-
Akina
- Сообщения: 31
- Зарегистрирован: 13 июл 2018, 07:46
- Откуда: Зеленоград, Москва, Россия
- Контактная информация:
CCR1009-7G-1C-1S+.
Нормально разрешает имена — и в Address Lists файрвола, и справка работает нормально, и во всех тулзах… кроме обновления.
При попытке обновления через WinBox в соответствии с мануалом после прожатия «Check For Updates» — две секунды «finding out latest version…», а затем «ERROR: could not resolve dns name».
Где я могу косячить? или, может, это всё же не я?
-
gmx
- Модератор
- Сообщения: 3054
- Зарегистрирован: 01 окт 2012, 14:48
19 фев 2019, 10:44
1. А на самом микротике интернет есть? Пинг по имени и адресу нормально проходит из терминала?
2. Пробовали отключать ВСЕ правила фаерволла, хотя бы временно?
3. Пробовали использовать другие DNS сервера, например, Google?
4. Вы не используете в сети и на микротике средства блокировки контента? Если да, то временно выключите.
5. Вы же помните, что можно обновиться вручную???
-
Akina
- Сообщения: 31
- Зарегистрирован: 13 июл 2018, 07:46
- Откуда: Зеленоград, Москва, Россия
- Контактная информация:
20 фев 2019, 10:54
Вопрос снят… сам дурак, наверное. Мешало (непонятно, впрочем, по какой причине) правило запрета input по UDP от порта 53 с адресов, не входящих в группу, в которую были включены только провайдерские ДНСы. Убрал ограничение по группе — всё прошло нормально.
На чтение 5 мин Просмотров 1.3к. Опубликовано 07.05.2019
Настройка MikroTik на работу с провайдером Rostelecom через PPPoe.
1. Входим в роутер через winbox, вводим ip роутера и логин: admin , нажимаем на connect.
2. Переходим во вкладку interface и добавляем PPPoe Client.
3. Выполняем настройку MTU/MRU и в окне interface выбираем наш порт, в который подключен провод от провайдера.
4. Переходим в окно Dial Out и вводим данные с карточки которую выдал нам провайдер: User и Password, убираем галочку с Dial On Demand, далее где написано Allow ставим все галочки, нажимаем Apply. И после всех настроек внизу должны увидеть Status: connected.
5. Для того чтобы пошел интернет нужно выполнить настройки Firewall. Переходим: Ip-Firewall и добавляем правило (+) в Chain ставим input, а в In. Interface выбираем наше созданное подключение PPPoe
6. Переходи во вкладку Action и ставим действие drop. Нажимем Apply.
7. В окне Firewall переходи в NAT нажимаем (+) и вносим следующее правило:
8. Переходим в Action и выбираем Masquerade. Нажимаем Apply.
Интернет в MikroTik уже появился, для автоматической раздачи Ip нужно настроить DHCP Server. Либо можете прописать статику в настройках сети ПК из подсети Вашего роутера.
Настройка PPPoE сервера
Все настройки будем производить через утилиту winbox. Подключаемся к маршрутизатору. Для настройки PPPoE сервера на Mikrotik заходим в меню PPP вкладка PPPoE Servers, Нажимаем на «+» добавить новый сервер.
Заполняем открывшееся окно своими данными
Service Name Название сервера PPoE
Interface – выбираем интерфейс на котором будет работать наш сервер
В разделе Authentication выбираем типы шифрования при необходимости, я оставляю все доступные. Нажимаем OK и видим наш созданный сервер.
Следующим шагом нам нужно создать пользователей, которые будут подключаться к нашему PPPoE серверу. Для этого переходим на вкладку Secrets и нажимаем добавить. В открывшемся окне заполняем поля как указано на рисунке.
Name – имя пользователя, будет использоваться в качестве логина.
Password – пароль пользователя
Service – выбираем сервис pppoe
Local Address – виртуальный ip адрес нашего сервера
Remote Address – Адрес который будет выдаваться клиенту.
Обратите внимание, что Local Address и Remote Address это адреса из сети, отличной от той которая настроена на интерфейсе.
Например если на нашем порту для PPPoE интерфейсе настроена сеть ip 192.168.0.1/24, то в настройках клиента, для безопасности, нельзя выдавать адреса из этой сети. Остальные поля оставляем как есть, нажимаем ОК, теперь можно пробовать подключаться к нашему Микротику по PPPoE протоколу.
Настройка PPPoE клиента на Микротик
Подключаемся к роутеру через winbox, переходим на вкладку interfaces и нажимаем кнопку плюс
В выпадающем меню выбираем пункт PPPoE Client
Создаем новый интерфейс, заполняем вкладку General.
Name— название интерфейса, может быть любым
Interfaces — физический интерфейс подключения к серверу PPPoE
Далее переходим на вкладку Dial Out
И делаем настройки для подключения к провайдеру
User – имя пользователя полученное от провайдера
Password – пароль
Так же выставляем галочки Use Peer DNS и Add Default Route. Галочку Dial On Demand наоборот снимаем.
Применяем настройки, жмем кнопку «OK»
После всех манипуляций, напротив интерфейса появится буква R, что означает что наш микротик успешно подключился к провайдеру. Если подключение не удалось то смотрим логи на вкладке log. Если подключение прошло успешно, то настраиваем НАТ и DHCP.
Обучающий курс по настройке MikroTik
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
При попытке подключить Zyxel Keenetic 4G — no link. Он вообще не появляется, никак, ни на одном порту.
При попытке завести на роутере Tenda — получает адреса, чуть работает, затем что-то непонятное, похоже на шторм/петлю.
Сейчас подключён rb951G-2Hnd. Его настройки:
DHCP-клиент на eth1 — выкл.
PPPoE-клиент eth1, получает адрес и DNS
1) При простой настройке через QuckSetup или голом добавлении на роутер PPPoE-клиента получается петля и падает порт Ростелекома, пропадает линк. Сначала звонил в техподдержку, за полчаса разблокировали, потом заметил, что есть на eth1 поставить Advertise 10M-half/10M-full, то порт оживает, потом можно подключаться на 100М.
2) На форумах нашёл, что падение порта решается добавлением правила
При этом, в режиме Advertise 100M раз в несколько дней порт всё-таки и сам не восстанавливается, а если ставить 10М/100М, то иногда подключается и работает в 10М. Считаю написание скрипта «дёргалки» в данном случае кощунством, хочу понять причины.
3) Сам Микротик не может получить Интернет, чтобы обновиться или поднять сторонний VPN, всегда ERROR: Could not resolve DNS name
- Как вообще идёт трафик? Почему при правиле «Запретить трафик из PPPoE-out» клиенты всё равно получают Интернет? Или это «input», но не «forward», поэтому как раз тик ничего не получает, а клиенты получают?
- Почему не работает Интернет на самой железке? Почему не работает DNS на неё же? пробовал добавить accept output/input/forward для 53/udp — ничего не меняется
- Как сам РТК решает эти проблемы? В Ростовском сапорте мне сказали: «Микротик — не надёжное оборудование и мы его не рекомендуем»
- Идеологически, правильно ли PPPoE-out помещать в interface-list = WAN и потом делать маскарад на WAN, а eth1 никуда не помещать?
Страница 9 из 26
-
Добрый день подскажите почему точки не хотят обновляться через контроллер?
mikrotik capsman upgrade status failed, failed to download file
откуда он должен его скачать?
контроллер рб1100*2
точки cAP -
Это было бы очень здорово ))
-
С капсмен как вариант. Вам надо создать папку, куда положить образы.
-
Разобрался. Надо было в основных настройках капсмана указать «package-path», я просто указал корень — где и лежать обновления.
С созданием папок как я понял — там не все так просто… -
Илья, доброго дня! Чтобы не плодить темы спрошу тут. Cap 2n не выдержала апгрейда на 6.37, пришлось прошивать через netinstall. Настроил всё заново, связка работает, НО, при проверке обновлений точка выдаёт ошибку: ERROR: could not resolve dns name. Куда копать? Какое имя разрешить?Забыл совсем как настраивал в прошлый раз и обошёл этот момент
Последнее редактирование: 5 окт 2016
-
/ip dns
указать dns-серверы -
Что-то у меня не складывается, разве cAP не должен всё с контроллера брать? Прописывать DNS надо и на нём тоже?
-
Должен, если вы это явно укажите. Иначе стандартно через интернет.
-
Я очень хочу это указать явно, но не знаю где. Простите за нубство
-
В свойствах CapsMan Manager
-
Друзья, не сочтите за рекламу. Уважаю Илью, его соратников… но есть один пацан в рунете, который выдал просто гениальный мануал по капсману. Причем судя по всему, им были изучены первоисточники, форум.микротик.ком.
Статья очень понравилась. Сделал по ней.
https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/ps сначала делал выноски из этой темы форума. Но очень разрознено, не структурированно.
-
Спасибо за ссылку, поглядел в полглаза. Для новичка пойдет, как старт. Отмечу несколько нюансов.
1. В Provision есть несколько вариантов отбора точки доступа. В т.ч. по MAC, IP, System Identity. Это позволяет не делать интерфейсы статически.
2. Нет смысла создавать объекты Chanel, DataPath и Security ради двух конфигураций. Проще это все в конфигурации описать.
3. При настройке CAP в одной L2-сети с CapsMan можно не указывать IP-адрес контроллера. Достаточно Discovery Interface.
