На этом правиле будет учитываться, подрезаться или блокироваться весь неучтенный трафик.

Ну например Вы по невнимательности забыли кого-то добавить в шейпер.

И человек получит всю доступную скорость без любых огранечиний! Тем самым может положить канал!

Правило END для учета и подрезки неучтенного траффика:

add interface=all max-limit=100k/100k name=END target-addresses=192.168.0.0/16

По функциональности он гораздо шире. Этот шейпер срабатывает раньше Simple Queue.

Эффективен особенно при методе PCQ.

И большом количестве клиентов 100 и более.

В нем входящая и исходящая скорости нарезаются отдельными правилами.

Он работает только в связке с Мангле.

Это тарифные планы.

2. Далее в IP-Firewall-Mangle маркируем Connection-ы.

Эти два правила будут будут нарезать трафик всем клиентам.

Достаточно адрес IP клиента добавить в нужный Adrress List.

Все остальное аналогично.

А как же смотреть, кто сколько скачал и на какой скорости и кто качает?

Эти записи ставим ниже записей mark-connection и mark-packet.

6.8. Включаем Графики.

Графики трафика доступны для всех интерфейсов, и Simple Queue. А также доступны графики загрузки процессора, памяти, flash-памяти. За сутки, за неделю, за месяц, за год.

Просто добавьте нужные позиции.

Посмотреть графики можно на Веб-странице Микротика.

При перезагрузке графики сохраняются.

При прошивки графики сбрасываются.

6.9. IPTV настройка.

Скачиваем версию пакетов под ваш Микротик

Важно! Версия пакета должна совпадать с версией вашей Router OS!

Далее идем в System-Packages. Там должен быть multicast пакет.

6.10. Резервирование 2 и более каналов.

По умолчанию пакеты идут через WAN1.

6.11. Балансировка 2+ каналов.

Балансировка через маршруты. Соединения вперемешку будут идти через WAN1 или WAN2

Метод хорошо работает при каналах приблизительно равных по скорости.

Разница по скорости каналов не должна отличаться более чем в 2 раза.

Можно добавить еще маршрут без маркировки на всякий пожарный:

Важно! При каналах сильно отличающихся по скорости он мало эффективен.

В таком случае советую использовать резервирование каналов по п. 6.10.

Слабый канал погоды все-равно не сделает. А скоростному мешать будет.

6.12. Запрет определенных сайтов по имени.

Открываем New Terminal. И вставляем наше правило. Не забудьте поднять его наверх.

Можете также вручную кнопкой [+] создать это правило.

Тем самым Вы блокируете только исходящие запросы еще на взлете.

Роутеру уже на нужно фильтровать входящие пакеты от этого сайта,

А исходящий трафик обычно в 10-20 раз меньше входящего.

Да и фильтруются только исходящие TCP запросы.

Что есть очень хорошо.

Если нужно блокировать доступ к сайту для всех компов, убираем эту строчку src-address.

6.13. Определяем у кого стоят роутеры по TTL.

Все IP адреса, которы сидят за роутерами, попадут в Address-List Router

И наоборот, можно спрятать вашу сеть от фильтра TTL провайдера.

Это правило поднимите на самый верх.

6.14.Блокируем порты спамеров.

1. Блокируем порты спамеров и зараженных троянами-вирусами компов.

2. Добавляем в address-list=spammer наших спамеров на 30 дней :

Вы же не хотите, что бы Ваш провайдер Вам закрывал порты? Или хотите?

6.15. Настройка Static DNS.

Static DNS
нужен чтобы к любому компу в сети обращаться не по IP адресу, а по придуманному имени. Что очень удобно.

6.16.Кешируем с помощью Web-Proxy.

Кеширование используется для:

1. Ускорения интернет. Особенно Эффективно при медленном интернете.

Часто запрашиваемые файлы хранятся на флеш-памяти или винте.

2. Для экономии траффика. Хорошо при платном траффике.

Весь трафик проходит через прокси микротика.

На прокси ставиться порт 8080.

И затем включается прозрачный прокси.

6.17. Редирект на страницу-напоминалку.

К примеру у Вас есть комп в сети 192.168.0.10. Там находится Веб-сервер и страница-напоминалка-пополнялка-личный кабинет. Она доступна по адресу 192.168.0.10

2.

Это правило кинуть выше правила srcnat!

Все. редирект работает.

