MikroTik проблема с ping'ом в локальной сети. У всех так?

Question

[fedor-it]

Имеется Микротики RB951Ui-2Hnd и hAP lite. На обоих тестил с одинаковыми настройками
1 port - wan (dhcp client + nat)
2-5 port + wireless - в бридже ( на нем dhcp server)
Firewall - правил нет.
Короче стандартные настройки.
Ситуация следующая :
Я с компа подключенного по ethernetу (условно Хост№1) запускаю пинг к хосту подключенному по вай-фаю(Хост №2). Пинги не идут, пишет "заданный узел не доступен". Параллельно запускаю к вай-файному хосту(Хост №2) пинги от Микротика (или от другого хоста в локальной сети) - пинги идут и сразу начинают идти пинги от Хоста№1 к Хосту№2.
Через некоторое время ситуация может проявляться по другому :
С Хоста№1 пускаю пинг на Хост№2 - пингов нет. И через некоторое время (20-30 сек или несколько минут) пинги начинают ходить. Причем первые 3-4 пинга с большой задержокой (1000мс, 700мс,100мс).
Проявляется это на разных микротиках. Делал ARP-таблицу статической - не помогает. Ситуация очень похожа на вымывание arp-таблицы на коммутаторах.(Это когда таблица полностью забивается и новая запись не происходит). Но у меня всего-то 16 записей максимум. Помогите люди знающие, пожалуйста.

Comments

[Drill]

ARP enabled на бридже

[Valentin Barbolin]

IP address локальной сети на какой интерфейс назначил?

[fedor-it]

Drill, стоит.

Andrey Barbolin, на бридж назначил.

[Valentin Barbolin]

Давай посмотрим на export .

[fedor-it]

# jul/29/2020 23:03:23 by RouterOS 6.46.2
# software id = ZH5A-LI5L
#
# model = 951Ui-2HnD
# serial number = 62810560954E
/interface bridge
add fast-forward=no name=bridge_lan protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=2 country=russia3 disabled=no \
disconnect-timeout=15s frequency=auto frequency-mode=manual-txpower mode=\
ap-bridge radio-name=MikroTik-1 ssid=Wi wireless-protocol=802.11 wps-mode=\
disabled
/caps-man datapath
add bridge=bridge_lan client-to-client-forwarding=yes local-forwarding=no name=\
datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap encryption=aes-ccm \
group-encryption=aes-ccm group-key-update=1h name=security1 passphrase=\
11111111
/caps-man configuration
add channel.band=2ghz-b/g/n channel.control-channel-width=20mhz \
channel.frequency=2452 channel.tx-power=24 datapath=datapath1 mode=ap name=\
cfg1 rx-chains=0,1,2 security=security1 ssid=Wi tx-chains=0,1,2
/interface list
add exclude=dynamic name=discover
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=11111111 \
wpa2-pre-shared-key=11111111
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.77.101-192.168.77.254
add name=pool1 ranges=192.168.1.1-192.168.1.100
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge_lan lease-time=\
2d10m name=dhcp1
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
/interface bridge port
add bridge=bridge_lan hw=no interface=ether2
add bridge=bridge_lan hw=no interface=ether3
add bridge=bridge_lan hw=no interface=ether4
add bridge=bridge_lan hw=no interface=ether5
add bridge=bridge_lan interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=wlan1 list=discover
add interface=bridge_lan list=discover
add interface=bridge_lan list=WAN
/interface wireless cap
set bridge=bridge_lan caps-man-addresses=192.168.77.1 interfaces=wlan1
/ip address
add address=192.168.77.1/24 interface=bridge_lan network=192.168.77.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.77.253 comment=\
"\C2\FB\EA\EB\FE\F7\E0\F2\E5\EB\FC \F1\EF\E0\EB\FC\ED\FF" mac-address=\
60:01:94:D8:CB:16 server=dhcp1
add address=192.168.77.252 comment=\
"LED \EF\EE\E4\F1\E2\E5\F2\EA\E0 \F1\E0\EF\E0\EB\FC\ED\FF" mac-address=\
DC:4F:22:BB:F1:4F server=dhcp1
add address=192.168.77.254 client-id=1:bc:ee:7b:73:7a:c5 comment=\
"\CC\EE\E9 \EA\EE\EC\EF" mac-address=BC:EE:7B:73:7A:C5 server=dhcp1
add address=192.168.77.250 comment="\D0\E5\EB\E5 \CA\EE\F0\F0\E8\E4\EE\F0" \
mac-address=C4:4F:33:9B:6D:02 server=dhcp1
add address=192.168.77.249 client-id=1:64:95:6c:b:e3:67 comment=\
"\D2\E5\EB\E5\EA" mac-address=64:95:6C:0B:E3:67 server=dhcp1
add address=192.168.77.251 comment="\CC\EE\E9 \F2\E5\EB\E5\F4\EE\ED" \
mac-address=BC:44:34:A1:CD:E4 server=dhcp1
add address=192.168.77.247 always-broadcast=yes comment="\C2\FB\EA\EB\FE\F7\E0\
\F2\E5\EB\FC \E4\E5\F2\F1\EA\E0\FF \E8 \EA\EE\F0\F0\E8\E4\EE\F0" \
mac-address=60:01:94:D8:CB:9D server=dhcp1
add address=192.168.77.246 comment="\C2\FB\EA\EB\FE\F7\E0\F2\E5\EB\FC \E2\E0\ED\
\ED\FF, \F2\F3\E0\EB\E5\F2, \EA\F3\F5\ED\FF" mac-address=60:01:94:D9:3C:08 \
server=dhcp1
add address=192.168.77.245 client-id=1:78:e4:0:5a:40:9 comment=\
"\CD\EE\F3\F2 \C8\F0\FB" mac-address=78:E4:00:5A:40:09 server=dhcp1
add address=192.168.77.248 comment="\D2\E5\EB\E5\F4\EE\ED \C8\F0\FB" \
mac-address=6C:5F:1C:62:A0:FA server=dhcp1
add address=192.168.77.244 comment=\
"\C4\E0\F2\F7\E8\EA \E4\E2\E8\E6\E5\ED\E8\FF \EF\F0\E8\F5\EE\E6\EA\E0" \
mac-address=5C:CF:7F:24:3F:07 server=dhcp1
add address=192.168.77.220 client-id=1:74:4d:28:f1:55:1b comment=\
MikroTik_CONFIGURING mac-address=74:4D:28:F1:55:1B server=dhcp1
add address=192.168.77.98 client-id=1:8:0:27:e8:b2:57 comment="Home Assistant" \
mac-address=08:00:27:E8:B2:57 server=dhcp1
add address=192.168.77.243 comment="\D3\E2\EB\E0\E6\ED\E8\F2\E5\EB\FC Xiaomi" \
mac-address=5C:E5:0C:8C:94:72 server=dhcp1
/ip dhcp-server network
add address=192.168.77.0/24 dns-server=8.8.8.8,77.247.237.2,77.88.8.8 gateway=\
192.168.77.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=drop chain=input disabled=yes dst-address-type=multicast \
in-interface=ether1 log-prefix=multicast_drop
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add disabled=yes distance=1 dst-address=192.168.88.0/24 gateway=192.168.77.220
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.77.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow

[Drill]

fedor-it,
+ на ether2 - ether5 выставить proxy-arp

[fedor-it]

Drill, Выставил(на каждый порт), буду тестить. Подскажи, пожалуйста, лучше на каждом интерфейсе отдельно поставить proxy-arp или сразу на bridge_lan?

[fedor-it]

Drill, К сожалению ситуация осталось прежней. С хостов, которые подключены по ethernety криво (то ходят, то не ходят) ходят пинги на хосты, которые на интерфейсе wi-fi. Пробовал убирать Fast forward на бридже - не помогает.

Answer 1

[nucleon]

Некропост конечно, но на будущее:

Я с компа подключенного по ethernetу (условно Хост№1) запускаю пинг к хосту подключенному по вай-фаю(Хост №2). Пинги не идут, пишет "заданный узел не доступен". Параллельно запускаю к вай-файному хосту(Хост №2) пинги от Микротика (или от другого хоста в локальной сети) - пинги идут и сразу начинают идти пинги от Хоста№1 к Хосту№2. ...

- это не описание! вы бы правила фаервола сюда хотя бы привели, картинку сети...

а вообще на схожую проблему наткнулся не debian`е, при включенной фильтрации и NAT, правил ^
iptables -P OUTPUT ACCEPT
оказалось недостаточно для прохождения пингов с роутера в локальную сеть. При этом из внешней и локальной сети роутер пинговался и соотвествующие правила были.
Решение:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
можно конечно ограничить по интерфейсам:
iptables -A FORWARD -i $NET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

Если у вас, как вы пишете, пинг то есть то нет, то это возможно не проблема правил, а проблема физики.
1) уточните наблюдается ли проблема только при соединении "локальный порт-роутер-wifi", или она так-же
наблюдается при соединение "локальный порт-роутер-локальный порт"
2) проверьте, что у вас не отваливается кабель или соединение wifi
1-1) попробуйте проверить беспроводную сеть например с помощью мобильного приложения "Wifi Analyser" (от Keuwlsoft), удостоверьтесь, что вы в этой сети (канале) одни, и одни используете указанный на роутере канал.
если это не так, смените канал на роутере на никем не используемый и пересканируйте сеть.
если вы заметите, что вслед за вами канал меняют и другие устройства неизвестные! (это важно) вам, то поздравляю - вас скорее всего ломают. И защититься от этого полностью нельзя. Можно только повысить уровень шифрования и скрыть сид, но не все устройства могут с такой сетью работать.
1-2) прозвоните кабель на предмет повреждений, смените порт на роутере, замените кабель
2) попробуйте обновить драйвер на сетевое устройство (сетевая карта или wifi карта)
3) проверьте наблюдается ли проблема, если выключить Firewall (он же Брендмауэр)
4) имеет смысл посмотреть логи вашей системы на предмет странных сообщений (типа конфликт IP адресов, ошибки соединения)
5) если указанные действия не помогли выявить проблему, попробуйте обновить прошивку роутера

Comments

[fedor-it]

Как видно из конфигурации, которую я предоставлял выше, настроек фаервола практически нет и в описании написано что правил нет (т.к. пробывал с полностью сброшенными настройками)

/ip firewall filter
add action=drop chain=input disabled=yes dst-address-type=multicast \
in-interface=ether1 log-prefix=multicast_drop
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Картинка сети самая обыкновенная, вроде все описал же :

LAN_DHCP_Client(Host#1) <-> Wi-Fi_Router_MikroTik <-> Wi-Fi_DHCP_Client(Host#2)

Пинги между клиентами то ходят, то не ходят.