Задать вопрос
  • 2 роутера в одной подсети, каждый раздает свой wifi, почему не дает зайти в настройки 1го роутера по ip при подключении к wifi 2го роутера?

    kudin-denis
    @kudin-denis Автор вопроса
    des2, Отлично, благодарю! Записи про ipsec удалил. detect-internet отключил. /ip dns static была деактивирована, сейчас вовсе удалил, чтобы глаза не мозолило.
  • Почему перестали ресолвиться сайты по DNS на Mikrotik Chateau LTE18 ax после добавления двух WAN?

    kudin-denis
    @kudin-denis Автор вопроса
    Drno, да, галочка на allow remote requests стоит. Как я писал выше, проблема уже решена.
  • Почему перестали ресолвиться сайты по DNS на Mikrotik Chateau LTE18 ax после добавления двух WAN?

    kudin-denis
    @kudin-denis Автор вопроса
    Drno, пробовал выставить днсом адрес роутера - так не работало, настроил на 1.1.1.1, путь уже так остается.
  • 2 роутера в одной подсети, каждый раздает свой wifi, почему не дает зайти в настройки 1го роутера по ip при подключении к wifi 2го роутера?

    kudin-denis
    @kudin-denis Автор вопроса
    des2 Update!! Запись с адресом 192.168.88.2 в /ip dns static меня смутила и я ее деактивировал . Потом зашел в DHCP Network и заменил там DNS servers на 1.1.1.1:
    6441897fba0fe375074743.jpeg
    После этого перезагрузил роутер и домены стали ресолвится! Все это очень странно и не понятно почему так произошло, но буду надеяться что с конфигом остальное все в порядке. Прилагаю его последнюю версию ниже:
    Конфиг

    # apr/20/2023 21:52:30 by RouterOS 7.8
    # model = S53UG+5HaxD2HaxD&EG18-EA
    /interface bridge
    add admin-mac=68:FD:74:E9:70:81 auto-mac=no comment=defconf name=bridge
    /interface lte
    set [ find default-name=lte1 ] allow-roaming=no band=7 disabled=yes
    /interface wifiwave2
    set [ find default-name=wifi1 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=5g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    set [ find default-name=wifi2 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=2g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /ip pool
    add name=dhcp ranges=192.168.1.10-192.168.1.100
    /ip dhcp-server
    add address-pool=dhcp interface=bridge lease-time=3d name=defconf
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether1
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=wifi1
    add bridge=bridge comment=defconf interface=wifi2
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface detect-internet
    set detect-interface-list=all
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=lte1 list=WAN
    add interface=ether5 list=WAN
    /ip address
    add address=192.168.1.1/24 comment=defconf interface=bridge network=\
        192.168.1.0
    /ip dhcp-client
    add interface=ether5 use-peer-dns=no use-peer-ntp=no
    /ip dhcp-server network
    add address=192.168.1.0/24 comment=defconf dns-server=1.1.1.1 gateway=\
        192.168.1.1 netmask=24
    /ip dns
    set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
    /ip dns static
    add address=192.168.88.2 comment=defconf disabled=yes name=router.lan
    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment=\
        "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
        in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related hw-offload=yes
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ipv6 firewall address-list
    add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
    add address=::1/128 comment="defconf: lo" list=bad_ipv6
    add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
    add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
    add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
    add address=100::/64 comment="defconf: discard only " list=bad_ipv6
    add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
    add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
    add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
    /ipv6 firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
        33434-33534 protocol=udp
    add action=accept chain=input comment=\
        "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
        udp src-address=fe80::/10
    add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
        protocol=udp
    add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=input comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=input comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    add action=accept chain=forward comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
    add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
        hop-limit=equal:1 protocol=icmpv6
    add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=forward comment="defconf: accept HIP" protocol=139
    add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
        500,4500 protocol=udp
    add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=forward comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=forward comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    /system clock
    set time-zone-autodetect=no time-zone-name=Europe/Moscow
    /system clock manual
    set time-zone=+03:00
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN

  • Почему перестали ресолвиться сайты по DNS на Mikrotik Chateau LTE18 ax после добавления двух WAN?

