Как работает PPPoE у Ростелекома? Микротик вешает порты, почему сам не может получить инет?

Question

[Владимир Кивва]

При попытке подключить Zyxel Keenetic 4G - no link. Он вообще не появляется, никак, ни на одном порту.
При попытке завести на роутере Tenda - получает адреса, чуть работает, затем что-то непонятное, похоже на шторм/петлю.

Сейчас подключён rb951G-2Hnd. Его настройки:
DHCP-клиент на eth1 - выкл.
PPPoE-клиент eth1, получает адрес и DNS

1) При простой настройке через QuckSetup или голом добавлении на роутер PPPoE-клиента получается петля и падает порт Ростелекома, пропадает линк. Сначала звонил в техподдержку, за полчаса разблокировали, потом заметил, что есть на eth1 поставить Advertise 10M-half/10M-full, то порт оживает, потом можно подключаться на 100М.
2) На форумах нашёл, что падение порта решается добавлением правила

/ip firewall filter
add action=drop chain=input  in-interface=pppoe-RTK

При этом, в режиме Advertise 100M раз в несколько дней порт всё-таки и сам не восстанавливается, а если ставить 10М/100М, то иногда подключается и работает в 10М. Считаю написание скрипта "дёргалки" в данном случае кощунством, хочу понять причины.
3) Сам Микротик не может получить Интернет, чтобы обновиться или поднять сторонний VPN, всегда ERROR: Could not resolve DNS name

Простой пинг:

[habro@habr] > ping ya.ru
invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    while resolving ip-address: could not get answer from dns server

Роуты:

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          pppoe-RTK                 1
 1 ADC  178.34.128.50/32   100.116.111.92  pppoe-RTK                 0
 2 ADC  192.168.88.0/24    192.168.88.1    bridge                    0

Фаервол:

/ip firewall filter
add action=drop chain=input comment="RTK anti-loop" in-interface=pppoe-RTK
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-RTK

Интефейсы:

/interface bridge
add admin-mac=D4:CA:6D:DD:A4:61 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=habr wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full name=ether1-gw rx-flow-control=auto tx-flow-control=auto
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-gw name=pppoe-RTK password=habr use-peer-dns=yes user=habr
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik  wpa2-pre-shared-key=habr
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add interface=*9
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=pppoe-RTK list=WAN

1. Как вообще идёт трафик? Почему при правиле "Запретить трафик из PPPoE-out" клиенты всё равно получают Интернет? Или это "input", но не "forward", поэтому как раз тик ничего не получает, а клиенты получают?
   
2. Почему не работает Интернет на самой железке? Почему не работает DNS на неё же? пробовал добавить accept output/input/forward для 53/udp - ничего не меняется
   
3. Как сам РТК решает эти проблемы? В Ростовском сапорте мне сказали: "Микротик - не надёжное оборудование и мы его не рекомендуем"
   
4. Идеологически, правильно ли PPPoE-out помещать в interface-list = WAN и потом делать маскарад на WAN, а eth1 никуда не помещать?
   

Answer 1

[athacker]

Вы "слышите звон, да не знаете, где он". С чего вы вообще решили, что там "шторм/петля"? На основании каких критериев?

1. Потому что цепочки INPUT и OUTPUT относятся только к самому устройству. Т. е. туда попадает трафик, источником или назначением которого является именно ваш роутер. Для транзитного трафика, который должен устройством маршрутизироваться, применяется цепочка FORWARD.

2. Если интернет не работает вообще, то нет смысла спрашивать, почему не работает DNS или HTTP или любой другой протокол. У вас транспортная сеть не работает, поэтому никакие сервисы тоже не будут работать.

4. PPPoE интерфейс не просто идеологически настраивать под маскарадинг -- это вообще единственный способ получить интернет на клиентах :-) Потому что физический интерфейс ether1 будет использоваться только для PPP-трафика. Весь остальной трафик (т. н. "интернет") будет заворачиваться в интерфейс PPPoE.

Судя по тому, что на 10М линк работает -- имеет место проблема с кабелем. Либо плохо обжат, либо плохог воткнут на какой-то из сторон (коммутатор провайдера или ваш микротик), либо повреждён где-то по дороге от вас до коммутатора.

Коллеги правильно говорят -- настройте сначала всё на компе. Если на компе будет ОК, значит, провайдер и его сеть тут ни при чём.

