Как определить причину периодического отключения роутров Hap Lite?

@GreyViper · Регистрация: 23.03.2011

Студворк — интернет-сервис помощи студентам

Всем доброго времени суток!
Итак, имеется роутер Mikrotik HAP Lite RB941-2ND, неделю назад с ним появилась проблема, о ней позже. Я поставил вместо него другой роутер —Mikrotik Hap Lite RB941-2ND-TC, перенес на него все настройки со старого роутера с помощью функции бекапа, однако проблема осталась, роутер ведет себя аналогично. Теперь суть проблемы: включаешь роутер, все работает, спустя какое-то время, при том разное, может 10 минут, может пол часа начинаются траблы, сначала пользователей отключает от нашего сервака (подключены по RDP), потом пропадает инет, в это время если подключатся к инету через Wi-Fi, подключение зависает на "Получение IP-адреса...", далее пишет "Ошибка аутентификации". Также, если был подключен к роутеру через Winbox, он пишет "Router has been disconnect", и к нему подключиться больше нельзя. Притом бывает, что с Winbox выкинет, Вайфай отвалится а по лан-портам связь еще может быть какое-то время. Если его перезагрузить, все работает, потом проблема появляется снова. Помогите как исправить?

Доп. сведения:
1. Роутер достался от прошлого сотрудинка, все настройки делались до меня и все работало, пока в один день не перестало.
2. На роутере настроено несколько VPN PPTP.
3. Не знаю важный ли момент, но через оба роутера пинг на ya.ru составляется 22-23мс, и каждый n-й пакет имеет задержку то 80мс, то 144мс, видел даже больше.
4. Ставил вместо микротиков какой-то Асус, там все работает нормально, но там далеко не все настройки как на Микротике, а точнее только поднято PPPoE подключение и все. И пинг на ya.ru стабильно 22-23мс, без всплесков.
4. При пинге шлюза, когда подключен любой микротик, задержка составляет менее 1мс, что нормально, однако один пакет из нескольких может показать пинг, например 80 мс, или даже выше.
5. Думал свитч проблемный, менял его результата 0. Напомню, роутер Асус работает нормально на любом свитче.
4. Если отключить инет и свитч от Микротика, он стабильно проработал 3 дня (больше просто не тестировал).
5. Сеть организована так: Роутер, один свитч, с занятыми 7-ю портами. Некоторые пользователи имеют доступ в локальную сеть через VPN PPTP.

Если нужны еще сведения - пишите. Спасибо за любую помощь!

@romsan · 29.04.2018, 09:29

ух.. сколько проблем. Тут куча "возможно" можно предположить. И петля, и конфликт адресов, и физическая поломка того же свитча.
Первым делом давайте посмотрим Ваш конфиг. (/export compact file=cyber.rsc) Все Ваши пароли и стат адреса можете затереть предварительно.
Второе, исходя из описания, попробуйте заменить свитч. Хотя конечно тут двойное противоречие:
- "ставил Асус - всё ок!"
- "отключал свитч и тырнет от МТ - всё ок!"
Может гдето кабель передавлен? Попробовать заменить на новые патчкорды временно.

@GreyViper · 29.04.2018, 17:22 **[ТС]**

Сообщение от romsan

И петля...

Я тоже так подумал, но свитч у нас 8-портовый, 7 из которых уже были заняты, и никто ничего не переподключал.

Сообщение от romsan

и конфликт адресов

А вот тут поподробнее можно? У нас в другом месте, где организовано VPN PPTP к нашей локалке также стоит пара таких же Микротиков.

Сообщение от romsan

физическая поломка того же свитча.

И свитч и роутер я менял на другой, проблема остаётся.

Сообщение от romsan

Первым делом давайте посмотрим Ваш конфиг. (/export compact file=cyber.rsc) Все Ваши пароли и стат адреса можете затереть предварительно.

Вот

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
# apr/17/2018 11:08:06 by RouterOS 6.41
# software id = 7Z71-CVJC
#
# model = RouterBOARD 941-2nD
# serial number = 7DE307B119D1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=wlan \
    wireless-protocol=802.11
/interface bridge
add admin-mac=000 arp=proxy-arp auto-mac=no name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=000 name=000
set [ find default-name=ether2 ] rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether3 ] name=switch
/interface pppoe-client
add add-default-route=yes disabled=no interface=000 name=000 password=\
    000 use-peer-dns=yes user=000
/interface l2tp-server
add name=000 user=000
add name=r000 user=r000
/interface pptp-server
add name=C000 user=C000
add name=C000 user=C000
add name=s000 user=s000
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=000 \
    wpa2-pre-shared-key=000
/ip pool
add name=LAN ranges=000.000.0.100-000.000.0.254
add name=VPN ranges=000.000.000.2-000.000.000.254
/ip dhcp-server
add address-pool=LAN disabled=no interface=bridge lease-time=1d name=bridge
/ppp profile
add bridge=bridge change-tcp-mss=yes incoming-filter="" local-address=\
    000.000.000.1 name=VPN only-one=yes remote-address=VPN
add bridge=bridge change-tcp-mss=yes local-address=000.000.000.1 name=VIP \
    only-one=yes remote-address=VPN
/interface l2tp-client
add allow-fast-path=yes connect-to=00.000.000.195 disabled=no name=000k \
    password=0000r profile=default user=00000
/system logging action
set 1 disk-file-count=3 disk-lines-per-file=10000
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=switch
add bridge=bridge interface=ether4
add bridge=bridge interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=all
/interface detect-internet
set detect-interface-list=WAN lan-interface-list=LAN
/interface l2tp-server server
set default-profile=VPN enabled=yes
/interface list member
add interface=bridge list=LAN
add interface=000 list=WAN
add interface=000 list=WAN
/interface pptp-server server
set default-profile=VPN enabled=yes
/ip accounting
set enabled=yes
/ip address
add address=000.000.000.1/24 comment=defconf interface=bridge network=\
    000.000.000.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=LDS
/ip dhcp-server lease
add address=000.000.000.72 always-broadcast=yes mac-address=000 \
    server=bridge
add address=000.000.000.74 mac-address=000 server=bridge
add address=000.000.000.71 mac-address=0000 server=bridge
add address=000.000.000 mac-address=000 server=bridge
add address=000.000.000 always-broadcast=yes mac-address=0000 \
    server=bridge
/ip dhcp-server network
add address=000.000.0000/24 comment=LAN gateway=000.000.000.1
add address=000.000.000.0/24 comment=VPN dns-server=000.000.000.1 gateway=\
    000.000.000.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
    protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
    protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
    protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
    protocol=tcp src-address-list=pptp_stage1
/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none \
    out-interface=!bridge
add action=dst-nat chain=dstnat comment=Redmine dst-port=80 \
    in-interface-list=WAN protocol=tcp to-addresses=000.000.000 to-ports=80
add action=dst-nat chain=dstnat comment=RDP dst-port=6 in-interface=!bridge \
    protocol=tcp to-addresses=000.000.000 to-ports=3389
add action=dst-nat chain=dstnat comment=Ftp_Install dst-port=21 \
    in-interface-list=WAN protocol=tcp to-addresses=000.000.000.70 to-ports=21
add action=dst-nat chain=dstnat comment="RDP 000" dst-port=12850 \
    in-interface-list=WAN protocol=tcp to-addresses=000.000.000.70 to-ports=\
    12850
add action=dst-nat chain=dstnat comment="RDP 000r" dst-port=156 \
    in-interface-list=WAN protocol=tcp to-addresses=000.000.000 to-ports=\
    3389
add action=dst-nat chain=dstnat comment="RDP 000m" dst-port=71 \
    in-interface-list=WAN protocol=tcp to-addresses=000.000.000 to-ports=\
    3389
add action=dst-nat chain=dstnat comment="RDP 000р" dst-port=72 \
    in-interface-list=WAN protocol=tcp to-addresses=000.000.000 to-ports=\
    3389
add action=dst-nat chain=dstnat comment="RDP 00ey" dst-port=73 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.5.73 to-ports=\
    3389
add action=dst-nat chain=dstnat comment="RDP 0a" dst-port=74 \
    in-interface-list=WAN protocol=tcp to-addresses=000.000.000.74 to-ports=\
    3389
add action=dst-nat chain=dstnat comment=Torrent dst-port=10001 protocol=tcp \
    to-addresses=000.000.000.6 to-ports=10001
add action=dst-nat chain=dstnat comment=Torrent dst-port=10001 protocol=udp \
    to-addresses=000.000.000.6 to-ports=10001
add action=dst-nat chain=dstnat comment=CommFort dst-port=9750 \
    in-interface-list=WAN protocol=tcp to-addresses=1000.000.000.70 to-ports=\
    9750
add action=dst-nat chain=dstnat comment=CommFort dst-address=9000.000.000 \
    in-interface-list=!WAN protocol=tcp src-address=000.000.000/16 \
    to-addresses=000.000.000
add action=masquerade chain=srcnat comment=CommFort dst-address=000.000.000 \
    protocol=tcp
add action=dst-nat chain=dstnat dst-port=25 protocol=tcp to-addresses=\
    000.000.000 to-ports=25
/ip proxy
set enabled=yes port=888 serialize-connections=yes src-address=0.0.0.0
/ip route
add distance=1 dst-address=000.000.0000/24 gateway=000.000.000.50
add distance=1 dst-address=000.000.0008.0/24 gateway=0000
add distance=1 dst-address=000.000.0009.0/24 gateway=000.000.000.254
add distance=1 dst-address=000.000.0000.0/24 gateway=000.000.000.253
/ip service
set telnet disabled=yes port=2323
set ftp port=2121
set www disabled=yes port=8080
set ssh disabled=yes port=2222
set api disabled=yes
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=0000t type=external
add interface=bridge type=internal
add interface=rt000 type=internal
/ppp secret
add name=0 password=0 profile=VPN
add name=0 password=0 profile=VPN
add name=0 password=0 profile=VPN
add name=0 password=0R profile=VPN
add name=0 password=0 profile=VIP
add name=R00_00 password=A0 profile=VPN
add name=rtdmn password=0 profile=VIP remote-address=\
    000.00.100.00
add name=0 password=saxsafon profile=VPN remote-address=0.0.0.0
add name=C0R password=0 profile=VPN remote-address=0.0.0.0
add name=C00R password=0 profile=VPN remote-address=\
    0.0.0.0
add name=0n password=C0 profile=VPN remote-address=\
    0.0.0.0
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system identity
set name=Most
/system logging
set 0 action=disk
set 1 action=disk
set 2 action=disk
set 3 action=disk
/system ntp client
set enabled=yes primary-ntp=0.0.0.0 secondary-ntp=0.0.0.00 \
    server-dns-names=прпрпрпрпр
/system routerboard settings
set cpu-frequency=750MHz
/tool graphing interface
add interface=00
add interface=00_Inet
add interface=bridge
add interface=ether2
add interface=switch
add interface=wlan1
add interface=ether4
add
/tool graphing queue
add
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Сейчас обратил внимание на:
/ppp secret
add name=0 password=0 profile=VPN
add name=0 password=0 profile=VPN
add name=0 password=0 profile=VPN
add name=0 password=0R profile=VPN
add name=0 password=0 profile=VIP
add name=R00T_ADMIN password=00007 profile=VPN
add name=rtdmn password=0007 profile=VIP remote-address=\
0.0.0.00

Красными выделены логины, которыми пользовался прошлый админ, может он что-то удаленно подправил?

PS: Тут стоит еще прошивка 6.41, обновлял до 6.42 - не помогло.

Сообщение от romsan

Второе, исходя из описания, попробуйте заменить свитч. Хотя конечно тут двойное противоречие:
- "ставил Асус - всё ок!"
- "отключал свитч и тырнет от МТ - всё ок!"
Может гдето кабель передавлен? Попробовать заменить на новые патчкорды временно.

Свитч менял, сам удивляюсь что с Асосм все ок, а на микротиках что-то неладное твориться. У нас 1 кабель - это инет, 6 идут от свитча к компам, и еще 1 к серваку. Какой кабель проверять? Или любой может вызывать данные глюки?

@romsan · 30.04.2018, 21:41

я чтото путаюсь в Ваших 000. Не пойму, это действительно 000 или затертые данные. (внутреннюю подсеть смысла нет затирать, Вы же за НАТом)
У Вас LAN имеет подсеть ***.***.0.0/24 ?
а VPN какую подсеть имеет?

Сообщение от GreyViper

У нас 1 кабель - это инет, 6 идут от свитча к компам, и еще 1 к серваку

вообще какие задачи стоят? Может у Вас куча уже не нужного в МТ?

@GreyViper · 02.05.2018, 20:16 **[ТС]**

romsan, можно я Вам в личку сброшу как есть все без редактирования, я уже не знаю куда смотреть. Вчера опять тоже самое 5-7 минут проработал с запущенным пингом на ya.ru. Далее стал писать "Превышен интервал ожидания", после пары таких строк выдал: "Ответ от [ip роутера] Заданная сеть недоступна". Спустя еще секунд 30 Winbox меня выкинул с сессии и не захотел преподключаться до ребута роутера.

@GreyViper · 12.05.2018, 12:23 **[ТС]**

Сегодня опять пытался разобраться в чем проблема. Появились некоторые подробности. Роутер вырубается после того как определенное время будет загрузка проца на 100%. Также я выше писал что на роутере иногда проскакивают пакеты с повышенным пингом, это совпадает как раз с полной загрузкой проца. В связи с этим у меня несколько вопросов. Может ли загрузка проца "вырубать" роутер? И как найти причину такого поведения? Сегодня подключил роутер, он проработал где-то минут 40, после чего вышеописанная ситуация повторилась - роутер перестал быть доступен. Я обратил внимание что до этого минуты 2-3 загрузка проца была 100%, после этого я перезагрузил роутер, он проработал минут 5 и загрузка проца опять стала 100%. такое поведение ротуре показывает, только если в него втыкнуть кабель интернета. Без подключения к интернету он проработал дня 4 и не перезагружался. Следовательно, этот как-то связано с интернетом. Также напомню, что на роутере есть несколько впнок, я их вроде все отключил, однако в логах все-равно пишет, что невозможно сконнектится с PPTP. Выкладываю "скрин". Извините за фото экрана, на том компе где я был нельзя вставлять свои накопители.

PS: На предыдущем роутере была какая-то команда, которая повышала частоту проца до 750 Мгц. Но при переносе конфигурации на этот роутер, я смотрю, проц остался на 650 Мгц. Похоже, проблема с загрузкой была и раньше.

@.None · 12.05.2018, 19:01

ну вот и причина, ваш роутер не справляется с нагрузкой
при 100% загрузке трафик деградирует очень сильно, возможно перегрев процессора со всеми вытекающими

отключайте прокси сервер, станет полегче, или переходить на более производительную модель

но для начала, я бы рекомендовал сбросить микротик в 0 и заново вдумчиво настроить руками по потребностям, если нужно прокси, то вынести на отдельное устройство

Добавлено через 9 минут
с другой стороны странно что проявляется когда подключен интернет, возможно атака на роутер, нужно смотреть на месте

Добавлено через 15 минут
нужно настроить фаервол, возможно после этого станет полегче

@GreyViper · 12.05.2018, 20:36 **[ТС]**

Сообщение от .None

ну вот и причина, ваш роутер не справляется с нагрузкой
при 100% загрузке трафик деградирует очень сильно, возможно перегрев процессора со всеми вытекающими

Ну да, совпадает, как я сказал выше, первый раз после долгого отключения он проработал минут 40, а после ребута - минут 5.

Сообщение от .None

для начала, я бы рекомендовал сбросить микротик в 0 и заново вдумчиво настроить руками по потребностям

Помимо PPPoE и Wi-Fi обязательным являются две ВПН-ки, как мне объяснили, одна с другим микротиком на другом офисе, вторая - с обычным виндовым подключением. Это сделано, чтобы их принтеры были в нашей локальной сети.

Сообщение от .None

отключайте прокси сервер, станет полегче, или переходить на более производительную модель
... если нужно прокси, то вынести на отдельное устройство

Прокси не нужен. Как его отключить? И еще, если можно, подскажите, может еще что отключить нужно исходя из фото выше?
Там еще процесс есть cpu0, я так понял это просто показывается что весь проц занят другими процессами? Или что это?

Сообщение от .None

с другой стороны странно что проявляется когда подключен интернет, возможно атака на роутер, нужно смотреть на месте

Может просто какие-то службы не работают без инета, из-за этого ресурс процессора расходуется меньше. Как можно проверить роутер на атаку?

Сообщение от .None

нужно настроить фаервол, возможно после этого станет полегче

Можно поподробнее, что нужно настраивать? Какие правила и т.д.

Спасибо!

@Konstantin® · 14.05.2018, 10:55

Сообщение от .None

с другой стороны странно что проявляется когда подключен интернет

Думаю ничего странного, возможно NAT так нагружает роутер.
GreyViper, А пользователи случайно торрентами не балуются ?

