Самая базовая настройка mikrotik crs125. Достаточно ли?

Question

[Виталий Токаренко]

Насколько я понял, из иллюстрированных и не очень инструкций, базовая настройка микротика в качестве шлюза выглядит так. И даже работает. Но... Провайдер говорит что из сети идёт периодический шторм. Подскажите, что добавить?

/ip address
add address=176.192.10.74/30 comment=defconf interface=ether1-master-WAN \
network=176.192.10.72
add address=192.168.1.1/24 interface=ether2-LAN network=192.168.1.0
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-master-WAN
/ip route
add distance=1 gateway=176.192.10.73

Answer 1

[Дмитрий]

Либо отключить DNS allow-remote-requests, либо прикрыть 53 порт снаружи.
Ну а там смотря на какой порт ломятся. Просто ошибка с открытым 53 портом - самая популярная.

Answer 2

[Антон]

расскажите о самой базовой настройке. лучше конфиг сюда - можете скриншотами - можете затереть реальные айпи, мак адреса. шторм редкая штука через нат - если клиенты здоровые

Comments

[Виталий Токаренко]

Да собственно я его весь и привёл. Только что удалил много строчке базового скрипта:
/interface ethernet
set [ find default-name=ether1 ] name=ether1-master-WAN
set [ find default-name=ether2 ] master-port=ether1-master-WAN name=ether2-LAN
...
set [ find default-name=ether24 ] master-port=ether1-master-WAN

Что там ещё то?

[Виталий Токаренко]

Ну ещё: set backlight-timeout=never default-screen=stats
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system routerboard settings
set protected-routerboot=disabled
Не самое важное на мой взгляд в деле маршрутизации этого уровня.

[Виталий Токаренко]

А здоровые... Какое здоровье клиентов в образовательной организации? Но вернулся к конфигурации шлюза на базе линёвой машинки (намного более мне понятной) и всё стало нормально. И вроде ничего не штормит судя по снифферам. Отсюда заключаю что проблема в какой-то мелкой недоработке.

[Антон]

ну тогда получается, что микротик в каких то портах не прикрыт - и его заставляют спамить сторонние агенты.. как вариант выше - это днс

[Антон]

сделайте настройки в NAT и Firewall Input

[Виталий Токаренко]

Так на входе вроде все порты закрыты. Мониторил. А на выход... Даже не знаю.

Answer 3

[Александр Романов]

Сбросьте ваш микротик в конфиг по умолчанию, откройте порт для винбокса. Всё остальное уже включено в конфиг и работает замечательно. Вам к этому конфигу только понадобится дописать адрес на ether1 и маршрут по умолчанию.

Comments

[Виталий Токаренко]

А вот тут начинаются приключения. Если я захожу к quick setup то при вводе адреса локальной сети происходит сброс адреса WAN в значение из поля LAN. Приходится сначала прописывать адреса в IP->Address и только тогда в quick заполняются нужные поля. Ладно, не мудрствуя ставлю галочку NAT. Вроде бы всё. И работает. И правда работает. Но провайдер отключил быстренько порт и сообщил что шторм идёт с моей стороны.
Жаль логи не могут предоставить.

[Александр Романов]

Виталий Токаренко: Не используйте quick setup. Никогда. Сбросили - адрес ручками - шлюз ручками. Проверяйте. Если провайдер жалуется на шторм - откройте интерфейс, нажмите Torch и посмотрите, кто кого и зачем заваливает бродкастом (мультикастом). У провайдера тоже стоит уточнить, что за шторм.

[Александр Романов]

Виталий Токаренко: Микротик по-умолчанию не фильтрует forward траффик. Только дропает инвалидные пакеты.

[Виталий Токаренко]

Понятно что не стоит использовать quick setup. Но для начального понимания бывает полезно. В мыльницах то работает. Обиднее всего что такая проблема только при static, а на pppoe и dynamic нормально выстраивает.

[Виталий Токаренко]

В общем переход с линуксового шлюза на микротик оказался до странности непростым. Наверное для эксперимента поставлю шлюз линёвый между провайдером и микротиком. И уж там пойму кто чего и зачем заваливает.

Answer 4

[nimbo]

вообще специально для подобных случаев в тике есть QuickSet ;)

Comments

[Виталий Токаренко]

Хороший совет, но бестолковый. В предыдущих комментариях про quick set уже говорилось. По крайней мере в crs125 это очень спорное решение. Даже не знаю зачем его сделали. Дискредитирует всё устройство. Недоделка какая-то.