    kudin-denis
    @kudin-denis Автор вопроса
    Drno, Благодарю за помощь! Запись с адресом 192.168.88.2 в /ip dns static меня смутила и я ее деактивировал . Потом зашел в DHCP Network и заменил там DNS servers на 1.1.1.1:
    6441897fba0fe375074743.jpeg
    После этого перезагрузил роутер и домены стали ресолвится! Все это очень странно и не понятно почему так произошло, но буду надеяться что с конфигом остальное все в порядке. Прилагаю его последнюю версию ниже:
    Конфиг

    # apr/20/2023 21:52:30 by RouterOS 7.8
    # model = S53UG+5HaxD2HaxD&EG18-EA
    /interface bridge
    add admin-mac=68:FD:74:E9:70:81 auto-mac=no comment=defconf name=bridge
    /interface lte
    set [ find default-name=lte1 ] allow-roaming=no band=7 disabled=yes
    /interface wifiwave2
    set [ find default-name=wifi1 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=5g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    set [ find default-name=wifi2 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=2g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /ip pool
    add name=dhcp ranges=192.168.1.10-192.168.1.100
    /ip dhcp-server
    add address-pool=dhcp interface=bridge lease-time=3d name=defconf
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether1
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=wifi1
    add bridge=bridge comment=defconf interface=wifi2
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface detect-internet
    set detect-interface-list=all
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=lte1 list=WAN
    add interface=ether5 list=WAN
    /ip address
    add address=192.168.1.1/24 comment=defconf interface=bridge network=\
        192.168.1.0
    /ip dhcp-client
    add interface=ether5 use-peer-dns=no use-peer-ntp=no
    /ip dhcp-server network
    add address=192.168.1.0/24 comment=defconf dns-server=1.1.1.1 gateway=\
        192.168.1.1 netmask=24
    /ip dns
    set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
    /ip dns static
    add address=192.168.88.2 comment=defconf disabled=yes name=router.lan
    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment=\
        "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
        in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related hw-offload=yes
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ipv6 firewall address-list
    add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
    add address=::1/128 comment="defconf: lo" list=bad_ipv6
    add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
    add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
    add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
    add address=100::/64 comment="defconf: discard only " list=bad_ipv6
    add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
    add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
    add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
    /ipv6 firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
        33434-33534 protocol=udp
    add action=accept chain=input comment=\
        "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
        udp src-address=fe80::/10
    add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
        protocol=udp
    add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=input comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=input comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    add action=accept chain=forward comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
    add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
        hop-limit=equal:1 protocol=icmpv6
    add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=forward comment="defconf: accept HIP" protocol=139
    add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
        500,4500 protocol=udp
    add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=forward comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=forward comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    /system clock
    set time-zone-autodetect=no time-zone-name=Europe/Moscow
    /system clock manual
    set time-zone=+03:00
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN

  • 2 роутера в одной подсети, каждый раздает свой wifi, почему не дает зайти в настройки 1го роутера по ip при подключении к wifi 2го роутера?

    kudin-denis
    @kudin-denis Автор вопроса
    des2 Привет! "allow remote requests" еще вчера активировал. Также в interface list прописал еще один wan на порт eth5. Сейчас проблема в следующем: при подключении к Микротик по wifi успешно пингуется адрес 8.8.8.8, но по имени домена сайты не открываются, похоже не работает DNS - не резолвится. Через терминал самого Микротика пинг на ya.ru проходит, но при подключении по WiFi интернет на конечных устройствах ни один сайт не открывается по доменному имени. НО, пинг, например до 8.8.8.8 проходит! В чем может быть ошибка конфигурации?
    Конфиг и схему сети прилагаю.
    64417f5b92747241623984.jpeg
    Конфиг такой:
    Конфиг

    # apr/20/2023 19:24:54 by RouterOS 7.8
    /interface bridge
    add admin-mac=68:FD:74:E9:70:81 auto-mac=no comment=defconf name=bridge
    /interface lte
    set [ find default-name=lte1 ] allow-roaming=no band=7 disabled=yes
    /interface wifiwave2
    set [ find default-name=wifi1 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=5g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    set [ find default-name=wifi2 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=2g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /ip pool
    add name=dhcp ranges=192.168.1.10-192.168.1.100
    /ip dhcp-server
    add address-pool=dhcp interface=bridge lease-time=3d name=defconf
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether1
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=wifi1
    add bridge=bridge comment=defconf interface=wifi2
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface detect-internet
    set detect-interface-list=all
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=lte1 list=WAN
    add interface=ether5 list=WAN
    /ip address
    add address=192.168.1.1/24 comment=defconf interface=bridge network=\
        192.168.1.0
    /ip dhcp-client
    add interface=ether5
    /ip dhcp-server network
    add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.20 gateway=\
        192.168.1.1 netmask=24
    /ip dns
    set allow-remote-requests=yes servers=8.8.8.8
    /ip dns static
    add address=192.168.88.2 comment=defconf name=router.lan
    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment=\
        "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
        in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related hw-offload=yes
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ipv6 firewall address-list
    add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
    add address=::1/128 comment="defconf: lo" list=bad_ipv6
    add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
    add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
    add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
    add address=100::/64 comment="defconf: discard only " list=bad_ipv6
    add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
    add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
    add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
    /ipv6 firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
        33434-33534 protocol=udp
    add action=accept chain=input comment=\
        "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
        udp src-address=fe80::/10
    add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
        protocol=udp
    add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=input comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=input comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    add action=accept chain=forward comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
    add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
        hop-limit=equal:1 protocol=icmpv6
    add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=forward comment="defconf: accept HIP" protocol=139
    add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
        500,4500 protocol=udp
    add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=forward comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=forward comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    /system clock
    set time-zone-name=Europe/Moscow
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN

  • Почему перестали ресолвиться сайты по DNS на Mikrotik Chateau LTE18 ax после добавления двух WAN?

    kudin-denis
    @kudin-denis Автор вопроса
    Drno, проверял, все так.
    Конфиг такой:
    Конфиг

    # apr/20/2023 19:24:54 by RouterOS 7.8
    /interface bridge
    add admin-mac=68:FD:74:E9:70:81 auto-mac=no comment=defconf name=bridge
    /interface lte
    set [ find default-name=lte1 ] allow-roaming=no band=7 disabled=yes
    /interface wifiwave2
    set [ find default-name=wifi1 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=5g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    set [ find default-name=wifi2 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=2g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /ip pool
    add name=dhcp ranges=192.168.1.10-192.168.1.100
    /ip dhcp-server
    add address-pool=dhcp interface=bridge lease-time=3d name=defconf
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether1
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=wifi1
    add bridge=bridge comment=defconf interface=wifi2
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface detect-internet
    set detect-interface-list=all
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=lte1 list=WAN
    add interface=ether5 list=WAN
    /ip address
    add address=192.168.1.1/24 comment=defconf interface=bridge network=\
        192.168.1.0
    /ip dhcp-client
    add interface=ether5
    /ip dhcp-server network
    add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.20 gateway=\
        192.168.1.1 netmask=24
    /ip dns
    set allow-remote-requests=yes servers=8.8.8.8
    /ip dns static
    add address=192.168.88.2 comment=defconf name=router.lan
    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment=\
        "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
        in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related hw-offload=yes
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ipv6 firewall address-list
    add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
    add address=::1/128 comment="defconf: lo" list=bad_ipv6
    add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
    add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
    add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
    add address=100::/64 comment="defconf: discard only " list=bad_ipv6
    add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
    add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
    add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
    /ipv6 firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
        33434-33534 protocol=udp
    add action=accept chain=input comment=\
        "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
        udp src-address=fe80::/10
    add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
        protocol=udp
    add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=input comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=input comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    add action=accept chain=forward comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
    add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
        hop-limit=equal:1 protocol=icmpv6
    add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=forward comment="defconf: accept HIP" protocol=139
    add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
        500,4500 protocol=udp
    add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=forward comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=forward comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    /system clock
    set time-zone-name=Europe/Moscow
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN

  • Почему перестали ресолвиться сайты по DNS на Mikrotik Chateau LTE18 ax после добавления двух WAN?

    kudin-denis
    @kudin-denis Автор вопроса
    Drno Спасибо за отклик! С САМОГО микротика у меня есть инет, при подключении к нему по wifi успешно пингуется 8.8.8.8, но по имени домена сайты не открываются, похоже не работает DNS - не резолвится. WAN ether5 добавлен в Interface list. Маскарад настроен как раз на все WAN из списка.
  • Почему перестали ресолвиться сайты по DNS на Mikrotik Chateau LTE18 ax после добавления двух WAN?

    kudin-denis
    @kudin-denis Автор вопроса
    Wexter Благодарю за отклик! Конфиг прилагаю:
    Конфиг

    # apr/20/2023 19:24:54 by RouterOS 7.8
    /interface bridge
    add admin-mac=68:FD:74:E9:70:81 auto-mac=no comment=defconf name=bridge
    /interface lte
    set [ find default-name=lte1 ] allow-roaming=no band=7 disabled=yes
    /interface wifiwave2
    set [ find default-name=wifi1 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=5g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    set [ find default-name=wifi2 ] channel.skip-dfs-channels=10min-cac \
        configuration.country=Russia .mode=ap .ssid=2g disabled=no \
        security.authentication-types=wpa2-psk,wpa3-psk
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /ip pool
    add name=dhcp ranges=192.168.1.10-192.168.1.100
    /ip dhcp-server
    add address-pool=dhcp interface=bridge lease-time=3d name=defconf
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether1
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=wifi1
    add bridge=bridge comment=defconf interface=wifi2
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface detect-internet
    set detect-interface-list=all
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=lte1 list=WAN
    add interface=ether5 list=WAN
    /ip address
    add address=192.168.1.1/24 comment=defconf interface=bridge network=\
        192.168.1.0
    /ip dhcp-client
    add interface=ether5
    /ip dhcp-server network
    add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.20 gateway=\
        192.168.1.1 netmask=24
    /ip dns
    set allow-remote-requests=yes servers=8.8.8.8
    /ip dns static
    add address=192.168.88.2 comment=defconf name=router.lan
    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment=\
        "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
        in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related hw-offload=yes
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ipv6 firewall address-list
    add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
    add address=::1/128 comment="defconf: lo" list=bad_ipv6
    add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
    add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
    add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
    add address=100::/64 comment="defconf: discard only " list=bad_ipv6
    add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
    add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
    add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
    /ipv6 firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
        33434-33534 protocol=udp
    add action=accept chain=input comment=\
        "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
        udp src-address=fe80::/10
    add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
        protocol=udp
    add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=input comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=input comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    add action=accept chain=forward comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
    add action=drop chain=forward comment=\
        "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
    add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
        hop-limit=equal:1 protocol=icmpv6
    add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
        icmpv6
    add action=accept chain=forward comment="defconf: accept HIP" protocol=139
    add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
        500,4500 protocol=udp
    add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
        ipsec-ah
    add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
        ipsec-esp
    add action=accept chain=forward comment=\
        "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
    add action=drop chain=forward comment=\
        "defconf: drop everything else not coming from LAN" in-interface-list=\
        !LAN
    /system clock
    set time-zone-name=Europe/Moscow
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN

  • 2 роутера в одной подсети, каждый раздает свой wifi, почему не дает зайти в настройки 1го роутера по ip при подключении к wifi 2го роутера?

    kudin-denis
    @kudin-denis Автор вопроса
    des2 Добавляю DHCP client на ether5 куда у меня подключен кабель от роутера интернет провайдера:
    6440dc337594f836846631.jpeg
    6440dcb644368093245375.jpeg

    Удаляю ether5 из Bridge:
    6440dcc04951e823889721.jpeg

    Прописываю DNS сервер 8.8.8.8:
    6440dccb87b99207653684.jpeg
    Проверяю пинг до ya.ru:
    6440dcd6d1c5b428278047.jpeg

    Но в браузере страницы не открываются: Не удается найти DNS-адрес сайта www.google.com.

