Недоступен Mikrotik. Странности в winbox при подключении, может кто сталкивался?

Question

[White]

Доброго Всем времени суток! Случился со мной сегодня казус. Значит имеется у меня HAP mini lite, сижу я значит и балуюсь с настройками Wi-Fi, как вдруг мой winbox теряет соединение с микротиком, я в непонятках. Жму подключиться пишет невозможно подключиться к устройству, перезапускаю winbox на всякий, микротик как обычно в зоне видимости но подключения не происходит. Я пытаюсь зайти с приложения микротика на андроид смартфоне, такая же песня. Ну что ж думаю я, придется делать reset, благо бэкап свежий есть. Значит выдираю из розетки, зажимаю волшебную кнопку, втыкаю в розетку, жду и что же я вижу?


Это ж какого ежа в списке 2 идентичных микротика оба с идентичными маками, только у одного странный адрес (у меня стоял дефолтный 192.168.88.1), да и не должно там быть такого на сколько я помню. Так вот я перезагрузил микротик, перезапустил winbox, для пущей верности, и ничего не изменилось пока я не зашел на тот что 0.0.0.0 и не ткнул удалить конфигурацию после reset-a. Сетка у меня простая, кабель провайдера WAN в микротик и всё больше железяк нет кроме пк и пары смартфонов. И сижу я теперь и думаю, то ли глюк то ли взломали. Может кто сталкивался или подскажет что за бубуйня?

Мой firewall:

0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 X ;;; HAR
chain=forward action=accept protocol=tcp dst-port=888 log=no log-prefix=""
2 ;;; Access from LAN
chain=input action=accept in-interface=Bridge log=no log-prefix=""
3 ;;; Allow established and connected connections
chain=input action=accept connection-state=established,related log=no log-prefix=""
4 ;;; Allow Address List LAN
chain=input action=accept src-address-list=allow-ip log=no log-prefix=""
5 ;;; Drop inwalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""
6 ;;; Block all incoming WANs
chain=input action=drop in-interface=domru log=no log-prefix=""
7 ;;; Fasttrack#
chain=forward action=fasttrack-connection connection-state=established,related log=no
log-prefix=""
8 ;;; Fasttrack accept
chain=forward action=accept connection-state=established,related log=no log-prefix=""
9 ;;; Deny connections from WAN -> LAN
chain=forward action=drop in-interface=domru out-interface=Bridge log=no log-prefix=""

Comments

[Ruslan-Strannik]

даже интересно. покажи
ip route
ip address
ip neighbor
inter bri

[Ruslan-Strannik]

и, кстати говоря, в дефолтной конфигурации есть DHCP-client
он то и может тебе выдать такое

[White]

Ruslan-Strannik, держи:

[Puma@mikrotik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 domru 1
1 ADC 109.196.36.254/32 36.112.175.105 domru 0
2 ADC 192.168.88.0/24 192.168.88.1 Bridge 0

[Puma@mikrotik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.88.1/24 192.168.88.0 Bridge
1 D 36.112.175.105/32 109.196.36.254 domru

[Puma@mikrotik] > ip neighbor print
# INTERFACE ADDRESS MAC-ADDRESS IDENTITY VERSION BOARD
0 ether2 02:01:00:56:9C:1G
Bridge MAC-ADDRESS IDENTITY VERSION BOA

[Puma@mikrotik] > interface bridge print
Flags: X - disabled, R - running
0 R name="Bridge" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled arp-timeout=auto
mac-address=69:D8:6E:A1:A5:F4 protocol-mode=rstp fast-forward=yes igmp-snooping=no
auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s
transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no

[White]

Ruslan-Strannik,

и, кстати говоря, в дефолтной конфигурации есть DHCP-client
он то и может тебе выдать такое

Пробовал вручную включить, ищет и ничего не может найти

[Ruslan-Strannik]

Vasya & Pupkin, ну и выдает 0.0.0.0 когда адреса не получает

[Ruslan-Strannik]

dhcp client надо отключить.
а в бридже все порты?
а дефолтную конфигурацию сбрасиваете? кроме вас никто этим микротиком не управляет?(логин пароль изменен?)

[White]

ну и выдает 0.0.0.0 когда адреса не получает

Я не упомянул, WAN через PPPoE с логином и паролем, потому и не получает что после сброса не настроено подключение, и как я понимаю DHCP-client не должен работать без настройки. Меня волнует почему внезапно я потерял доступ к роутеру, и откуда мог взяться ip 172.21.18.235 за 3 года использования и неоднократных reseт-ов. небыло такого.

