Хорошо, тогда разберёмся наглядно.
Отвечаю как сетевой инженер с опытом проектирования и отладки L2/L3 инфраструктур на MikroTik.
---
Схема до отключения Proxy ARP
ПК (192.168.88.100)
│ ARP-запрос: "Кто 192.168.88.1?"
▼
[Switch]───[bridge-local1 на MikroTik, Proxy ARP: ON]
│ MikroTik отвечает за 192.168.88.1 своим MAC
▼
IP роутера (192.168.88.1)
Как это выглядит:
1. ПК шлёт ARP Broadcast.
2. MikroTik видит запрос и даже если бы L2-связи не было напрямую, отвечает своим MAC.
3. ПК получает MAC роутера, шлёт IP-пакеты → всё работает.
MikroTik теперь отвечает на ARP только за IP, который реально висит в этом L2-сегменте.
Если твой IP был в другой логической зоне (VLAN/bridge), ARP-запрос просто не проходит.
ПК не знает MAC роутера → связь рвётся.
---
Почему так вообще получилось
У тебя физически вроде одна сеть, но MikroTik разделил её на несколько L2-сегментов.
Proxy ARP маскировал этот факт, подставляя свой MAC в ответ.
После отключения выяснилось, что сегменты реально изолированы.
---
Как исправить без Proxy ARP
1. Проверить, на каком именно интерфейсе висит IP роутера.
2. Объединить все клиентские порты в один bridge (если всё должно быть в одной подсети).
3. IP роутера привязать к bridge, а не к отдельному порту.
4. Proxy ARP можно выключить — всё будет работать, потому что ARP будет ходить по L2 напрямую.
---
Если хочешь, я могу прямо нарисовать цветную сетевую диаграмму, где будет показан ARP-трафик и с Proxy ARP, и без него, чтобы было видно, где обрывается цепочка.
Тебе сделать такую картинку?
Отвечу как сетевой инженер с многолетним опытом работы с MikroTik и L2/L3 сетями — и разберём это пошагово, с реальными примерами, чтобы было понятно, что произошло.
---
1. Что такое Proxy ARP на самом деле
Proxy ARP — это механизм, при котором устройство (в данном случае твой MikroTik) отвечает на ARP-запросы за другие IP-адреса, как будто они находятся за ним.
Обычный сценарий:
ПК A шлёт ARP-запрос: «Кто владелец IP 192.168.0.1?».
Если MikroTik видит, что этот IP реально за другим интерфейсом, но Proxy ARP включен, он ответит своим MAC-адресом: «Это я».
ПК отправляет трафик на MAC MikroTik, а он уже переадресует куда надо.
Это нужно:
Когда у тебя одна и та же подсеть распределена по разным физическим интерфейсам (L3 без VLAN, без полного L2).
Когда клиент и шлюз не видят друг друга напрямую на канальном уровне (например, из-за VLAN, фильтрации или отсутствия бриджинга).
---
2. Почему у тебя связь пропала
Судя по описанию, у тебя:
Все IP в одной подсети (скажем, 192.168.88.0/24)
Есть bridge-local1 (куда идёт твой основной кабель в свитч)
И на нём был включен Proxy ARP.
Разрыв произошёл, потому что:
1. На твоём MikroTik интерфейсы с клиентскими портами не были в одном L2-домене (или VLAN были настроены так, что прямого ARP не было).
2. Proxy ARP фактически эмулировал прямой L2-доступ между твоим ПК и IP-адресом MikroTik.
3. Как только ты его выключил — ARP-запросы «Кто такой 192.168.x.x?» перестали получать ответ (ПК просто не знал MAC роутера).
4. ARP-таблица на ПК очистилась, и он перестал знать, как достучаться до роутера → связь отвалилась.
---
3. Классическая ситуация на MikroTik
Например:
Порт ether1 в VLAN1.
Порт ether2 тоже в VLAN1.
Но на самом деле они в разных бриджах, и L2-связности нет.
IP роутера висит на одном из этих интерфейсов.
ПК в другом бридже пытается достучаться до IP роутера.
Без Proxy ARP: ARP-запрос от ПК просто не проходит.
С Proxy ARP: MikroTik подменяет ответ и всё работает, хоть и криво с точки зрения архитектуры.
---
4. Почему так лучше не оставлять
Proxy ARP — костыль. Если всё в одной подсети, то правильнее сделать так:
Либо все клиентские порты в одном бридже (один L2-домен).
Либо настроить VLAN так, чтобы весь трафик этой подсети проходил в рамках одного VLAN без Proxy ARP.
Либо разделить подсети по разным интерфейсам и работать через маршрутизацию (Proxy ARP не нужен).
---
5. Пример исправления без Proxy ARP
Если бы я у тебя настраивал:
1. Объединил бы все клиентские интерфейсы (bridge-local1, VLAN1 и т.д.) в один bridge.
2. IP роутера повесил бы на сам bridge, а не на отдельный порт.
3. Отключил Proxy ARP — связь бы осталась.
---
Итог: у тебя Proxy ARP выполнял роль «склеивания» сетевых сегментов, которые по факту не были в одном L2. Как только ты его выключил — ARP перестал работать, и ПК потерял MAC роутера.
Нет, я ничего никому не доказываю. ChatGPT пользуюсь безо всяких VPN. Сейчас проверил - в Windows регион стоит Россия, Windows на русском языке. Основной язык в браузере - русский. Часовой пояс +5.
Я живу в Казахстане. У меня все настройки идентичны обычному пользователю из России. Никакие сайты меня не ограничивают. Так что они определяют каким-то другим образом.
Отвечаю как сетевой инженер с опытом проектирования и отладки L2/L3 инфраструктур на MikroTik.
---
Схема до отключения Proxy ARP
ПК (192.168.88.100)
│ ARP-запрос: "Кто 192.168.88.1?"
▼
[Switch]───[bridge-local1 на MikroTik, Proxy ARP: ON]
│ MikroTik отвечает за 192.168.88.1 своим MAC
▼
IP роутера (192.168.88.1)
Как это выглядит:
1. ПК шлёт ARP Broadcast.
2. MikroTik видит запрос и даже если бы L2-связи не было напрямую, отвечает своим MAC.
3. ПК получает MAC роутера, шлёт IP-пакеты → всё работает.
---
Схема после отключения Proxy ARP
ПК (192.168.88.100)
│ ARP-запрос: "Кто 192.168.88.1?"
▼
[Switch]───[bridge-local1 на MikroTik, Proxy ARP: OFF]
│
❌ Нет ответа (ARP теряется, L2-связи нет)
Что происходит:
MikroTik теперь отвечает на ARP только за IP, который реально висит в этом L2-сегменте.
Если твой IP был в другой логической зоне (VLAN/bridge), ARP-запрос просто не проходит.
ПК не знает MAC роутера → связь рвётся.
---
Почему так вообще получилось
У тебя физически вроде одна сеть, но MikroTik разделил её на несколько L2-сегментов.
Proxy ARP маскировал этот факт, подставляя свой MAC в ответ.
После отключения выяснилось, что сегменты реально изолированы.
---
Как исправить без Proxy ARP
1. Проверить, на каком именно интерфейсе висит IP роутера.
2. Объединить все клиентские порты в один bridge (если всё должно быть в одной подсети).
3. IP роутера привязать к bridge, а не к отдельному порту.
4. Proxy ARP можно выключить — всё будет работать, потому что ARP будет ходить по L2 напрямую.
---
Если хочешь, я могу прямо нарисовать цветную сетевую диаграмму, где будет показан ARP-трафик и с Proxy ARP, и без него, чтобы было видно, где обрывается цепочка.
Тебе сделать такую картинку?