Нет интернета на LAN

@Kevin_Clapton · Регистрация: 15.10.2019

Author24 — интернет-сервис помощи студентам

Схема такая. Микрот является DHCP-клиентом моего головного роутера, который получает интернет от провайдера. Я подключил микрот через WLAN как клиента Wi-Fi моего головного роутера (wlan в режиме station), с терминала микрота пингуется DNS гугла, а с компа, который являетс DHCP-климентом микрота, подключённым в ether2, не пингуется. Маршруты вроде все есть, понять не могу.

export compact:

Код

# oct/06/2023 01:28:44 by RouterOS 6.48.6
# software id = B1DV-X37B
#
# model = 951Ui-2HnD
# serial number = HEM08XSYXFB
/interface bridge
add admin-mac=48:A9:8A:E8:A4:3B auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk group-ciphers=tkip,aes-ccm mode=dynamic-keys name="to master" \
    supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=dadarivo \
    wpa2-pre-shared-key=dadarivo
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors \
    frequency=auto security-profile="to master" ssid=Master wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf disabled=yes interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf disabled=yes interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=wlan1 list=LAN
add interface=ether2 list=WAN
add interface=ether3 list=WAN
add interface=ether4 list=WAN
add interface=ether5 list=WAN
add interface=bridge list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add disabled=no interface=wlan1
/ip dhcp-server lease
add address=192.168.88.2 client-id=1:44:8a:5b:25:59:54 mac-address=44:8A:5B:25:59:54 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=\
    127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes dst-address-list=\
    0.0.0.0/0 ipsec-policy=out,none out-interface-list=WAN src-address-list=192.168.0.1-192.168.0.254
/system clock
set time-zone-name=Asia/Novosibirsk
/system identity
set name=RouterOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

@.None · 06.10.2023, 10:08

1. добавьте ether1 в bridge
2. в /interface list member wlan1 list=WAN
вот это удалите
add interface=ether2 list=WAN
add interface=ether3 list=WAN
add interface=ether4 list=WAN
add interface=ether5 list=WAN
add comment=defconf interface=ether1 list=WAN

т.е. в /interface list member должно остаться
add interface=bridge list=LAN
add interface=wlan1 list=WAN

3. в правиле
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes dst-address-list=\
0.0.0.0/0 ipsec-policy=out,none out-interface-list=WAN src-address-list=192.168.0.1-192.168.0.254
уберите src-address-list=192.168.0.1-192.168.0.254
и правило нужно включить

и все должно заработать

@Kevin_Clapton · 06.10.2023, 11:39 **[ТС]**

Сообщение от .None

3. в правиле
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes dst-address-list=\
0.0.0.0/0 ipsec-policy=out,none out-interface-list=WAN src-address-list=192.168.0.1-192.168.0.254
уберите src-address-list=192.168.0.1-192.168.0.254
и правило нужно включить

Однако же, не помогло(((

Код

/interface bridge
add admin-mac=48:A9:8A:E8:A4:3B auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk group-ciphers=tkip,aes-ccm mode=\
    dynamic-keys name="to master" supplicant-identity="" unicast-ciphers=\
    tkip,aes-ccm wpa-pre-shared-key=dadarivo wpa2-pre-shared-key=dadarivo
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto security-profile="to master" \
    ssid=Master wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf disabled=yes interface=wlan1
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=wlan1 list=LAN
add interface=bridge list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add disabled=no interface=wlan1
/ip dhcp-server lease
add address=192.168.88.2 client-id=1:44:8a:5b:25:59:54 mac-address=\
    44:8A:5B:25:59:54 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=8.8.8.8,8.8.4.4 gateway=\
    192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new disabled=yes \
    in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
/system clock
set time-zone-name=Asia/Novosibirsk
/system identity
set name=RouterOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Добавлено через 1 час 2 минуты

Сообщение от .None

т.е. в /interface list member должно остаться
add interface=bridge list=LAN
add interface=wlan1 list=WAN

Невнимательно посмотрел, действительно перепутал wan и lan, спасибо))

@romsan · 06.10.2023, 12:34

Сообщение от Kevin_Clapton

Микрот является DHCP-клиентом моего головного роутера

а зачем Вам 2-й НАТ? Не проще ли МТ настроить как свитч с ТД ?

@Kevin_Clapton · 06.10.2023, 12:46 **[ТС]**

Хочу на микроте L2TP-клиент настроить, я так понимаю, этого не получится в режиме свитча

@romsan · 06.10.2023, 13:15

Сообщение от Kevin_Clapton

я так понимаю, этого не получится в режиме свитча

ну с каких таких делов не получиться?

Все делается и все работает!