Эти правила кинуть вниз.

Это для полной блокировки любой активности (а не только ВЕБ-серфиннг) юзеров, которые не в ALLOW.

Один клик и готово.

4. На вебсервере в корне страницы-напоминалки добавляем файл .htaccess с редиректом :

RewriteEngine on
RewriteCond % !-d
RewriteCond % !-f
RewriteRule .* /index.html [L,QSA,NC,R=302]

А в 404.php сделать include вашей страницы напоминалки.

Или просто скопировать ее содержимое.

Вот так все просто.

6.18. Шейпим торренты.

Данный метод режет все торренты. И шифрованные в том числе. И он не ресурсоёмкий для Микротика.

Маркируем входящие торрент-пакеты по размерам, портам и протоколам:

В Simple Queue можно каждому указать скорость на торрент в отдельности.

Т.е. для каждого IP создать дополнительную запись.

Эта запись должна быть выше основной записи IP клиента.

Или уже решайте на свое усмотрение, что с этими маркированными пакетами делать.

Са­мая рас­простра­нен­ная проблема MikroTik (точнее жалоба) — «у меня ничего не работа­ет», при­чем чаще все­го это неп­равда. Если у бос­са не откры­вает­ся вло­жение в пись­ме с темой «вы выиг­рали мил­лион», потому что его заб­локиро­вал анти­вирус, то нас­тра­ивать роутер в этот день вряд ли при­дет­ся.

Поэто­му один из важ­ных навыков адми­на — это уме­ние вести диалог с поль­зовате­лем и выяс­нять, что имен­но и как не работа­ет. Увы, эта статья не будет посвящена данному вопросу, так что перехо­дим сра­зу к тех­ничес­кой час­ти.

Ресурсы

Пер­вое, на что обра­щает вни­мание любой сис­темный адми­нис­тра­тор, — пот­ребле­ние ресур­сов. Бла­го WinBox выводит эти дан­ные пря­мо в глав­ном окне. А если еще не выводит — сей­час же добав­ляй их туда. Это сэконо­мит мно­го вре­мени в будущем. Тебе нуж­но меню Dashboard → Add. И кста­ти, зеленый квад­ратик в пра­вой вер­хней час­ти — это не заг­рузка про­цес­сора. Не обра­щай на него вни­мания.

Resources

Ес­ли про­цес­сор пос­тоян­но заг­ружен боль­ше 80% (в зависи­мос­ти от усло­вий это зна­чение может менять­ся, но в сред­нем давай при­мем такое чис­ло), то что‑то нелад­но. В пер­вую оче­редь смот­рим на мес­тный «дис­петчер задач», меню Tools → Profile. Тут мы уви­дим, что имен­но наг­ружа­ет CPU, и пой­мем, как дей­ство­вать даль­ше.

Дли­тель­ную ста­тис­тику по наг­рузке CPU, тра­фику на интерфей­сах и дру­гим парамет­рам мож­но уви­деть в Tools → Graphing.

Profile

Объ­ясне­ние полей вы най­дете в вики. Наибо­лее час­то встре­чают­ся DNS, Encrypting и Firewall.

• Encrypting — роутер тра­тит мно­го ресур­сов на шиф­рование. Ско­рее все­го, у вас мно­го тун­нелей VPN и нет аппа­рат­ного чипа шиф­рования. Нуж­но поменять на желез­ку со спе­циаль­ным чипом или выб­рать более сла­бые алго­рит­мы.
• Firewall — пря­мое ука­зание, что вы не читали мои пре­дыду­щие статьи.
• DNS — а вот тут вас ждет кое‑что инте­рес­ное.

Сам по себе DNS-сер­вер поч­ти не наг­ружа­ет роутер в неболь­ших и сред­них сетях (до нес­коль­ких тысяч хос­тов). А исполь­зовать RouterOS в качес­тве DNS-сер­вера в боль­ших сетях не луч­шая идея. Так отку­да наг­рузка? Давай раз­бирать­ся. Если есть наг­рузка, зна­чит что‑то ее соз­дает. Веро­ятно, сер­веру DNS при­ходит­ся отве­чать на боль­шое количес­тво зап­росов. Про­верим, так ли это. Соз­дадим в фай­рво­ле пра­вило.

add action = accept chain = input dst - port = 53 log = yes log - prefix = DNS protocol = udp

И теперь смот­рим в лог. Если наши пред­положе­ния вер­ны, то заметим мно­го сооб­щений с пре­фик­сом DNS. Уви­дим, с каких адре­сов и на какие интерфей­сы летят зап­росы. Ско­рее все­го, это будет интерфейс WAN. Но мы не хотим обра­баты­вать DNS-зап­росы, при­шед­шие к нам из интерне­та. Зак­роем UDP-порт 53 на интерфей­се WAN, помес­тим пра­вило в нуж­ном мес­те — и нас­лажда­емся сни­зив­шей­ся наг­рузкой. Поз­драв­ляю! Мы толь­ко что обна­ружи­ли, что были частью бот­нета, зак­рыли эту дыру и сде­лали интернет чуточ­ку чище. Подоб­ные ата­ки час­то про­водят­ся с при­мене­нием про­токо­лов, работа­ющих над UDP.

Firewall

Во­обще, уме­ние работать с фай­рво­лом несет в себе огромную силу. Пра­виль­но пос­тро­енное пра­вило ука­жет, как про­ходит пакет через сис­тему, в какой интерфейс попада­ет, из какого ухо­дит даль­ше и получа­ет ли ответный пакет. По одним толь­ко счет­чикам мож­но мно­гое узнать о сво­ей сети.

Counters

В стол­бцах Bytes и Packets отоб­ража­ются количес­тво бай­тов и пакетов, обра­ботан­ных пра­вилом. Кноп­ки Reset Counters сбра­сыва­ют эти счет­чики. Теперь мож­но наб­людать, попада­ет ли тра­фик в нуж­ное пра­вило или нет.

По­лез­ной час­то ока­зыва­ется вклад­ка Connections фай­рво­ла. Тут вид­но все потоки, про­ходя­щие через роутер: их сос­тояние, количес­тво про­шед­ших бай­тов, фла­ги потока (для получе­ния под­сказ­ки дос­таточ­но навес­ти на зна­чение в стол­бце). Для боль­шей наг­ляднос­ти нуж­но добавить поля Reply Dst. Address и Reply Src. Address. В этих полях вид­но, в какой и из какого адре­са был про­веден NAT.

Connections

Фай­рвол со все­ми его фичами поз­воля­ет деталь­но дебажить весь тра­фик, про­ходя­щий через роутер. Что­бы луч­ше понимать, что про­исхо­дит во всех этих вклад­ках, нуж­но изу­чить, как пакеты про­ходят через роутер. На кар­тинке упро­щен­ная вер­сия схе­мы. Бо­лее под­робная есть в докумен­тации.

Traffic Flow

Другие способы анализа трафика

Уви­деть сос­тояние потока, его адре­са, бай­ты и про­чее — хорошо. Но фай­рвол не поз­воля­ет удоб­но и из еди­ного мес­та убе­дить­ся, что мар­шру­тиза­ция кор­рек­тна. Что­бы узнать, в какой интерфейс вылета­ет пакет, дос­таточ­но вос­поль­зовать­ся инс­тру­мен­том Torch.

Torch

Torch мож­но вос­при­нимать как некое подобие tcpdump. Здесь мож­но уви­деть VLAN ID, source/destination address/port, DSCP, битовую и пакет­ную ско­рость. Есть удоб­ные филь­тры, которые поз­воля­ют делать точ­ные выбор­ки. Если дан­ные в окне меня­ются слиш­ком быс­тро, уве­личи­вай зна­чение Entry Timeout. К сожале­нию, в одном окне он может показы­вать толь­ко тра­фик на одном интерфей­се, но ник­то не меша­ет нажать New Window и наб­людать за нес­коль­кими интерфей­сами. Если Torch не показы­вает нуж­ного тра­фика на нуж­ном интерфей­се — налицо проб­лемы с мар­шру­тиза­цией.

Torch поз­воля­ет наб­людать за потока­ми тра­фика в реаль­ном вре­мени. Но в некото­рых слу­чаях нуж­ны более деталь­ные дан­ные о тра­фике. Их поз­воля­ет получить инс­тру­мент IP Sniffer.

IP Sniffer

С его помощью мож­но уви­деть парамет­ры тра­фика и даже содер­жимое пакета.

