MikroTik vypadává spojení

[Petr Zajic]

Ahoj,
poridil jsem si novy router od mikrotiku (RouterBOARD RBD52G-5HacD2HnD-TC, hAP ac2) ale bohuzel hned od zacatku s nim mam problemy. Pres quick set jsem si nastavil zakladni veci jako statickou wan ip, nastaveni wlan a zapl firewall.
Zkusenost s brouzdanim pres novy router je takova, ze celkem casto, asi tak na 10-20s vypadne spojeni s internetem a toto je videt i pri pingu na 8.8.8.8

Kód: [Vybrat]

Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Vypršel časový limit žádosti.
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Odpověď od 8.8.8.8: bajty=32 čas=7ms TTL=118
Testy jsem provadel z PC, ktere je pripojene kabelem primo do routeru.
Kdyz pingam stejnou adresu primo z routeru, tak neztratim ani jediny paket - takze ISP muzeme vyloucit
Kdyz pingam router (adresu LAN gateway) taky neztratim ani jeden paket - spatny kabel asi taky muzeme vyloucit.
Takze jako vadny prvek se mi jevi router.

Zkousel jsem eth5 vyhodit z bridge a vytvorit pro nej vlastni sit, ale vysledek je stejny.

Pakety vypadavaji i kdyz pingam jine zarizeni ve stejne siti. Zmena portu nepomaha, ping z laptopu pres wifi taky vypadava.

Prikladam export konfigurace po tovarnim resetu, kdy jsem nastavil jen nejdulezitejsi veci, ale taky to zlobi

Kód: [Vybrat]

[admin@MikroTik] > /export hide-sensitive compact
# jun/14/2020 10:10:27 by RouterOS 6.45.9
# software id = J43T-I3XV
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00C7CB586
/interface bridge
add admin-mac=48:8F:5A:4D:B3:E7 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    MikroTik-4DB3EB wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge \
    ssid=MikroTik-4DB3EC wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!dude
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
add address=xxx.xxx.xxx.142/30 interface=ether1 network=xxx.xxx.xxx.140
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=xxx.xxx.xxx.20,xxx.xxx.xxx.100
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=xxx.xxx.xxx.141
/system clock
set time-zone-name=Europe/Prague
/system package update
set channel=long-term
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Napada nekoho duvod, proc se to deje? Jsem na optice od Pody, ONT Huawei v byte a se starym routerem jsem mel internet 100% stabilni.

Diky

[Reklama]

[robac]

Mikrotik ma log. Koukal jste do nej?

[Mirek Prýmek]

1. IP adresu 192.168.88.1 máš přidělenou k ether2, který je ale v bridgi. Měla by být spíš nastavená pro ten bridge. To by mohlo dělat problémy, ale ty tvoje asi ne. Každopádně bych to asi opravil.

2. Jsi si stoprocentně jistý, že ve chvíli, kdy ti nejde pingnout 8.8.8.8 můžeš pingnout 192.168.88.1? A co když v tu chvíli pingneš xxx.xxx.xxx.142?

3. Jestli správně čtu dump konfigurace, máš pro ether1 nastavenou statickou adresu xxx.xxx.xxx.142 a zároveň dhcp klienta? (teď si nejsem jistý, jestli dynamicky přidělená adresa z DHCP se v dumpu konfigurace objeví nebo ne, ale asi by neměla)

4. V logu něco je?

[Mirek Prýmek]

3. Jestli správně čtu dump konfigurace, máš pro ether1 nastavenou statickou adresu xxx.xxx.xxx.142 a zároveň dhcp klienta? (teď si nejsem jistý, jestli dynamicky přidělená adresa z DHCP se v dumpu konfigurace objeví nebo ne, ale asi by neměla)

Taky tam máš statickou routu "gateway=xxx.xxx.xxx.141", tu bys taky měl dostat dynamicky od DHCP klienta.

[Vykook]

Jedna z posledních aktualizací měla v changelogu něco se stabilitou tohodle modelu. Máš ji?

[Reklama]

[leten]

Co firmware, je upgradovaný? https://wiki.mikrotik.com/wiki/Manual:RouterBOARD_settings#General

[5nik]

Problém je kombinace statické a dynamické (DHCP) IP adresy na WANu v kombinaci s masquarade jako srcNATem. Buď použij statickou IP a zakaž (smaž) dhcp klienta nebo obráceně. Obojí aktivní může způsobovat popsaný problém.

[Petr Zajic]

Ahoj,

dekuji za vsechny odpovedi.

ted se mi to chova jinak. Ping z routeru taky neprochazi v nekterych chvilich i kdyz bych dal ruku do ohne za to, ze z routeru to pingalo. To jsem blazen. Diry v pingu z routeru odpovidaji diram pingu z PC. Zkusim do ONT jeste pichnout PC naprimo, abych opravdu vyloucil chybu ISP.

V logu zadne cenne info neni, jen klasicke admin login, dhcp assign/deassign, ether link up/down (ve chvilich, kdy to dava smysl).

Firmware je upgradovany na last stable 6.47 (zkousel jsem i LTS verzi)

Zrusil jsem uplne DHCP klienta pro wan (ve winboxu se tvaril jako stopped).

Ping na 192.168.88.1 prochazi opravdu na 100%.

Sit 192.168.88.1/24 jsem prehodil na bridge namisto ether2.

Aktualni config dump

Kód: [Vybrat]

[admin@MikroTik] > /export compact hide-sensitive
# jun/15/2020 23:52:23 by RouterOS 6.47
# software id = J43T-I3XV
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00C7CB586
/interface bridge
add admin-mac=48:8F:5A:4D:B3:E7 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=Lachtani wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-4DB3EC wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=xxx.xxx.xxx.142/30 interface=ether1 network=xxx.xxx.xxx.140
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=62.129.50.20,85.135.32.100
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=\
    new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=xxx.xxx.xxx.141
/system clock
set time-zone-name=Europe/Prague
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


[Petr Zajic]

Tak porad tam jsou diry.. Jeste pridam jeden poznatek. Mel jsem hovor pres MS Teams a v dobe vypadku me druha strana slysela bez potizi, ale ja neslysel druhou stranu.
Zitra zkusim pichnout PC primo do ONT.

[MikyM]

.....

ted se mi to chova jinak. Ping z routeru taky neprochazi v nekterych chvilich i kdyz bych dal ruku do ohne za to, ze z routeru to pingalo. To jsem blazen. Diry v pingu z routeru odpovidaji diram pingu z PC. Zkusim do ONT jeste pichnout PC naprimo, abych opravdu vyloucil chybu ISP.

V logu zadne cenne info neni, jen klasicke admin login, dhcp assign/deassign, ether link up/down (ve chvilich, kdy to dava smysl).
....

Ahoj,
shodou okolnosti ma kamarad velmi podobny mozna naprosto stejny problem + stejny model. Problemy se u nej ale zacaly objevovat az po case. Presneji router jsem mu predal nakonfigurovany, casem zapomel heslo tak udelal reset a config pomoci QuickSet. Cekam az mi router priveze at se mrknu a pote pripadne zaslu poznatky zda to slo na reklamaci nebo byla chyba v SW. Router si predtim kompletne preinstaluji pres netinstall.

Momentalne bych doporucil zkusit nasledujici:

V nastaveni - Switch zkontrolovat volbu Switch All Ports, pokud je volba zaskrtnuta tak zrusit.
V nastaveni Bridge - STP - zrusit RSTP
Podivej se do statistik rozhrani ether1, konkretne Rx Stats, Tx Stats

U Rx Stats by me zajimalo zda existuji nenulove hodnoty jen v polich Broadcast,Multicast,Overflow = zda je v jinem nez vyjmenovanem hodnota vetsi nez 0.

U Tx Stats by me zajimalo zda existuji nenulove hodnoty jen v polich Broadcast,Multicast = zda je v jinem nez vyjmenovanem hodnota vetsi nez 0.

U ether1 - Loop protect - mrkni jaky je status. Loop protect: Default, Status: Off
U ether1 - Ethernet - Tx Flow control / Rx Flow control: off

V nastaveni loggovani si na chvili vyber vice udalosti, bude to samozrejme vypisovat jak o zivot ale muze tam byt voditko.

Log topics: bridge, dns,firewall, interface,route, stp, system

Mrknout se do Routerboard zda sedi verze firmware.
btw: u ROS 6.47 lide hlasili chyby v init scriptu, Mikrotik to opravi v dalsim release.

Vypnout zakazujici pravidla ve FW a zrusit FastTrack

Provest reinstalaci pomoci netinstall s verzi ROS 6.45.8 LT

AD chyby: Mikrotik stale nema plne vyreseny problem s "ports flapping" tedy situaci kdy na jednom rozhrani mas 1Gbit a na jinem v ramci jednoho switch chipu treba 100 Mbit. Miva to tendenci dropnout link coz se v logu objevi jako link down a v zapeti link up.

Vyse popsane veci mohou znit jako blbost a ztrata casu nicmene MK ma mnoho chyb a nektere z nich maji tendenci se projevit jen za urcitych okolnosti. Mozna nic z toho nepomuze najit problem a router je zkratka z vadne serie.