Mikrotik, ping работает, но любой запрос на конкретный порт приводит к No route to host. Почему?

Question

[Николай]

Примерно чуть более месяца назад приобрёл роутер MikroTik hap hac2, настроил по Quick set, после настроил ещё только dns сервера и пару статичных адресов в DHCP. Всё это время он работал без нареканий.
Но пару дней назад почему-то стал выдавать no route to host на публичные адреса, хотя при этом пинг до хоста работает и telnet по порту из роутера выполняется успешно (no route to host - с клиентов). То есть, с клиентов:

$ ping github.com
PING github.com (140.82.118.3) 56(84) bytes of data.
64 bytes from lb-140-82-118-3-ams.github.com (140.82.118.3): icmp_seq=1 ttl=56 time=51.8 ms

$ telnet github.com 22
Trying 140.82.118.3...
Trying 140.82.118.4...
telnet: Unable to connect to remote host: No route to host

С терминала роутера же всё ок. В чем может быть проблема?

Да, после перезагрузки на некоторое время проблема исчезает примерно на несколько часов.

Привожу конфиг:

export compact

# apr/23/2019 15:37:56 by RouterOS 6.44.2
# software id = L82U-UTWW
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00AF34868
/interface bridge
add admin-mac=74:4D:28:1E:30:C0 arp=proxy-arp auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=<pass> user=<user>
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-eC disabled=no distance=indoors frequency=2447 mode=ap-bridge ssid=<SSID> wireless-protocol=802.11
set [ find default-name=wlan2 ] arp=proxy-arp band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=<SSID> tx-power=22 tx-power-mode=\
    all-rates-fixed wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key="<password>" wpa2-pre-shared-key="<password>"
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.5-192.168.88.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=50m name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.88.6 client-id=1:d0:50:99:6:39:68 mac-address=D0:50:99:06:39:68 server=defconf
add address=192.168.88.7 mac-address=D4:3B:04:7B:46:89 server=defconf
add address=192.168.88.9 client-id=1:ac:ed:5c:cc:c4:50 mac-address=AC:ED:5C:CC:C4:50 server=defconf
add address=192.168.88.8 mac-address=BC:A8:A6:84:78:2B server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip ssh
set allow-none-crypto=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge type=internal
add interface=pppoe-out1 type=external
/system clock
set time-zone-name=Europe/Saratov
/system identity
set name=kolyan
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Comments

[20ivs]

add address=192.168.88.1/24 comment=defconf interface=должен быть BRIDGE а не ether2 network=192.168.88.0

[Николай]

По умолчанию в конфиг проставляется ether2, может, имеется ввиду "мастер-интерфейс" для моста? По крайней мере, с такими настройками работает как надо.

Сейчас я сбросил всю конфигурацию и настроил через Quick set, больше ничего не менял, пока работает.

[20ivs]

Николай, вообще у микротоводов (я из их числа) есть поверье - не использовать Quick set и defconf =)
не потому что руками интересней, а потому что могут быть различные баги в конфигурации. я встречал ситуацию, когда в дефолтной конфигурации порты были пронумерованы наоборот от физических. т.е. физически 5-й, а в конфиге он ether1 и т.д.
ну это просто к сведению.

можете показать новый export compact? либо просто кому присвоен адрес 192.168.88.1/24?

[Николай]

20ivs, сейчас посмотрел - так же присвоился на ether2.
Спасибо, буду теперь знать :)

А как его можно изменить на bridge?

UPD: нашёл в WebFig в секции IP -> Addresses (наверное, можно и в терминале что-то вроде /ip addresses ..., но в router os терминал уж больно странный)

[Николай]

Поменял, как вы сказали, на bridge. Не знаю, изменилось ли что-то извне пока что.

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0

[20ivs]

Николай, IP - Addresses.

возможно придется переподключиться. в любом случае всегда можете вернуть обратно.

[20ivs]

Николай, думаю, теперь ошибки No route to host быть не должно. понаблюдайте.

[Николай]

20ivs, прошло чуть более суток, до сих пор всё вроде в порядке. Спасибо!

[20ivs]

Николай, на здоровье =)

Answer 1

[Platinum Thinker]

Попробуйте отключить ddns, а так же сделать Flush Cache для кэширующего dns сервера. Проблема очевидно в DNS, может даже у провайдера. Для теста поробуйте на системе в которой работаете задать Google DNS 8.8.8.8

Comments

[Николай]

ddns у меня и не включался, сервера DNS стоят как на роутере, так и на одном из клиентов 8.8.8.8/8.8.4.4.
Flush Cache сделать попробую, когда проблема в следующий раз воспроизведётся и отпишусь.

А в чём, собственно, может заключаться сама проблема? Что DNS кэш мог устареть? Простите, я не эксперт в сетях.

[hint000]

Николай, и наоборот, я не вижу тут ничего похожего на проблему в DNS.