prosím o pomoc MikroTik ping invalid, traceroute invalid

Návody a problémy s konfigurací.
mac644
Příspěvky: 3
Registrován: 1 month ago

prosím o pomoc MikroTik ping invalid, traceroute invalid

Příspěvekod mac644 » 1 month ago

Dobrý den prosím o pomoc s nastavením směrovače MikroTik RB941-2ND-TC u kterého jsem aktualizoval RouterOS na nejnovější verzi 6.43.2 a současně aktualizoval i Firmware na aktuální verzi 3.24, četl jsem si některá témata zaměřující se na tento problém, který níže specifikuji, ale odpověď jsem nenalezl ani žádné adekvátní řešení.

Problém který nemohu odstranit spočívá v tom, že aktualizovaný systém RouterOS nemůže navázat spojení s NTP serverem a nastavit na směrovači MikroTik čas ze serveru NTP i přesto že jsem IP adresu NTP serveru ze kterého má směrovač MikroTik čas stáhnout včetně IP adresy náhradního NTP serveru zadal do SNTP clienta a službu jsem povolil viz. obr.1 přiloženého souboru rar. Při této příležitosti mě napadlo zkusit ping a funkci tracerout pro identifikaci uzlů kterými prochází odeslané pakety z terminalu směrovače MikroTik s výsledkem při směrování paketů na doménu prvního zadaného NTP serveru v SNTP klientovi směrovače MikroTik ntp.nic.cz jak příkazem ping tak příkazem tracerout mi terminál MikroTik odpověděl invalid value for argument address, viz. obr.2, obr.3, přiloženého souboru rar. Při směrování paketů na doménu ntp.nic.cz napsanou do terminálu jako IP adresu domény ntp.nic.cz 217.31.202.100 mi MikroTik odpověděl v případě odeslání paketů příkazem ping 217.31.202.100 zahozením odeslaných paketů s odesláním chybového hlášení ICMP rejected a v případě příkazu tool tracerout 217.31.202.100 byly všechny packety ztraceny viz. obr.4, obr.5, přiloženého souboru rar. Na PC mi však internet jede a proto jsem zkusil odeslat packety přes příkaz ping a tracerout s CMD Windows a to jak se zadáním doménového jména ntp.nic.cz tak se zadáním jako IP adresa 217.31.202.100, přičemž příkazem ping byly packety odeslány na doménu ntp.nic.cz v prvním případě se ztrátou 25% a v druhém případě se ztrátou taktéž 25% viz. obr.6 a obr.7 přiloženého souboru rar. V případě vypsání uzlů v CMD za pomocí příkazu tracert, kterými odeslané packety putují na doménu ntp.nic.cz byly packety doručeny s výpisem IP adres uzlů kterými po cestě putovali viz. obr.8 a obr.9. V případě výše uvedeného postupu aplikovaného i na náhodně zvolenou doménu např. google.com abych vyloučil možnost nefunkčního NTP serveru je výsledek stejný viz. obr.10, 11, 12, 13, 14, 15, 16, 17. přiloženého souboru rar. NTP client se tedy nemůže s NTP serverem spojit jelikož směrovač nemůže navázat jakékoliv spojení nasměrované jako odchozí spojení OUTPUT ze směrovače směrem do WAN sítě, ale PC připojené za NATEM směrovače RB941-2ND-TC navazuje avšak se ztrátami spojení ve směru OUTPUT s WAN sítí a navázaná spojení směrem na směrovač INPUT a posléze s NATEM privátní LAN sítě za směrovačem udržuje aktivní = internet je dostupný. Zatím nejsem schopen odhadnout kde může být problém, přemýšlel jsem i nad routrem ISP, popř. jeho Firewallem, ale nevím, jelikož moje PC na iniciovaná spojení na portech 80 a 443 s cílovým NATEM reaguje a spojení navazuje. Níže je popsána konfigurace směrovače MikroTik RB941-2ND-TC. Přemýšlel jsem také ještě nad tím že může být problém se špatně napsaným Firewall směrovače MikroTik RB941-2ND-TC který odchozí spojení spojení blokuje, ale to je dost nepravděpodobné jelikož SNTP cient a povolení upřednostňovaného NTP serveru na směrovači je funkce směrovače kterou v případě když povolím tak pravidla napsaná ve Firewall nehrají žádnou roli a i přesto se směrovač není schopen s upřednostňovaným serverem NTP spojit viz. obr.18 kde lze vidět pokus o spojení s NTP serverem na portu 123 který je přidělený pro NTP servery a který však okamžitě spadne s výsledkem čas nenastaven viz. pole DATE na obr.18., problém je však jak jsem již výše popsal že směrovač není schopen navázat žádná spojení iniciované ze směrovače samotného, internet na PC ale jde. Níže popíši svou konfiguraci směrovače MikroTik RB941-2ND-TC.