Добавлено через 23 минуты
у одного моего корефана, возникла хотелка: иногда вечерком зайти на ПК работы из дома, и проверить/перепроверить какие то там данные в 1С.
Решение:
1) в его рабочей сети поставил МТ (hAP lite TC) в режиме свитча
2) С него поднимается VPN (L2TP) до микрота со статическим адресом
3) На его микроте создал скрипт парсинга команд из Телеграм бота
который:
а) каждые 15 сек ищет ключевую команду в боте
б) если команда появилась, то отправляет в рабочую сеть, на ПК, команду WoL (пробуждение по LAN) и поднимается VPN-туннель
в) "Соьбака" запускает команду пинга до указанного ПК
г) как только пинг получен, отправляется сообщение в Телегу, что ПК готов к подключению, и включается правило в фаерволе на открытие порта RDP. Соответственно, заказчик имеет возможность по статическому адресу на удаленном МТ подключиться по RDP на рабочий ПК.
д) "Собака" так и проверяет по пингу доступность ПК, если пинг пропал, то правило в фаерволе открытости порта RDP отключается, туннель выключается... и т.д.
4) Прописал маршрутизацию на доступ по RDP к его ПК через поднятый туннель.
-------------------------
Всё работает! Все довольны! Я систематически пью пиво!

@Kevin_Clapton · 06.10.2023, 13:18 **[ТС]**

Для меня пока сложновато, я микрот приобрёл как раз для обучения сетевым технологиям и администрированию сетей, а это дебри совсем для меня)

@romsan · 06.10.2023, 13:23

Не по теме:

Сообщение от Kevin_Clapton

я микрот приобрёл как раз для обучения сетевым технологиям и администрированию сетей

Сообщение от Kevin_Clapton

а это дебри совсем для меня

6 лет назад я так же думал :)

Добавлено через 3 минуты
опишите свою хотелку: подумаем, поможем, попьем пиво!

@.None 4295 / 1632 / 325 Регистрация: 23.06.2009 Сообщений: 5,815
	06.10.2023, 10:08	2
	1. добавьте ether1 в bridge 2. в /interface list member wlan1 list=WAN вот это удалите add interface=ether2 list=WAN add interface=ether3 list=WAN add interface=ether4 list=WAN add interface=ether5 list=WAN add comment=defconf interface=ether1 list=WAN т.е. в /interface list member должно остаться add interface=bridge list=LAN add interface=wlan1 list=WAN 3. в правиле /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes dst-address-list=\ 0.0.0.0/0 ipsec-policy=out,none out-interface-list=WAN src-address-list=192.168.0.1-192.168.0.254 уберите src-address-list=192.168.0.1-192.168.0.254 и правило нужно включить и все должно заработать 1

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,288
	06.10.2023, 12:34	4
	Сообщение от Kevin_Clapton Микрот является DHCP-клиентом моего головного роутера а зачем Вам 2-й НАТ? Не проще ли МТ настроить как свитч с ТД ? 0

@Kevin_Clapton 4 / 4 / 0 Регистрация: 15.10.2019 Сообщений: 25
	06.10.2023, 12:46 [ТС]	5
	Хочу на микроте L2TP-клиент настроить, я так понимаю, этого не получится в режиме свитча 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,288
	06.10.2023, 13:15	6
	Сообщение от Kevin_Clapton я так понимаю, этого не получится в режиме свитча ну с каких таких делов не получиться? Все делается и все работает! Добавлено через 23 минуты у одного моего корефана, возникла хотелка: иногда вечерком зайти на ПК работы из дома, и проверить/перепроверить какие то там данные в 1С. Решение: 1) в его рабочей сети поставил МТ (hAP lite TC) в режиме свитча 2) С него поднимается VPN (L2TP) до микрота со статическим адресом 3) На его микроте создал скрипт парсинга команд из Телеграм бота который: а) каждые 15 сек ищет ключевую команду в боте б) если команда появилась, то отправляет в рабочую сеть, на ПК, команду WoL (пробуждение по LAN) и поднимается VPN-туннель в) "Соьбака" запускает команду пинга до указанного ПК г) как только пинг получен, отправляется сообщение в Телегу, что ПК готов к подключению, и включается правило в фаерволе на открытие порта RDP. Соответственно, заказчик имеет возможность по статическому адресу на удаленном МТ подключиться по RDP на рабочий ПК. д) "Собака" так и проверяет по пингу доступность ПК, если пинг пропал, то правило в фаерволе открытости порта RDP отключается, туннель выключается... и т.д. 4) Прописал маршрутизацию на доступ по RDP к его ПК через поднятый туннель. ------------------------- Всё работает! Все довольны! Я систематически пью пиво! 0

@Kevin_Clapton 4 / 4 / 0 Регистрация: 15.10.2019 Сообщений: 25
	06.10.2023, 13:18 [ТС]	7
	Для меня пока сложновато, я микрот приобрёл как раз для обучения сетевым технологиям и администрированию сетей, а это дебри совсем для меня) 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,288
	06.10.2023, 13:23	8
	Не по теме: Сообщение от Kevin_Clapton я микрот приобрёл как раз для обучения сетевым технологиям и администрированию сетей Сообщение от Kevin_Clapton а это дебри совсем для меня 6 лет назад я так же думал :) Добавлено через 3 минуты опишите свою хотелку: подумаем, поможем, попьем пиво! 0