Answer 2

[Олег Nerwin]

А перед микротиком ONT стоит или РТ витую пару уже завел?

add action=drop chain=input  in-interface=pppoe-RTK

запрещает только входящий трафик для микротика, nat работает раньше, поэтому трафик клиентов уже в forward.
Если микротик работает как кеширующий днс, из за этого правила он не сможет получить ответ от днс форварда, его надо добавить после

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

Интерфейс pppoe правильно помещать в wan, eth1 в принципе не нужный, если ONT у вас, на этот интерфейс можно повесить ip для доступа к ONT.
У меня тоже РТ, в квартире ONT. Вместо микротика x86 комп с 2 сетевухами. в 1 подключен ONT и на ней ip внутренней сети ONT, правил никаких для этого интерфейса нет.
2 сетевуха в бридже с wlan'ами. Коннект стабильный.

Может у вас с кабелем чего, если на 10М заводится?

Answer 3

[Ltonid]

Вообще диагностику подобного всегда надо начинать с базового:
1) Включить кабель в комп и настроить всё по инструкции с сайта. Если работает, то переходим дальше к роутеру, если нет, то вызываем спецов провайдера.
2) В случае стабильной работы на компе пробуем поделить процесс настройки на этапы:
а) Сбрасываем роутер в дефолт, применяем настройки по умолчанию.
б) Вставляем кабель провайдера, смотрим что линк стабильный и физических прерываний нет. В случае рт, отключить dhcp клиент обязательно
в) Настраиваем pppo-e клиент указываете физический порт, логин и пароль. Если всё верно то линк должен подняться. Галочки дефолтного маршрута и днс временно выключить. Если линк стабильный, включаем галочки дефолтного маршрута и днс, смотрим стабильность.

г) Проверяем работу инета на микротике не подключая не одного абонента, если всё норм, то подключаем локалку. Если локалка настроена корректно, то всё должно работать.

Если на каком-то этапе стабильности нет, то назовите этап. Честно я смог осилить всё ваше повествование, оно слишком эмоциональное.

У самого микротик+рт и всё работает норм, самый стабильный из трех подключенных инетов.

Answer 4

[bogena]

Добавлю, что когда подключите комп, следите, на какой скорости работает сетевуха. Но проблема 10М/100М скорее всего в кабеле

Answer 5

[АртемЪ]

1)Как-то идет. Кто же знает, какие вы там правила насоздавали и где ошиблись?
2)Не настроен видимо.
3)Просто настраивает рекомендованное оборудование. Если вы взяли какое-то другое настраивайте сами, все грабли ваши.
4)Тут бы переводчика, надо, или толкователя, чтобы объяснил глубокомысленный смысл сей фразы

Comments

[Владимир Кивва]

1) В чём смысл подобного ответа? Правила приведены в вопросе, вы можете использовать уточнения, если я чего-то не показал, хоть я и показал всё.
Давайте уберу лишние, если приведенных много:

0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 
 1    ;;; RTK anti-loop
      chain=input action=drop in-interface=pppoe-RTK log=no log-prefix=""

Вот текущая конфигурация, с ней симптомы не меняются, нулевое правило удалить нельзя, а без первого вешается железка РТК

2) Как понять "не настроен"? Работаю с микротиками около 5 лет, такая штука только с РТК, отсюда и вопрос. Я, опять же, не понимаю, зачем вы это пишете.

3) o-rostelecome.ru/oborudovanie/mikrotik-rb2011 вот радостная статья на неоф. сайте. Я не против того, чтобы грабли были моими и прошу сообщество мне помочь, приводя методы, которыми решал проблемы, чтобы остальные не пробовали эти методы и чтобы вместе найти ответ для себя и для людей, наступающих на подобные грабли в будущем. А вы мне отвечаете: "Ты наступил на грабли". Вы не сотрудник?

4) Видимо, вы не в курсе, что linux сейчас стараются перейти на ufw вместо iptables и пытаются везде воткнуть идеологию адрес-листов и зон. То же самое было и с Микротиком, они с 6.4х версий стали использовать interface-list в своих правилах вместо обычных interface, с недавнего времени идеологически верным с точки зрения Микротик стал маскарад, записанный как chain=src-nat interface-list=WAN action=masquarade, когда раньше это всегда звучало: chain=src-nat interface=PPPoE-out1 action=masquarade
Поэтому и спрашиваю, как люди делают, какая тенденция, как строить логику, чтобы она была понятнее для будущих поколений.

Answer 6

[Руслан]

Скорее всего Ростелеком нарушает стандарты RFC