@.None · 14.05.2018, 11:07

там выше есть фотка профайла, не похоже на нат, очень похоже что кто-то с инета юзает прокси, фаервол никакой

@Konstantin® · 14.05.2018, 11:21

Сообщение от .None

выше есть фотка профайла, не похоже на нат

Не по теме:

Да, уже рассмотрел.

Добавлено через 4 минуты

Сообщение от .None

похоже что кто-то с инета юзает прокси

А можно ли это отследить запустив Torch на внешнем интерфейсе ?

@.None · 14.05.2018, 11:23

да, будут пакеты с dst тика и портом прокси

@GreyViper · 16.05.2018, 19:47 **[ТС]**

Итак, ребята, отключил прокси, аптайм уже чуть более 3 дней, загрузка проца не более 4-5%. Всем большое спасибо за помощь! Остался последний вопрос, помогите правильно настроить фаервол, пожалуйста. И еще раз всем спасибо!

@.None · 16.05.2018, 19:59

ну давайте еще раз /ip firewall filter export
в тег CODE под спойлер

@romsan · 16.05.2018, 20:11

Сообщение от GreyViper

помогите правильно настроить фаервол, пожалуйста

вот тут мы курили Правила для mikrotik firewall

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

@GreyViper 0 / 0 / 0 Регистрация: 23.03.2011 Сообщений: 47

	Как определить причину периодического отключения роутров Hap Lite? 29.04.2018, 06:52. Показов 18891. Ответов 14 Метки mikrotik, проблема, роутер, сеть (Все метки) Всем доброго времени суток! Итак, имеется роутер Mikrotik HAP Lite RB941-2ND, неделю назад с ним появилась проблема, о ней позже. Я поставил вместо него другой роутер —Mikrotik Hap Lite RB941-2ND-TC, перенес на него все настройки со старого роутера с помощью функции бекапа, однако проблема осталась, роутер ведет себя аналогично. Теперь суть проблемы: включаешь роутер, все работает, спустя какое-то время, при том разное, может 10 минут, может пол часа начинаются траблы, сначала пользователей отключает от нашего сервака (подключены по RDP), потом пропадает инет, в это время если подключатся к инету через Wi-Fi, подключение зависает на "Получение IP-адреса...", далее пишет "Ошибка аутентификации". Также, если был подключен к роутеру через Winbox, он пишет "Router has been disconnect", и к нему подключиться больше нельзя. Притом бывает, что с Winbox выкинет, Вайфай отвалится а по лан-портам связь еще может быть какое-то время. Если его перезагрузить, все работает, потом проблема появляется снова. Помогите как исправить? Доп. сведения: 1. Роутер достался от прошлого сотрудинка, все настройки делались до меня и все работало, пока в один день не перестало. 2. На роутере настроено несколько VPN PPTP. 3. Не знаю важный ли момент, но через оба роутера пинг на ya.ru составляется 22-23мс, и каждый n-й пакет имеет задержку то 80мс, то 144мс, видел даже больше. 4. Ставил вместо микротиков какой-то Асус, там все работает нормально, но там далеко не все настройки как на Микротике, а точнее только поднято PPPoE подключение и все. И пинг на ya.ru стабильно 22-23мс, без всплесков. 4. При пинге шлюза, когда подключен любой микротик, задержка составляет менее 1мс, что нормально, однако один пакет из нескольких может показать пинг, например 80 мс, или даже выше. 5. Думал свитч проблемный, менял его результата 0. Напомню, роутер Асус работает нормально на любом свитче. 4. Если отключить инет и свитч от Микротика, он стабильно проработал 3 дня (больше просто не тестировал). 5. Сеть организована так: Роутер, один свитч, с занятыми 7-ю портами. Некоторые пользователи имеют доступ в локальную сеть через VPN PPTP. Если нужны еще сведения - пишите. Спасибо за любую помощь! 0

@romsan 5877 / 2220 / 475 Регистрация: 17.10.2015 Сообщений: 9,418
	29.04.2018, 09:29
	ух.. сколько проблем. Тут куча "возможно" можно предположить. И петля, и конфликт адресов, и физическая поломка того же свитча. Первым делом давайте посмотрим Ваш конфиг. (/export compact file=cyber.rsc) Все Ваши пароли и стат адреса можете затереть предварительно. Второе, исходя из описания, попробуйте заменить свитч. Хотя конечно тут двойное противоречие: - "ставил Асус - всё ок!" - "отключал свитч и тырнет от МТ - всё ок!" Может гдето кабель передавлен? Попробовать заменить на новые патчкорды временно. 1

@GreyViper 0 / 0 / 0 Регистрация: 23.03.2011 Сообщений: 47
	02.05.2018, 20:16 [ТС]
	romsan, можно я Вам в личку сброшу как есть все без редактирования, я уже не знаю куда смотреть. Вчера опять тоже самое 5-7 минут проработал с запущенным пингом на ya.ru. Далее стал писать "Превышен интервал ожидания", после пары таких строк выдал: "Ответ от [ip роутера] Заданная сеть недоступна". Спустя еще секунд 30 Winbox меня выкинул с сессии и не захотел преподключаться до ребута роутера. 0

@GreyViper 0 / 0 / 0 Регистрация: 23.03.2011 Сообщений: 47
	12.05.2018, 12:23 [ТС]
	Сегодня опять пытался разобраться в чем проблема. Появились некоторые подробности. Роутер вырубается после того как определенное время будет загрузка проца на 100%. Также я выше писал что на роутере иногда проскакивают пакеты с повышенным пингом, это совпадает как раз с полной загрузкой проца. В связи с этим у меня несколько вопросов. Может ли загрузка проца "вырубать" роутер? И как найти причину такого поведения? Сегодня подключил роутер, он проработал где-то минут 40, после чего вышеописанная ситуация повторилась - роутер перестал быть доступен. Я обратил внимание что до этого минуты 2-3 загрузка проца была 100%, после этого я перезагрузил роутер, он проработал минут 5 и загрузка проца опять стала 100%. такое поведение ротуре показывает, только если в него втыкнуть кабель интернета. Без подключения к интернету он проработал дня 4 и не перезагружался. Следовательно, этот как-то связано с интернетом. Также напомню, что на роутере есть несколько впнок, я их вроде все отключил, однако в логах все-равно пишет, что невозможно сконнектится с PPTP. Выкладываю "скрин". Извините за фото экрана, на том компе где я был нельзя вставлять свои накопители. PS: На предыдущем роутере была какая-то команда, которая повышала частоту проца до 750 Мгц. Но при переносе конфигурации на этот роутер, я смотрю, проц остался на 650 Мгц. Похоже, проблема с загрузкой была и раньше. Миниатюры 0

@.None 4366 / 1694 / 342 Регистрация: 23.06.2009 Сообщений: 6,009
	12.05.2018, 19:01
	ну вот и причина, ваш роутер не справляется с нагрузкой при 100% загрузке трафик деградирует очень сильно, возможно перегрев процессора со всеми вытекающими отключайте прокси сервер, станет полегче, или переходить на более производительную модель но для начала, я бы рекомендовал сбросить микротик в 0 и заново вдумчиво настроить руками по потребностям, если нужно прокси, то вынести на отдельное устройство Добавлено через 9 минут с другой стороны странно что проявляется когда подключен интернет, возможно атака на роутер, нужно смотреть на месте Добавлено через 15 минут нужно настроить фаервол, возможно после этого станет полегче 1

@.None 4366 / 1694 / 342 Регистрация: 23.06.2009 Сообщений: 6,009
	14.05.2018, 11:07
	там выше есть фотка профайла, не похоже на нат, очень похоже что кто-то с инета юзает прокси, фаервол никакой 1

@.None 4366 / 1694 / 342 Регистрация: 23.06.2009 Сообщений: 6,009
	14.05.2018, 11:23
	да, будут пакеты с dst тика и портом прокси 1

@GreyViper 0 / 0 / 0 Регистрация: 23.03.2011 Сообщений: 47
	16.05.2018, 19:47 [ТС]
	Итак, ребята, отключил прокси, аптайм уже чуть более 3 дней, загрузка проца не более 4-5%. Всем большое спасибо за помощь! Остался последний вопрос, помогите правильно настроить фаервол, пожалуйста. И еще раз всем спасибо! 0

@.None 4366 / 1694 / 342 Регистрация: 23.06.2009 Сообщений: 6,009
	16.05.2018, 19:59
	ну давайте еще раз /ip firewall filter export в тег CODE под спойлер 0