Задать вопрос
@Lin_Hei

Mikrotik блокирует некоторым пк доступ в инет после перезагрузки пк,кто нибудь сталкивался с подобным?

День добрый,попал в такую ситуацию:
Есть компания,в ней 6 компов(все Windows 7 prof) и один сервер с поднятым на нем АД.
Пару дней назад установил им mikrotik RB951Ui-2HnD , настройки почти стандартные,DHCP раздает сервер так как является КД.Проблема заключается вот в чем-люди с утра приходят на работу и включив комп обнаруживают что у них нет интернета(локальная сеть работает и все прекрасно).И компов таких всего лишь 3(ну половина точнее).С сервака по DameWare к ним подключаюсь легко,пингую mikrotik,а в ответ тишина,внешние сайты тоже не доступны.И инет не появится до тех пор пока с роутера я не отправлю пинг на пк,тогда сразу начинает работать.Думал дело в свитче d-link'овском,но не тут то было.Свитч заменил,порты менял,кабель тоже,не помогает ничего.С другими компами такой проблемы нет.Перезагрузка свитча d-link,кстати,решала проблему.Вчера вечером поставил 24портовый tp-link,но с утра проблема повторилась.Правил запрещающих вообще нету,отключил для тестов.Может кто хоть подсказать в какую сторону рыть?
Еще могу добавить что его до меня человек настраивал,поднял на нем bridge для голоса,vlan на первом эзернете,и заихал в бридж влан и 5 порт.
  • Вопрос задан
  • 3531 просмотр
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@Lin_Hei Автор вопроса
Ну что вы к ДНС и ДХЦП пристали,вот никак они не были связаны с этой проблемой(да и не могли быть).
Проблема решена.Взял такой же микротик,и залил на него конфиг со сбойного.Все работает теперь без проблем.Микротик вернулся в магазин.Всем спасибо.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
nimbo
@nimbo
вы забыли выложить конфиги.
ps: а вообще на свитчах от д-линк ничего кроме влан лучше вообще не настраивать и все фичи выключать по возможности
Ответ написан
hamnsk
@hamnsk
Системный администратор, Linux/Windows
Да конечно по такой писанине что куда бегает понять не возможно, попробую догадаться:

1. Ether1 = WAN
2. Ether2-Ether5 = Local (ихх лучше прилинковать сделав 2 порт мастером остальные слейвом, бридж работает медленней
3. DHCP перенести на микротик, срок жизни 3 дня поставить
4. Настроить DHCP чтобы выдавал шлюз по умолчанию, адрес микротика, днс сервер адрес микротика (для локалки разумеется)
5. На микротике днс прописать 1 ваш контроллер домена 1, 2 контроллер 2 если есть и тд, последним в список добавить гугловый днс 8.8.8.8
6. Настроить нат
В такой конфигурации микротик будет раздавать адреса, шлюз по умолчанию он и днс сервер тоже (будет кешировать запросы) плюс можно прописать статику для своих целей или тестов не трогая доменный днс вообще, все запросы сперва он будет слать на контроллер домена, и если там такого ответа не найдет то на гугле будет искать их, ваши КД наверняка тоже бегают в инет через микротик, таким образом с рабочей станции резолв mail.ru будет выглядеть так: запрос на микротик - запрос на кд - трафик с кд через микротик на днс глобальный (если настроен сервер пересылки) если нет то говорим нет такого и микротик спрашивает у следующего днс в списке пока всех по порядку не переберет - затем ответ микротику - после ответ клиенту

Если вы хотите выделить телефонию в отдельный вилан, то на Ether 2 он у нас мастер поднимает VLAN говорим что принимаем тегированный и не тегированный трафик, ведь если у нас на 2 порту висит локалка без влана то трафик с нее не пройдет, настраиваем свою подсеть со своим DHCP сервером, оборудование тегируем на нужный вилан и все по той же схеме... Можно настроить ацесс лист, и запретить сетки резолвить друг в друга.
Ответ написан
@GhOsT_MZ
Ростов-на-Дону
Странно все это. Я бы сделал стриминг всего трафика, приходящего на порт, куда подключен комп с неработющим интернетом, на комп, который нормально работает. Ну а там уже начал разбирать, что доходит от этого компа до МТ, и что отправляется в ответ.

Также, в момент отсутствия пинга не плохо бы посмотреть
/ip firewall connection print detail

Можно еще в МТ включить debug-лог и следить за логами.
Ответ написан
Largo1
@Largo1
Айтишник далёкого плана
/ip dns
set allow-remote-requests=yes cache-max-ttl=2d cache-size=4096KiB query-server-timeout=5s servers=192.168.0.5,192.168.0.1

/ip firewall nat
add action=redirect chain=dstnat dst-port=53 protocol=tcp src-address=192.168.0.0/24 to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=udp src-address=192.168.0.0/24 to-ports=53
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы