Задать вопрос
@zionkv
Системный администратор Windows\Linux

Как работает PPPoE у Ростелекома? Микротик вешает порты, почему сам не может получить инет?

При попытке подключить Zyxel Keenetic 4G - no link. Он вообще не появляется, никак, ни на одном порту.
При попытке завести на роутере Tenda - получает адреса, чуть работает, затем что-то непонятное, похоже на шторм/петлю.

Сейчас подключён rb951G-2Hnd. Его настройки:
DHCP-клиент на eth1 - выкл.
PPPoE-клиент eth1, получает адрес и DNS

1) При простой настройке через QuckSetup или голом добавлении на роутер PPPoE-клиента получается петля и падает порт Ростелекома, пропадает линк. Сначала звонил в техподдержку, за полчаса разблокировали, потом заметил, что есть на eth1 поставить Advertise 10M-half/10M-full, то порт оживает, потом можно подключаться на 100М.
2) На форумах нашёл, что падение порта решается добавлением правила
/ip firewall filter
add action=drop chain=input  in-interface=pppoe-RTK

При этом, в режиме Advertise 100M раз в несколько дней порт всё-таки и сам не восстанавливается, а если ставить 10М/100М, то иногда подключается и работает в 10М. Считаю написание скрипта "дёргалки" в данном случае кощунством, хочу понять причины.
3) Сам Микротик не может получить Интернет, чтобы обновиться или поднять сторонний VPN, всегда ERROR: Could not resolve DNS name

Простой пинг:
[habro@habr] > ping ya.ru
invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    while resolving ip-address: could not get answer from dns server


Роуты:
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          pppoe-RTK                 1
 1 ADC  178.34.128.50/32   100.116.111.92  pppoe-RTK                 0
 2 ADC  192.168.88.0/24    192.168.88.1    bridge                    0


Фаервол:
/ip firewall filter
add action=drop chain=input comment="RTK anti-loop" in-interface=pppoe-RTK
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-RTK


Интефейсы:
/interface bridge
add admin-mac=D4:CA:6D:DD:A4:61 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=habr wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full name=ether1-gw rx-flow-control=auto tx-flow-control=auto
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-gw name=pppoe-RTK password=habr use-peer-dns=yes user=habr
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik  wpa2-pre-shared-key=habr
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add interface=*9
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=pppoe-RTK list=WAN


  1. Как вообще идёт трафик? Почему при правиле "Запретить трафик из PPPoE-out" клиенты всё равно получают Интернет? Или это "input", но не "forward", поэтому как раз тик ничего не получает, а клиенты получают?
  2. Почему не работает Интернет на самой железке? Почему не работает DNS на неё же? пробовал добавить accept output/input/forward для 53/udp - ничего не меняется
  3. Как сам РТК решает эти проблемы? В Ростовском сапорте мне сказали: "Микротик - не надёжное оборудование и мы его не рекомендуем"
  4. Идеологически, правильно ли PPPoE-out помещать в interface-list = WAN и потом делать маскарад на WAN, а eth1 никуда не помещать?
  • Вопрос задан
  • 10905 просмотров
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 6
athacker
@athacker
Вы "слышите звон, да не знаете, где он". С чего вы вообще решили, что там "шторм/петля"? На основании каких критериев?

1. Потому что цепочки INPUT и OUTPUT относятся только к самому устройству. Т. е. туда попадает трафик, источником или назначением которого является именно ваш роутер. Для транзитного трафика, который должен устройством маршрутизироваться, применяется цепочка FORWARD.

2. Если интернет не работает вообще, то нет смысла спрашивать, почему не работает DNS или HTTP или любой другой протокол. У вас транспортная сеть не работает, поэтому никакие сервисы тоже не будут работать.

4. PPPoE интерфейс не просто идеологически настраивать под маскарадинг -- это вообще единственный способ получить интернет на клиентах :-) Потому что физический интерфейс ether1 будет использоваться только для PPP-трафика. Весь остальной трафик (т. н. "интернет") будет заворачиваться в интерфейс PPPoE.

Судя по тому, что на 10М линк работает -- имеет место проблема с кабелем. Либо плохо обжат, либо плохог воткнут на какой-то из сторон (коммутатор провайдера или ваш микротик), либо повреждён где-то по дороге от вас до коммутатора.

Коллеги правильно говорят -- настройте сначала всё на компе. Если на компе будет ОК, значит, провайдер и его сеть тут ни при чём.
Ответ написан
Комментировать
Nerwin
@Nerwin
И ни капельки я не тупой...просто ленивый
А перед микротиком ONT стоит или РТ витую пару уже завел?
add action=drop chain=input  in-interface=pppoe-RTK

запрещает только входящий трафик для микротика, nat работает раньше, поэтому трафик клиентов уже в forward.
Если микротик работает как кеширующий днс, из за этого правила он не сможет получить ответ от днс форварда, его надо добавить после
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

Интерфейс pppoe правильно помещать в wan, eth1 в принципе не нужный, если ONT у вас, на этот интерфейс можно повесить ip для доступа к ONT.
У меня тоже РТ, в квартире ONT. Вместо микротика x86 комп с 2 сетевухами. в 1 подключен ONT и на ней ip внутренней сети ONT, правил никаких для этого интерфейса нет.
2 сетевуха в бридже с wlan'ами. Коннект стабильный.

Может у вас с кабелем чего, если на 10М заводится?
Ответ написан
Комментировать
@AtaZ
кто знает, тот поймет
Вообще диагностику подобного всегда надо начинать с базового:
1) Включить кабель в комп и настроить всё по инструкции с сайта. Если работает, то переходим дальше к роутеру, если нет, то вызываем спецов провайдера.
2) В случае стабильной работы на компе пробуем поделить процесс настройки на этапы:
а) Сбрасываем роутер в дефолт, применяем настройки по умолчанию.
б) Вставляем кабель провайдера, смотрим что линк стабильный и физических прерываний нет. В случае рт, отключить dhcp клиент обязательно
в) Настраиваем pppo-e клиент указываете физический порт, логин и пароль. Если всё верно то линк должен подняться. Галочки дефолтного маршрута и днс временно выключить. Если линк стабильный, включаем галочки дефолтного маршрута и днс, смотрим стабильность.

г) Проверяем работу инета на микротике не подключая не одного абонента, если всё норм, то подключаем локалку. Если локалка настроена корректно, то всё должно работать.

Если на каком-то этапе стабильности нет, то назовите этап. Честно я смог осилить всё ваше повествование, оно слишком эмоциональное.

У самого микротик+рт и всё работает норм, самый стабильный из трех подключенных инетов.
Ответ написан
Комментировать
@bogena
Добавлю, что когда подключите комп, следите, на какой скорости работает сетевуха. Но проблема 10М/100М скорее всего в кабеле
Ответ написан
Комментировать
Jump
@Jump
Системный администратор со стажем.
1)Как-то идет. Кто же знает, какие вы там правила насоздавали и где ошиблись?
2)Не настроен видимо.
3)Просто настраивает рекомендованное оборудование. Если вы взяли какое-то другое настраивайте сами, все грабли ваши.
4)Тут бы переводчика, надо, или толкователя, чтобы объяснил глубокомысленный смысл сей фразы
Ответ написан
msHack
@msHack
Скорее всего Ростелеком нарушает стандарты RFC
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы