Пропадает связь с MikroTik, как исправить?

Question

[algubarik]

Доброго времени суток!

Имеется устройство MIKROTIK RBWAPR-2ND&R11E-LTE, оператор Билайн. Примерная схема подключения на картинке ниже. Сразу скажу , это мой первый микротик, опыта настройки микротиков не было, да и вообще в целом с сетями и сетевым оборудованием у меня всё плохо. Но в данной ситуации нужна была именно эта коробка. Ну и естественно с настройкой возникли проблемы. Точнее вроде как в целом всё работает со стандартными настройками, но временами связь компа с микротиком теряется, помогает отключение-включение bridge интерфейса через winox. Winbox подключается по MAC, во время этих разрывов делал пинг с компа на микротик - нет связи, с микротика на 8.8.8.8 всё идёт.

Выглядит всё примерно так: есть сеть 192.168.10...., у каждого компа вручную прописан ip. Из всей этой сети только на 4-х определенных компах должен быть интернет, у остальных доступа к интернету и микротику быть не должно.


Пробовал вручную настраивать по этой инструкции, проблема эта все равно оставалась.

DHCP отключил, так как при подключении в сеть нового устройства с автоматическим получением ip, на нем появлялся доступ к интернету. Отключил все фильтры и вбил туда разрешения для этих 4-х компов. И сделал фиксацию TTL вот такой командой:

/ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes

Скрины настроек

Вроде как больше ничего не делал. Куда копать просто не понимаю, даже толком не могу запрос в гугле сформулировать..хелп ми плиз.

Comments

[AkaZLOY]

Зачем вам бридж, если вы всё равно wifi-интерфейс отключили? Хотя, скорей всего ответа на этот вопрос я не получу.

Скрины IP - address и IP - Routes выложите.

[algubarik]

AkaZLOY, да, на этот вопрос ответить не могу, к сожалению, скрины вот

[AkaZLOY]

algubarik, ошибка №1, если вы физический интерфейс запихали в бридж, то ip адрес надо присваивать бриджу. Через IP - Address присвойте 192.168.10.155 интерфейсу bridge.

Если у вас серый IP адрес, то его не имеет смысла скрывать.

[Ruslan-Strannik]

открой терминал и введи export
вывод команды выложи

[algubarik]

Ruslan-Strannik,

export

/export
# jan/28/2020 15:13:23 by RouterOS 6.44.6
# software id = NZJN-XT5J
#
# model = RBwAPR-2nD
# serial number = AE850A339384
/interface lte
set [ find ] mac-address=AC:FF:FF:00:00:00 name=lte1
/interface bridge
add admin-mac=74:4D:28:FE:E1:45 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX distance=\
    indoors frequency=auto installation=outdoor mode=ap-bridge ssid=MikroTik-FEE146 \
    wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=lte1 list=WAN
/ip address
add address=192.168.10.155/24 comment=defconf disabled=yes interface=ether1 network=\
    192.168.10.0
add address=192.168.10.155/24 interface=bridge network=192.168.10.0
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf gateway=192.168.10.155 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.10.155 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
    connection-state=established,related,untracked disabled=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid \
    disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes protocol=\
    icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=\
    yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" disabled=\
    yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" disabled=\
    yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=\
    WAN
add action=accept chain=forward src-address=192.168.10.116
add action=accept chain=forward src-address=192.168.10.112
add action=accept chain=forward src-address=192.168.10.118
add action=accept chain=forward src-address=192.168.10.250
add action=drop chain=forward src-address=192.168.10.0/24
/ip firewall mangle
add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
/system clock
set time-zone-name=Asia/Yekaterinburg
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Ruslan-Strannik]

после исправления ошибки №1 проблема осталась? :)

[algubarik]

Ruslan-Strannik, пока наблюдаем, периодичность "отпадываний" разная просто была, мало времени ещё прошло с момента, как исправил

[algubarik]

Ruslan-Strannik, стало реже отпадывать, но всё равно бывает...может полдня работать нормально, а может несколько раз подряд с периодичностью в несколько минут. И как будто в первые 2 дня это было реже, а теперь чаще стало.

[Ruslan-Strannik]

№2
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
№3 днс сервер добавь. 192.168.10.155
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf gateway=192.168.10.155 netmask=24

тут что в днсах ?
/ip dns
set allow-remote-requests=yes

Answer 1

[MHEMOHuK]

Если есть возможность, верните настройки по-умолчанию. Оставьте включенным DHCP, нужным ПК назначте статические IP. В firewall address list создайте список тех, кто должен иметь доступ к интернету. В firewall filter создайте правило которое будет блокировать трафик с неугодных ПК, если они захотят выйти в сеть, отменную от 192.168.10.0/24:
/ip firewall filter add chain=forward dst-address=!192.168.10.0/24 src-address-list= !"список тех, кто должен иметь доступ в интернет" action=drop
и правило, блокирующее всем левым доступ к микротику:
/ip firewall filter add chain=input src-address-list=!"список тех, кто должен иметь доступ в интернет" action=drop