[Ruslan-Strannik]

вот уж не знаю :)
может прилетел от провайдера? но тогда из локалки бы этого айпи не было видно. может гостевую сеть настраивал?
тут только предпологать можно. но раз уж конфигурация была сброшена - не разберешь

[Ruslan-Strannik]

У меня с 0.0.0.0 норм по маку подключается, но если с 0 настраиваю и поднимаю мост при воткнутом WAN провайдера в 1 порт, то всё, сушите весла, роутер отваливается и только reset помогает

отваливаться может при добавлении портов в бридж. мак адрес изменился - подключение отвалилось. надо заново в соседях смотреть какой мак

[White]

dhcp client надо отключить.

Я полный сброс сделал и с ноля руками настроил, там все отключено сейчас

а в бридже все порты?

Да, кроме wan

а дефолтную конфигурацию сбрасиваете? кроме вас никто этим микротиком не управляет?(логин пароль изменен?)

-Да, я с ноля люблю настраивать (вот кстати после сброса дефолтной конфигурации и пропал двойник)
-Нет, только я один имею доступ к микротику, только из локалки и только через winbox, прочие службы отключены
-Да, первым делом меняю и то и другое (я немного помешан на безопасности :) )

[White]

может прилетел от провайдера? но тогда из локалки бы этого айпи не было видно. может гостевую сеть настраивал?

Согласен, не пойму как в локалке увидел. Нет, гостевую сеть не настраивал, без надобности.

тут только предполагать можно. но раз уж конфигурация была сброшена - не разберешь

Да, но без сброса никак, у меня все порты закрыты, только winbox, и логи не посмотреть. Сейчас я через rsyslog на Debian логи настроил, там хоть посмотреть можно. Буду мониторить

[White]

Ruslan-Strannik, спасибо, возьму на заметку :)

Answer 1

[Dupych]

1. На микрот можно заходить по МАК , даже если вырубить все службы. Winbox, ssh, telnet. Все равно можно зайти. Главное в МАК СЕРВЕРЕ указать , что в микрот захотите только из локалки.
2. Враги могут по WAN пустить Bogon сеть те симулировать 192.168.х.х на WANе. Нужно отбрасывать такие сети на фаерволе.

Comments

[Shoten]

Можете уточнить, как в МАК СЕРВЕРЕ указать , что в микрот захотите только из локалки?

[Dupych]

Interfaces -- Interface List
Создаем Лист например SERVCICES в котором указываем, что в него входит.

Tools -- MAC Server
Задаем лист

Доступ будет только у моего ПК (Main) подключенного по SFP к микротику.
Можно сделать LAN и запихать в него бридж или некоторые порты.

Answer 2

[CityCat4]

Пару раз уже сталкивался, что если удалить дефолтный конфиг у микротика на прошивках 6.46 и выше - появляется вот это вот 0.0.0.0 - и все, барабан на шею, только ресет со сбросом конфига. Мост наверное разобрали?

Comments

[Wexter]

сли удалить дефолтный конфиг у микротика на прошивках 6.46 и выше - появляется вот это вот 0.0.0.0 - и все, барабан на шею,

В таком случае работает подключение по mac адресу

[White]

У меня с 0.0.0.0 норм по маку подключается, но если с 0 настраиваю и поднимаю мост при воткнутом WAN провайдера в 1 порт, то всё, сушите весла, роутер отваливается и только reset помогает

[CityCat4]

Wexter, ниуха оно не работает. Подключение проходит и через пару секунд отвал. Причем отваливается именно winbox, потому что при следующем подключении видно что делал. Reset через winbox не проходит - только ножками до микротика и хардварный ресет.

[Ziptar]

CityCat4, это не винбокс отваливается, а сеть. Связано это с механизмом определения сетевого расположения винды. Статика не настроена, по dhcp винда адрес получить не может - через некоторое время рвет соединения. Это раздражает, но особенно не мешает.

[CityCat4]

Ziptar, Это бесит неиллюзорно, потому что происходит каждые 3-5 сек. :)

[Ziptar]

CityCat4, прописывание статики на интерфейс, любой абсолюно, без днс и шлюза, проблему решает обычно. Хотя от версии к версии (7/8/10) могут быть свои нюансы.

[CityCat4]

Ziptar, Оно да, но если ценного ничего и идти недалеко - проще сходить и ресетнуть :)

[Ziptar]

CityCat4, ну фиг знает, я defconf никогда не использую, всегда все микроты с нуля настраиваю.