    В чем может быть проблема? Что еще проверить? В firewall пока еще ничего не прописывал:
    6440dea734a66964176373.jpeg
    6440e2444fde3928311360.jpeg
    6440e50b5865d080037434.jpeg
    Если можно, покажите пожалуйста здесь скриншот, что в каких полях здесь нужно прописать?
  • 2 роутера в одной подсети, каждый раздает свой wifi, почему не дает зайти в настройки 1го роутера по ip при подключении к wifi 2го роутера?

    kudin-denis
    @kudin-denis Автор вопроса
    TheBigBear, Благодарю за ответ! Прошу прощения, что не нарисовал наглядную схему, стало бы намного проще показать как устроена сеть. LTE-Роутер я пока отключил, планирую его использовать на другой локации где нет интернет провайдера по кабелю. Хотелось бы настроить Микротик сразу на 2 режима: работа по кабелю от проводного интернет провайдера и работа от LTE провайдера.
    В Микротике Ether1 входит в бридж. Как я понимаю, если сейчас отключить DHCP на Микротике, то адреса будет раздавать роутер провайдера, но мне бы хотелось чтобы именно Микротик раздавал адреса через свой DHCP в нужном мне диапазоне подсети. Цель - настроить Микротик максимально универсально, чтоб я мог его использовать и в сети от проводного интернет провайдера в городе, и за городом в другой локации с подключением по LTE, где в эту же подсеть будет дополнительно включен видеорегистратор с камерами видеонаблюдения.
  • 2 роутера в одной подсети, каждый раздает свой wifi, почему не дает зайти в настройки 1го роутера по ip при подключении к wifi 2го роутера?

    kudin-denis
    @kudin-denis Автор вопроса
    des2, Большое спасибо! Сейчас уже голова не варит, попробую завтра разобраться. Как вам можно будет отписаться или задать дополнительные вопросы?
  • 2 роутера в одной подсети, каждый раздает свой wifi, почему не дает зайти в настройки 1го роутера по ip при подключении к wifi 2го роутера?

    kudin-denis
    @kudin-denis Автор вопроса
    des2, Прошу прощения, что не написал модель - MikroTik Chateau LTE18 ax
    Там у него сзади 4 порта и 5й подписан как 2.5G - фото прилагаю:
    644057065265e214855584.jpeg
    Четыре порта Gigabit Ethernet и один порт 2,5 Gigabit - это ether5, как я понял.
  • 2 роутера в одной подсети, каждый раздает свой wifi, почему не дает зайти в настройки 1го роутера по ip при подключении к wifi 2го роутера?

    kudin-denis
    @kudin-denis Автор вопроса
    des2,
    Скриншот вкладки bridge -> ports прилагаю:

    64404f3a1b5e1657061974.jpeg

    Схема следующая:
    Стоит роутер от провайдера. К нему подключен кабелем Микротик. К Микротику подключен кабелем роутер MiWiFi в режиме репитера.
    Сейчас поменял и сделал подключение кабелями по следующей схеме:
    Роутер провайдера подключил в Микротик порт 2.5 Gigabit Ethernet.
    В 1й Ethernet port кабелем подключил роутер MiWiFi (он в режиме репитера).
    lte интерфейс пока отключил.
    Скриншот прилагаю (quick set + ip Pool).
  • 2 роутера в одной подсети, каждый раздает свой wifi, почему не дает зайти в настройки 1го роутера по ip при подключении к wifi 2го роутера?

    kudin-denis
    @kudin-denis Автор вопроса
    TheBigBear Благодарю за ответ! Схема следующая:
    Стоит роутер от провайдера. К нему подключен кабелем Микротик. К Микротику подключен кабелем роутер MiWiFi в режиме репитера.
    Сейчас поменял и сделал подключение кабелями по следующей схеме:
    Роутер провайдера подключил в Микротик порт 2.5 Gigabit Ethernet.
    В 1й Ethernet port кабелем подключил роутер MiWiFi (он в режиме репитера).
    lte интерфейс пока отключил.
    Скриншот прилагаю (quick set + ip Pool).
    64404dd1c62e3745703938.jpeg