4. Access-List проверяется в момент ПОДКЛЮЧЕНИЯ клиента. Потом он не смотрится. Это я про уровень сигнала.
5. Не рассмотрен вопрос Local Forwarding. Только DataPath
6. Не рассмотрены еще десяток вопросов (Обновления CAP, сертификатов, мониторинга и т.п.) -
Есть маршрутизатор cisco, на нём нарезаны vlan, поднят dhcp, есть access листы с описанием кому куда можно ходить
В каждый vlan dhcp отдаёт свой пул адресов
Через trunk порт это всё уходит на коммутатор cisco, куда через access порты подключены компы, принтеры и т.д.
Туда же подключены 3 hap ac lite
Нужно сделать на CapsMan 3 сети
Например:Office — vlan 10 — 192.168.10.0/24 — офисные ноутбуки (доступ куда угодно)
Phone — vlan 20 — 192.168.20.0/24 — мобильные телефоны и планшеты сотрудников (только интернет)
Guest — vlan 30 — 192.168.30.0/24 — гостевая сеть (только http с ограничением скорости)Как правильно настроить hap ac lite для работы по такой схеме?
И как правильнее подключить к коммутатору:
trunk порт коммутатора — trunk порт CapsMan — параллельно 2 CAP или каждый hap ac lite в trunk порт коммутатора?Без vlan всё работает.
Хотя более 2 сетей (без использования master и slave configuration) создать не получается.
Т.е. работает только 2 Provisioning (каждый с одной конфигурацией master)
Если создаю третий Provisioning — он не применяется -
Транк на одну из hAP AC на ней 3 бриджа. В каждый бридж свой vlan и этот же бридж в DataPath конфигурации.
hAP-ы подключить на нетегированные порты.
Да, делать Master и 2*Slave конфигурации для каждого диапазона -
Т.е. как я понимаю получится так
hAP-ы подключаем в access порты и запихиваем в 1 он же native vlan (по терминологии cisco) или во 2 (к примеру) vlan управления
Далее клиент подключается к CAP, трафик туннелируется — CAP — access порт — trunk порт — CapsMan по этому vlan-у и в этом туннеле пофиг на теги vlan.
Далее он приходит на CapsMan и заворачивается в нужный бридж, и вот уже отсюда через trunk порт уходит на cisco со своим vlan-ом, а там уже делай с ним что хочешь.
Т.е. всего у нас через trunk порт проходит 4 vlan-а — 1(2), 10, 20, 30На CapsMan 3 бриджа
А ethernet порты в них какие-то запихивать надо? И ip вешать?
И, как я понимаю, должен быть бридж для vlan-a управления с ip адресом
Извиняюсь если вопросы глупые, но логика работы vlan и бриджей в микротике пока не очень понятна -
Да, первая часть правильно.
По VLAN.
У вас есть Ethernet-port. Вы на него вешаете 3 VLAN и втыкаете этот порт в свитч и далее куда там вам надо.
Далее вы КАЖДЫЙ из этих vlan запихиваете в СВОЙ бридж как порт.
Эти же бриджи объявляете как datapath в конфигурации Capsman.
Теперь трафик от юзером идет в нужный вам vlan. Далее творите что хотите. -
Ага, понятно
И ещё пара вопросов ))
1 IP адреса, как я понимаю, назначаются на бридж, а не на vlan интерфейс?
2 Если на интерфейсе висит один vlan — это access порт, если больше одного vlan-a — trunk порт. Специально как access или trunk порты не помечаются?
3 Если в CAP нужно подключить что-нибудь шнурком (принтер, например) — то входящий порт делаем транком с vlan-ом управления и vlan-ом нужной сети, а любой из оставшихся портов делаем access и вешаем на него нужный vlan?
В результате CAP бегает по vlan-у управления, а устройство попадает в нужную сеть через свой vlan.4 Необходимо зарезервировать Capsman.
Есть такая сеть (для примера взят только беспроводной сегмент + коммутаторы для него)
Схема в идеале, но более вероятно, что резервирования коммутаторов не будет.Необходимо зарезервировать Capsman. CON1 основной, CON2 резервный. Каждый hAP AC lite подключается к каждому из 2 коммутаторов.
Насколько я понимаю, конфигурации на CON1 и CON2 будут отличаться только IP адресами на бридж интерфейсах.
А в настройках CAP просто добавляем второй адрес для Capsman.
Если CAP-ы не найдут CON1, будут стучаться на CON2.
Интересует как часто CAP опрашивает Capsman и как быстро произойдёт переключение на резервный контроллер?
Или это неправильная схема резервирования и нужно делать иначе?Ну и второй порт (в случае резервирования коммутаторов), которым Capsman подключён во второй коммутатор настраиваем как и первый?
-
1. Да на бридж. Я так понимаю, что вы vlan планируете как L2 гнать?
2. Не помечаются.
3. ДаВ одной L2 сети CAP может вообще адреса не иметь. Она CapsMan будет искать по L2 (опция discovery interfaces )
Достаточно быстро.
Да. В принципе конечно, если CAP регистрировать по IP, можно разнести CapsMan и интерфейсы CAP по разным подсетям.
-
1 Да, vlan-ы сходятся на маршрутизаторе и там на интерфейсах висят IP адреса. На всех сетевых устройствах есть IP из сети управления для доступа и мониторинга.
Если CAP-ы будут искать Capsman не по IP по очереди, а через discovery interfaces (даже если через один интерфейс, без резервирования коммутаторов), что будет если часть CAP-ов быстрее найдёт основной контроллер, а часть резервный?
Разносить CAP-ы и Capsman-ы по разным подсетям не нужно. Все hAP AC Lite в одной сети управления. Vlan-ы на них (каждый для своего SSID) используются только для разделения на группы беспроводных клиентов. Возможность проводного подключения сетевых устройств в hAP AC Lite — на самый крайний случай.
Каждый hAP подключён двумя линками для обеспечения резерва коммутатора и соединения. Логический интерфейс (bridge) с IP адресом на каждом hAP-е один и смотрит в сеть либо через Ether1, либо через Ether2 в зависимости от состояния линка (RSTP). Я имел в виду, что при таком подключении оба Ethernet порта настроены одинаково как trunk для Capsman и как access для CAP?
-
Контроллер отдает cap конфигурацию. Какой контроллер это сделает, в принципе значения не имеет.
Страница 9 из 26
В прошлой статье https://www.1spla.ru/blog/nastroyka-interneta-na-mikrotik я рассказал как настроить на нашем новом роутере интернет, в этой статье я покажу что нужно сделать чтобы исправить некоторые проблемы стандартной конфигурации.
Сразу приведу список проблем, а потом пошагово разберём то, как эти проблемы устранять.
- Пустой пароль администратора.
- Открытый в интернет DNS-сервер (ваш микротик могут использовать для усиления DDoS-атак).
- Открыты в интернет сервисы для управления микротиком.
- После обновления прошивки микротик автоматически не обновляет загрузчик.
Итак, пойдём по порядку.
Пароль администратора задать совсем просто, для этого нужно зайти в меню System, подменю Users.
В открывшемся окне кликнуть правой клавишей мыши по пользователю admin и выбрать кнопку Password.
В открывшемся окне 2 раза вписываем новый пароль и нажимаем «OK».
Теперь можно закрыть DNS сервер от злоумышленников.
Вариантов это сделать есть два:
- Отключить удалённые запросы к DNS на микротик (IP-DNS, снять галку Allow Remote Requests), но делать мы так не будем, т.к. выдаём собственный DNS в локальную сеть.
- Закрыть доступ к DNS извне нашей локальной сети.
Для этого нам потребуется зайти в IP – Firewall.
Нажимаем на + и создаём ещё одно правило, запрещающее входящий трафик (Chain: input) по протоколу UDP (Protocol: udp) на 53й порт (Dst. Port: 53) интерфейса провайдера (In. Interface: ether1).
На вкладке Action выбираем действие drop.
Нажимаем «ОК» и перетаскиваем его мышкой на 2ю позицию, т.к. правила firewall применяются по порядку, сверху вниз, пока пакет не попадёт под условия одного из правил.
Ещё одна неприятная вещь закрыта.
Теперь займёмся лишними сервисами. Идём в меню IP – Services, тут мы видим все доступные в данный момент сервисы и порты, на которых они работают.
Кроме winbox нам другие сервисы в принципе не нужны, можно выделить их и нажать красный крест в верхней части окна, что отключит их.
При желании, можно кликнуть на сервис winbox и выполнить тонкую настройку данного сервиса (изменить порт, задать список ip-адресов или подсетей из которых к нему можно подключаться).
Итак, последний пункт нашей сегодняшней статьи – обновление загрузчика нашего оборудования.
Идём в пункт System – Routerboard.
Тут мы видим модель нашей железки, её серийный номер и версии загрузчика (заводская, текущая и та, на которую можно обновиться).
К сожалению, у меня не было под рукой оборудования с не обновлённым загрузчиком, поэтому просто скажу, что нужно нажать на кнопку Upgrade в правой части окна и через некоторое время просто перезагрузить роутер.
На этом всё.
В следующей статье я расскажу, как включить и правильно настроить WiFi на нашем роутере.
Если вам нужна помощь в настройке оборудования или серверов, наши специалисты всегда готовы вам помочь.
Статью подготовил технический директор компании Первый Сервисный Провайдер Гавриш Артём.