MikroTik проблема с ping'ом в локальной сети. У всех так?

Question

[fedor-it]

Имеется Микротики RB951Ui-2Hnd и hAP lite. На обоих тестил с одинаковыми настройками
1 port - wan (dhcp client + nat)
2-5 port + wireless - в бридже ( на нем dhcp server)
Firewall - правил нет.
Короче стандартные настройки.
Ситуация следующая :
Я с компа подключенного по ethernetу (условно Хост№1) запускаю пинг к хосту подключенному по вай-фаю(Хост №2). Пинги не идут, пишет "заданный узел не доступен". Параллельно запускаю к вай-файному хосту(Хост №2) пинги от Микротика (или от другого хоста в локальной сети) - пинги идут и сразу начинают идти пинги от Хоста№1 к Хосту№2.
Через некоторое время ситуация может проявляться по другому :
С Хоста№1 пускаю пинг на Хост№2 - пингов нет. И через некоторое время (20-30 сек или несколько минут) пинги начинают ходить. Причем первые 3-4 пинга с большой задержокой (1000мс, 700мс,100мс).
Проявляется это на разных микротиках. Делал ARP-таблицу статической - не помогает. Ситуация очень похожа на вымывание arp-таблицы на коммутаторах.(Это когда таблица полностью забивается и новая запись не происходит). Но у меня всего-то 16 записей максимум. Помогите люди знающие, пожалуйста.

Comments

[Drill]

ARP enabled на бридже

[Andrey Barbolin]

IP address локальной сети на какой интерфейс назначил?

[fedor-it]

Drill, стоит.

Andrey Barbolin, на бридж назначил.

[Andrey Barbolin]

Давай посмотрим на export .

[fedor-it]

# jul/29/2020 23:03:23 by RouterOS 6.46.2
# software id = ZH5A-LI5L
#
# model = 951Ui-2HnD
# serial number = 62810560954E
/interface bridge
add fast-forward=no name=bridge_lan protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=2 country=russia3 disabled=no \
disconnect-timeout=15s frequency=auto frequency-mode=manual-txpower mode=\
ap-bridge radio-name=MikroTik-1 ssid=Wi wireless-protocol=802.11 wps-mode=\
disabled
/caps-man datapath
add bridge=bridge_lan client-to-client-forwarding=yes local-forwarding=no name=\
datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap encryption=aes-ccm \
group-encryption=aes-ccm group-key-update=1h name=security1 passphrase=\
11111111
/caps-man configuration
add channel.band=2ghz-b/g/n channel.control-channel-width=20mhz \
channel.frequency=2452 channel.tx-power=24 datapath=datapath1 mode=ap name=\
cfg1 rx-chains=0,1,2 security=security1 ssid=Wi tx-chains=0,1,2
/interface list
add exclude=dynamic name=discover
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=11111111 \
wpa2-pre-shared-key=11111111
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.77.101-192.168.77.254
add name=pool1 ranges=192.168.1.1-192.168.1.100
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge_lan lease-time=\
2d10m name=dhcp1
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
/interface bridge port
add bridge=bridge_lan hw=no interface=ether2
add bridge=bridge_lan hw=no interface=ether3
add bridge=bridge_lan hw=no interface=ether4
add bridge=bridge_lan hw=no interface=ether5
add bridge=bridge_lan interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=wlan1 list=discover
add interface=bridge_lan list=discover
add interface=bridge_lan list=WAN
/interface wireless cap
set bridge=bridge_lan caps-man-addresses=192.168.77.1 interfaces=wlan1
/ip address
add address=192.168.77.1/24 interface=bridge_lan network=192.168.77.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.77.253 comment=\
"\C2\FB\EA\EB\FE\F7\E0\F2\E5\EB\FC \F1\EF\E0\EB\FC\ED\FF" mac-address=\
60:01:94:D8:CB:16 server=dhcp1
add address=192.168.77.252 comment=\
"LED \EF\EE\E4\F1\E2\E5\F2\EA\E0 \F1\E0\EF\E0\EB\FC\ED\FF" mac-address=\
DC:4F:22:BB:F1:4F server=dhcp1
add address=192.168.77.254 client-id=1:bc:ee:7b:73:7a:c5 comment=\
"\CC\EE\E9 \EA\EE\EC\EF" mac-address=BC:EE:7B:73:7A:C5 server=dhcp1
add address=192.168.77.250 comment="\D0\E5\EB\E5 \CA\EE\F0\F0\E8\E4\EE\F0" \
mac-address=C4:4F:33:9B:6D:02 server=dhcp1
add address=192.168.77.249 client-id=1:64:95:6c:b:e3:67 comment=\
"\D2\E5\EB\E5\EA" mac-address=64:95:6C:0B:E3:67 server=dhcp1
add address=192.168.77.251 comment="\CC\EE\E9 \F2\E5\EB\E5\F4\EE\ED" \
mac-address=BC:44:34:A1:CD:E4 server=dhcp1
add address=192.168.77.247 always-broadcast=yes comment="\C2\FB\EA\EB\FE\F7\E0\
\F2\E5\EB\FC \E4\E5\F2\F1\EA\E0\FF \E8 \EA\EE\F0\F0\E8\E4\EE\F0" \
mac-address=60:01:94:D8:CB:9D server=dhcp1
add address=192.168.77.246 comment="\C2\FB\EA\EB\FE\F7\E0\F2\E5\EB\FC \E2\E0\ED\
\ED\FF, \F2\F3\E0\EB\E5\F2, \EA\F3\F5\ED\FF" mac-address=60:01:94:D9:3C:08 \
server=dhcp1
add address=192.168.77.245 client-id=1:78:e4:0:5a:40:9 comment=\
"\CD\EE\F3\F2 \C8\F0\FB" mac-address=78:E4:00:5A:40:09 server=dhcp1
add address=192.168.77.248 comment="\D2\E5\EB\E5\F4\EE\ED \C8\F0\FB" \
mac-address=6C:5F:1C:62:A0:FA server=dhcp1
add address=192.168.77.244 comment=\
"\C4\E0\F2\F7\E8\EA \E4\E2\E8\E6\E5\ED\E8\FF \EF\F0\E8\F5\EE\E6\EA\E0" \
mac-address=5C:CF:7F:24:3F:07 server=dhcp1
add address=192.168.77.220 client-id=1:74:4d:28:f1:55:1b comment=\
MikroTik_CONFIGURING mac-address=74:4D:28:F1:55:1B server=dhcp1
add address=192.168.77.98 client-id=1:8:0:27:e8:b2:57 comment="Home Assistant" \
mac-address=08:00:27:E8:B2:57 server=dhcp1
add address=192.168.77.243 comment="\D3\E2\EB\E0\E6\ED\E8\F2\E5\EB\FC Xiaomi" \
mac-address=5C:E5:0C:8C:94:72 server=dhcp1
/ip dhcp-server network
add address=192.168.77.0/24 dns-server=8.8.8.8,77.247.237.2,77.88.8.8 gateway=\
192.168.77.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=drop chain=input disabled=yes dst-address-type=multicast \
in-interface=ether1 log-prefix=multicast_drop
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add disabled=yes distance=1 dst-address=192.168.88.0/24 gateway=192.168.77.220
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.77.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow

[Drill]

fedor-it,
+ на ether2 - ether5 выставить proxy-arp

[fedor-it]

Drill, Выставил(на каждый порт), буду тестить. Подскажи, пожалуйста, лучше на каждом интерфейсе отдельно поставить proxy-arp или сразу на bridge_lan?

[fedor-it]

Drill, К сожалению ситуация осталось прежней. С хостов, которые подключены по ethernety криво (то ходят, то не ходят) ходят пинги на хосты, которые на интерфейсе wi-fi. Пробовал убирать Fast forward на бридже - не помогает.

Answer 1

[nucleon]

Некропост конечно, но на будущее:

Я с компа подключенного по ethernetу (условно Хост№1) запускаю пинг к хосту подключенному по вай-фаю(Хост №2). Пинги не идут, пишет "заданный узел не доступен". Параллельно запускаю к вай-файному хосту(Хост №2) пинги от Микротика (или от другого хоста в локальной сети) - пинги идут и сразу начинают идти пинги от Хоста№1 к Хосту№2. ...

- это не описание! вы бы правила фаервола сюда хотя бы привели, картинку сети...

а вообще на схожую проблему наткнулся не debian`е, при включенной фильтрации и NAT, правил ^
iptables -P OUTPUT ACCEPT
оказалось недостаточно для прохождения пингов с роутера в локальную сеть. При этом из внешней и локальной сети роутер пинговался и соотвествующие правила были.
Решение:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
можно конечно ограничить по интерфейсам:
iptables -A FORWARD -i $NET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT