Mikrotik блокирует некоторым пк доступ в инет после перезагрузки пк,кто нибудь сталкивался с подобным?

Question

[Lin_Hei]

День добрый,попал в такую ситуацию:
Есть компания,в ней 6 компов(все Windows 7 prof) и один сервер с поднятым на нем АД.
Пару дней назад установил им mikrotik RB951Ui-2HnD , настройки почти стандартные,DHCP раздает сервер так как является КД.Проблема заключается вот в чем-люди с утра приходят на работу и включив комп обнаруживают что у них нет интернета(локальная сеть работает и все прекрасно).И компов таких всего лишь 3(ну половина точнее).С сервака по DameWare к ним подключаюсь легко,пингую mikrotik,а в ответ тишина,внешние сайты тоже не доступны.И инет не появится до тех пор пока с роутера я не отправлю пинг на пк,тогда сразу начинает работать.Думал дело в свитче d-link'овском,но не тут то было.Свитч заменил,порты менял,кабель тоже,не помогает ничего.С другими компами такой проблемы нет.Перезагрузка свитча d-link,кстати,решала проблему.Вчера вечером поставил 24портовый tp-link,но с утра проблема повторилась.Правил запрещающих вообще нету,отключил для тестов.Может кто хоть подсказать в какую сторону рыть?
Еще могу добавить что его до меня человек настраивал,поднял на нем bridge для голоса,vlan на первом эзернете,и заихал в бридж влан и 5 порт.

Answer 1

[Lin_Hei]

Ну что вы к ДНС и ДХЦП пристали,вот никак они не были связаны с этой проблемой(да и не могли быть).
Проблема решена.Взял такой же микротик,и залил на него конфиг со сбойного.Все работает теперь без проблем.Микротик вернулся в магазин.Всем спасибо.

Comments

[Logout_90]

Доброго времени суток! Судя по симптомам, возможно (только возможно) проблема была не в микротике, а в сетке. Похоже на петлю, что может дать проблемы в будущем. Сам так попадал однажды, если есть возможность, потестите сеть на всякий случай

Answer 2

[nimbo]

вы забыли выложить конфиги.
ps: а вообще на свитчах от д-линк ничего кроме влан лучше вообще не настраивать и все фичи выключать по возможности

Comments

[Lin_Hei]

Свичи неуправляемые,самые дешманские.
Пардоньте,сейчас выложу

Answer 3

[Сергей]

Да конечно по такой писанине что куда бегает понять не возможно, попробую догадаться:

1. Ether1 = WAN
2. Ether2-Ether5 = Local (ихх лучше прилинковать сделав 2 порт мастером остальные слейвом, бридж работает медленней
3. DHCP перенести на микротик, срок жизни 3 дня поставить
4. Настроить DHCP чтобы выдавал шлюз по умолчанию, адрес микротика, днс сервер адрес микротика (для локалки разумеется)
5. На микротике днс прописать 1 ваш контроллер домена 1, 2 контроллер 2 если есть и тд, последним в список добавить гугловый днс 8.8.8.8
6. Настроить нат
В такой конфигурации микротик будет раздавать адреса, шлюз по умолчанию он и днс сервер тоже (будет кешировать запросы) плюс можно прописать статику для своих целей или тестов не трогая доменный днс вообще, все запросы сперва он будет слать на контроллер домена, и если там такого ответа не найдет то на гугле будет искать их, ваши КД наверняка тоже бегают в инет через микротик, таким образом с рабочей станции резолв mail.ru будет выглядеть так: запрос на микротик - запрос на кд - трафик с кд через микротик на днс глобальный (если настроен сервер пересылки) если нет то говорим нет такого и микротик спрашивает у следующего днс в списке пока всех по порядку не переберет - затем ответ микротику - после ответ клиенту

Если вы хотите выделить телефонию в отдельный вилан, то на Ether 2 он у нас мастер поднимает VLAN говорим что принимаем тегированный и не тегированный трафик, ведь если у нас на 2 порту висит локалка без влана то трафик с нее не пройдет, настраиваем свою подсеть со своим DHCP сервером, оборудование тегируем на нужный вилан и все по той же схеме... Можно настроить ацесс лист, и запретить сетки резолвить друг в друга.

Comments

[Lin_Hei]

Товарисч,ты мне как настраивать не рассказывай,у меня нормальные настройки,я прошу помощи в странной трабле,точнее прошу направить на путь в каком краю ошибку искать.Твои слова это просто вилами по воде,ничего умного.
Не сталкивался и умных идей нет-не лезь.

[Сергей]

Lin_Hei: ну раз ты такой грамотный а тут вилами по воде, то тогда ищи экстрасенсов, или сам настраивай раз все знаешь... судя как раз по писанине вашей грамотность у вас на уровне плинтуса

[Lin_Hei]

Сергей: Слышь,гуру недоразвитый,иди лесом.Если у тебя мозгов не хватает понять что все идет через микротик,так как компов всего 6,и всего 1 сервак,то ты зря называешься системным администратором.Удачного пути, ТоварисЧ.

[Клёвый Админ]

Lin_Hei: вы не хамите. Вам человек правильно советует. В ДНС у вас проблема скорее всего. А на тех трёх компах он скорее всего руками вбит.
И очень похоже что именно на клиентской стороне сложность. Инфы никакой не даёте. Вам тут ничем не обязаны.

Короче, либо ARP либо DNS. Т.е. либо проверяете второй уровень Wireshark либо на ваших компах настраиваете руками ДНС сервер и смотрите что и как.

Групповые политики вашего домена тоже могут вносить смуту, но даже не прошу их показать, сами найдёте проблему если она в них.

[Lin_Hei]

Евгений Быченко: И вы туда же?!Серьезно?!6 компов,все по DHCP,проверял каждый,это не 500 машин парк!Нету никакой проблемы в ДНС, nslookup работает,ничего никому не вбито руками.Проблема не в сервере,вообще не в нем,проверка проводилась даже при выключенном сервере.Если ставить старый роутер дырку 600 серии все работает нормально.Не надо искать проблему где ее нет.
А хамить таким как тот гуру буду всегда,вы здесь считаете что пишут вам ламеры последние?С мелкими проблемами я вообще не лезу на форумы.Тестов было сделано очень много,замены были,винда менялась,не в том трабла.Трабла либо в железе микротика,либо в чем то еще,я просил всего лишь долбанного совета,у ЛЮДЕЙ который сталкивались с чем то подобным,а не у тех кто привык с ламерами общаться,так понятнее дело?
Если не хватает какой то информации в моем повествовании,изложенном в форме разговорной речи(которые некоторые гуру сочтут "писаниной"),то дайте мне знать-я все предоставлю.
Писать здесь целое произведение о тестах и действиях не вижу смысла.
И да,Евгений,если есть мысли какие то по поводу проблемы,а не моего хамского поведения,то рад буду услышть,а если нет пиз**й,бл*ть,туда же куда и предыдущий оратор.

[Клёвый Админ]

Lin_Hei: а стукни ка мне в скайп. Там и поговорим.

[Lin_Hei]

Стукнул,жду ответа

Answer 4

[Андрей]

Странно все это. Я бы сделал стриминг всего трафика, приходящего на порт, куда подключен комп с неработющим интернетом, на комп, который нормально работает. Ну а там уже начал разбирать, что доходит от этого компа до МТ, и что отправляется в ответ.

Также, в момент отсутствия пинга не плохо бы посмотреть
/ip firewall connection print detail

Можно еще в МТ включить debug-лог и следить за логами.

Comments

[Lin_Hei]

Проблема в том что пк(все) подключены к свичу,который линкуется с 3 портом микротика,так что отсканить таким образом не получится. Логи включены,писал правила Mangle всем этим пк,и логировал их на сервак-пустота,полная пустота,просто ничего.
Команду завтра проверю,спасибо за совет.

[Андрей]

Lin_Hei: ну так никто не мешает сливать весь трафик всех компов, а потом в wireshark'е его отфильтровать, да и все.

Answer 5

[Антон]

/ip dns
set allow-remote-requests=yes cache-max-ttl=2d cache-size=4096KiB query-server-timeout=5s servers=192.168.0.5,192.168.0.1

/ip firewall nat
add action=redirect chain=dstnat dst-port=53 protocol=tcp src-address=192.168.0.0/24 to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=udp src-address=192.168.0.0/24 to-ports=53

Comments

[Антон]

DHCP с КД пусть раздает:
IP - 192.168.0.x
Mask - 255.255.255.0
Gate - 192.168.0.1
DNS - 192.168.0.5
192.168.0.1
ну и пересылку на 192.168.0.5 посмотреть