Jako bránu svého routeru MikroTik RB941-2ND-TC mám nastavenou IP adresu 192.168.88.1 se síťovou maskou 255.255.255.0 s prefixem (/24) na DHCP serveru mám nastavený rozsah privátních IP adres, které chci aby mi DHCP server přiděloval v lokální síti LAN a mám povolenou službu překladu síťových adres NAT, výchozí brána směrovače ISP je 10.111.252.65 se statickou privátní IP adresou 10.111.252.70, kterou mám přidělenou od DHCP clienta za NATEM směrovače poskytovatele na rozhraní sítě WAN se síťovou maskou 255.255.255.192 s prefixem (/26) mezi branou svého směrovače MikroTik RB941-2ND-TC s IP adresou směrovače 192.168.88.1 a branou směrovače poskytovatele 10.111.252.65 mám zapnutý Firewall. DHCP clienta viz. obr.19 a obr.20 mám nastaveného na rozhraní ether1 u mě WAN a mám povoleno použití serverů DNS a NTP s IP adresou DHCP serveru nastavenou na bránu směrovače ISP čili na 10.111.252.65. Síť kterou má DHCP server obsluhovat viz. obr.21 je u mě lokální síť 192.168.88.0 s prefixem (/24) s rozsahem přidělovaných IP adres za NATEM směrovače s IP adresou 192.168.88.1 na celém rozhraní bridge viz. obr.22 čili u mě ether2, ether3, ether4 a wlan1 (wireless) viz. obr.23, Log směrovače MikroTik RB941-2ND-TC po restartu kde lze vidět, že všechny hardwaerové porty jsou funkční včetně wireless. DNS server viz. obr.24 mám nastavený na DNS server google 8.8.8.8 a sekundární 8.8.4.4 a má povolený sken DNS serveru který používá směrovač ISP. Routy mám nastavené následovně první routa je směrována z brány bridge směrovače na cílové IP adresy NAT lokální sítě LAN viz. obr.25, druhá routa je směrována z brány směrovače do rozhraní ether1 čili WAN s cílovými IP NAT směrovače ISP viz. obr.26, a poslední routa je směrována na bránu směrovače ISP rep. na směrovač ISP viz. obr.27. V IP service jsem nechal povolenou pouze službu SSH kterou jsem zároveň převedl na jiný port a službu winbox kterou jsem převedl taktéž na jiný port a povolil jí využívat pouze jedinou IPv4 adresou z rozsahu který může DHCP server přidělovat v lokální síti LAN tuto IPv4 adresu jsem na pevno nastavil v síťovém adaptéru jednoho zařízení které využívám k připojení do směrovače pomocí aplikace winbox, rozsah IPv6 adres jsem na síťovém adaptéru na PC zakázal a zakázal jsem také NeTbios komunikaci NeTbios na portech a protokolech které k tomu využívá jsem také zakázal na všech nových příchozích spojeních ve firewall. Ve Firewall - Service Ports jsem zakázal všechny služby které tam jsou včetně služby FTP ve své lokální síti nejsou jiná zařízení propojená mezi sebou čili nepotřebuji žádné služby. Zatížení CPU směrovače se pohybuje mezi 1% až 5%. Nevím kde může být problém prosím o pomoc případné rady jsem začátečník a nevím kde hledat případné řešení problému. Obrázky jsou v příloze komprimované ve formátu rar. rozdělené do tří složek kvůli velikosti.

Předem děkuji za odpovědi případný návrh na řešení problému.

S pozdravem mac644
Přílohy
Příloha obrázky 1.rar
(181.09 KiB) Staženo 9 x
Příloha obrázky 2.rar
(195.61 KiB) Staženo 6 x
Příloha obrázky 3.rar
(91 KiB) Staženo 6 x
0 x

rsaf
Příspěvky: 811
Registrován: 12 years ago

Příspěvekod rsaf » 1 month ago

Kilometrový, odstavci či větami nerozdělený text nikdo číst nebude, a stahovat nějaké .RARy od uživatele, který má jeden příspěvek už vubec ne. Uspořádej si myšlenky do nějaké ucelené podoby a přijď znova, konfigurace posílej jako text. Jinak jen podle nadpisu odhaduji, že si ping/traceroute blokuješ v output firewallu
0 x

Petr Bačina
Příspěvky: 985
Registrován: 4 years ago
Bydliště: Horní Slavkov
Kontaktovat uživatele:

Příspěvekod Petr Bačina » 1 month ago

RARy jsou OK. Spíš to vypadá na problém DNS v kombinaci s firewallem. Očividně ti to nepřekládá DNS dotazy. Takže zkontrolovat nastavení DNS a jestli neblokuješ ve FW.

Edit: ten text je šílenost, takže jsem to ani moc nečetl ;-)
0 x

mac644
Příspěvky: 3
Registrován: 1 month ago

Příspěvekod mac644 » 1 month ago

V tom textu je pouze popsané to co to dělá co jsem zkoušel s jakým výsledkem a jak mám nakonfigurované základní věci na směrovači jinak viz. obr. četl jsem si některé diskuze a chtěl jsem předejít otázkám jak máš nastavené to a tamto přičemž v těch vláknech z toho vznikne vždycky robustní konverzace, pro ty kteří moc nechcou číst jsem dal obrázky s nastavení.
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 7 hostů