Но иног­да тре­бует­ся более деталь­ный ана­лиз — нап­ример, что­бы убе­дить­ся, что TCP handshake успешно про­шел и дан­ные переда­ются. В таком слу­чае в переда­ваемых пакетах дол­жен при­сутс­тво­вать флаг ACK. Но искать пакеты в скуд­ном интерфей­се «Вин­бокса» неудоб­но.

И тут на помощь при­ходит все­ми любимый Wireshark — мощ­ней­ший инс­тру­мент для ана­лиза сетево­го тра­фика. В Filter ука­зыва­ем нуж­ные парамет­ры, что­бы не сни­фать все под­ряд, в General выбира­ем Filename, жмем Apply и Start. Теперь в Files на роуте­ре мож­но най­ти наш дамп, переки­нуть его на компь­ютер и открыть «Шар­ком». О нем написа­но мно­го ста­тей, поэто­му даже не буду пытать­ся писать тут, как с ним работать.

Но это лишь начало. Мож­но в реаль­ном вре­мени наб­людать за тра­фиком из Wireshark. И без вся­ких опе­раций с фай­лами! Откры­ваем «Шарк», в филь­тре пишем udp. port == 37008 , на сниф­фере RouterOS во вклад­ке Streaming ста­вим галоч­ку Streaming Enabled и впи­сыва­ем IP-адрес компь­юте­ра с запущен­ным «Шар­ком». Мож­но пос­тавить галоч­ку Filter stream, что­бы лить в «Шарк» не весь тра­фик, а толь­ко выб­ранный.

Snif-stream Shark

Лить тра­фик в сниф­фер мож­но и из фай­рво­ла. За это отве­чает дей­ствие sniff-TZSP в таб­лице Mangle. Работа­ет это по ана­логии со Sniffer Streaming, но в фай­рво­ле мож­но сде­лать более точ­ную выбор­ку пакетов для сниф­фера.

Mangle-sniff

Wireless

Са­мая слож­ная часть диаг­ности­ки — это Wi-Fi. Он и сам по себе очень слож­ная тех­нология, к тому же сре­да переда­чи дан­ных общая и все сосед­ские роуте­ры меша­ют работать тво­ему, так же как и он им. О работе 802.11 написа­на не одна кни­га, перес­казывать их я не буду. Пос­мотрим толь­ко на инс­тру­мен­ты, которые могут помочь при диаг­ности­ке.

В RouterOS их нем­ного. Самый глав­ный — вклад­ка Registration в Wireless. Здесь вид­но всю информа­цию о под­клю­чен­ных кли­ентах: MAC, уро­вень сиг­нала, качес­тво сиг­нала.

Registration

Са­мые важ­ные поля:

• CCQ — Client Connection Quality. Чем бли­же к 100%, тем луч­ше. Ниже 60% озна­чает пло­хую связь;
• TX/RX Signal Strength — уро­вень сиг­нала. Отличное зна­чение — от 0 до –45, при­емле­мое — от –55 до –75. Все, что меж­ду, — хорошо. Ниже –75 мож­но счи­тать отсутс­тви­ем свя­зи. По край­ней мере, я ори­енти­руюсь на такие циф­ры.
• Signal to Noise — отно­шение сиг­нал/шум. Чем выше — тем луч­ше.

Вто­рой инс­тру­мент — логи. Собс­твен­но, этот инс­тру­мент дол­жен активно исполь­зовать­ся не толь­ко при диаг­ности­ке Wi-Fi. Если стан­дар­тных логов недос­таточ­но — прос­то вклю­чи рас­ширен­ные.

Log

Ping, Traceroute

Пер­вым инс­тру­мен­том диаг­ности­ки у сисад­мина всег­да был пинг. Но далеко не все зна­ют, сколь­ко воз­можнос­тей он в себе скры­вает.

Мно­гие стал­кивались с тем, что текст на сай­те отоб­ража­ется, а кар­тинки нет. Или скрип­ты не заг­рузились, и сайт «поехал». Это пер­вые приз­наки несог­ласован­ности MTU. С помощью пин­га мож­но про­верить этот вари­ант. Ста­вим галоч­ку Don’t fragment, выс­тавля­ем нуж­ный нам раз­мер пакета и смот­рим на резуль­тат. Если видим packet too large — MTU в канале ниже задан­ного нами зна­чения пакета. Умень­шаем его и про­веря­ем сно­ва. Таким обра­зом выяв­ляем мак­сималь­ный пакет, который про­ходит через сеть без фраг­мента­ции.

Ping

По умол­чанию пакет отправ­ляет­ся с роуте­ра с src address того интерфей­са, в который он вылета­ет. Быва­ет, что нуж­но его поменять. Нап­ример, при диаг­ности­ке мар­шру­тиза­ции внут­ри VPN или кор­рек­тнос­ти работы фай­рво­ла. Для это­го нуж­но запол­нить поле src address. Не забывай, что адрес дол­жен быть сущес­тву­ющим, что­бы ответный пакет вер­нулся.

При слож­ной мар­шру­тиза­ции необ­ходимо выб­рать нуж­ную Routing Table. Впро­чем, те, кто поль­зует­ся нес­коль­кими таб­лицами мар­шру­тиза­ции, и так это зна­ют.

Заключение

Не­воз­можно в одной статье и даже в нес­коль­ких кни­гах опи­сать все воз­можные проб­лемы и методы их диаг­ности­ки и решения. Для эффектив­ного дебага нуж­но понимать, как работа­ет сеть на каж­дом уров­не, ее осо­бен­ности в кон­крет­ной реали­зации — ведь не быва­ет двух оди­нако­вых сетей: рецеп­ты, работа­ющие в одной инфраструк­туре, будут бес­полез­ными для дру­гой.

Для дебага необ­ходимо понимать, как пакет про­ходит внут­ри RouterOS, а в осо­бо слож­ных слу­чаях — и знать осо­бен­ности вен­дора. И это отно­сит­ся не толь­ко к MikroTik. Луч­ший инс­тру­мент дебага — зна­ния и опыт!

Итак. Инет приходит на 1 этаж дома в WAN-порт девайса HAP AC("Основной"), где развернут Капсман. (wifi пашет)
Далее через POE OUT инет выходит на OUTDOOR WAP AC и выпускает wifi на улицу (всё работает)
Также порты LAN 2 и LAN 3 основного роутера идут в WAN порты двух HAP AC Lite - 2 и 3 этаж дома (где wifi с обоих девайсов работает отлично)
Еще с LAN порта POE OUT микротика на 2-м этаже подключен еще один OUTDOOR WAP AC (должен свистеть со 2 этажа на веранду) - он как раз не работает.
Поэтому приходится извращаться с использованием LAN - портов девайса HEX POE в качестве POE хаба, тогда второй WAP AC тоже работает.

По конфигам девайсов - стандартнейшая конфигурация, ничего не трогал.
На основном девайсе развернут Капсман. Два диапазона WIFI (2 и 5 ггц).
Вайфай раздается идеально (ну, если допустить что инет на LAN порту 2 этажа заработал, то вообще сказка).
Инет на компе через LAN порты основного девайса работает идеально.
Всё хорошо, но:
На всех LAN портах двух Lite девайсов (2,3 этаж) нет интернета, а комп и принтер на 1, 2 и 3 этаже, как назло, привыкли быть в проводной сети.

Конфигурация локальной сети у меня одна.
Девайс с Капсманом - 192.168.88.1
255.255.255.0

В общем задача, чтобы один микротик был у меня главным, а остальные - прозрачные, чисто как свичи.
(пробовал отдельно настраивать Lite-ы как свичи, и как бриджИ, и как только не пробовал - Wifi пашет, LAN нет)
Ну и капсман нужно чтобы работал.

Подсеть на 1,2,3 этаже, видимо, должна быть одна и та же, иначе у меня из HEX POE выхода роутера на 2 этаже аутдорка не заработает.

Спасибо за хоть какие-то мысли на сей счет.

Готов отблагодарить пивом.

P.S. Если у меня всё заработает, сохраню конфиг и готов пробовать любые варианты конфигураций и настроек, какие Вам хотелось бы попробовать на этом комплекте девайсов. На добро надо отвечать добром )

Попросили нарисовать схему. Готово.

(что касается девайса HEX POE, его на схеме нет, это я, чтобы хоть как-то тестировать раздачу WIFI со всех своих девайсов, подключал к HEX POE 5-й выход основного роутера на 1 этаже, и из HEX POE - два Аутдора, работало, но все равно как-то всё это криво)

Читайте также:

  
• La e892p отключить память
  
• Как разобрать планшет digma plane 8 3g
  
• Как заряжать паф через usb
  
• Создание мультимедийной информации средствами ms office
  
• Ps4 данные не могут быть использованы для использования данных приобретите их через ps store