LINUX.ORG.RU
ФорумAdmin

mikrotik RB9151G-2HnD тормозит интернет через WiFi

 , ,


0

2

настроил wan. интернет для роутера есть, пинги идут. настроил секюрити профиль и сделал сеть для Wlan, dhcp-сервер раздает IP. хочу чтобы все из локальной сети Wlan могли просто идти в интернеты без заморочек. настраиваю iptables:

[admin@MikroTik] > ip firewall filter print                                                   
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; enable all
     chain=input action=accept connection-state=established 

 1   ;;; enable icmp
     chain=input action=accept protocol=icmp 

 2   chain=forward action=accept connection-state=established 

 3   chain=input action=accept connection-state=related 

 4   chain=forward action=accept connection-state=related 

 5   chain=forward action=accept src-address=192.168.0.0/24 in-interface=wlan1 

 6   chain=forward action=accept src-address=192.168.0.0/24 

 7   chain=forward action=accept protocol=udp src-port=53 

 8   chain=forward action=accept protocol=tcp src-port=53 

и NAT:

[admin@MikroTik] > ip firewall nat print       
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat action=masquerade to-addresses=192.168.254.0 out-interface=ether1

итог - тормозит сеть через wifi. страницы открываются, но долго. что я делаю не так?

попробуй в ip firewall nat, что-то такое

chain=srcnat action=masquerade to-addresses=0.0.0.0 src-address=192.168.0.0/24 out-interface=ether1

Мне кажется твое правило для NAT будет все НАТить только для destination адреса 192.168.254.0

Хотя адреса на интерфейсах не мешало бы показать.

jerrydp
()
Ответ на: комментарий от jerrydp

нет, не взлетело. буду пробовать сбросить конфу, перешить, но что-то мне подсказывает что я все делаю не так. адреса на интерфейсах: 192.168.254.1 - WLAN 176.192.73.107 - WAN

laborant
() автор топика
Ответ на: комментарий от laborant

Тебе нужно: 1. Выбрать интерфейс который будет WAN. 2. Назначить IP адрес этому интерфейсу, если от провайдера адресы не приходят по DHCP. 3. Объеденить все остальные интерфейсы(в том числе и WLAN) в bridge. 4. Назначить на bridge IP адрес 192.168.0.1(локальная сеть) 5. Поднять DHCP сервер на этом же интерфейсе. 5а. Настроить DNS серверы, если от провайдера адресы не приходят по DHCP. 6. Сделать в iptables masquerade (chain=srcnat action=masquerade to-addresses=0.0.0.0 src-address=192.168.0.0/24 out-interface=WAN_IF_IP) 7. Все должно сразу заработать, по крайней мере в проводной части. 8. Настроить WLAN Security, настроить WLAN access point. 9. WLAN должен заработать.

jerrydp
()
Ответ на: комментарий от jerrydp

некропостить нехорошо, но я только что добрался до этой треклятой железяки. настроил точно как сказали. интернеты с нее самой ходят. не работает интернет ни из одной из подсетей. расскажите поподробнее насчет объединения в бридж etherX и wlan1. я захожу в интерфейсы с 3-5 и ставлю им мастер ether2. далее в меню bridge->ports я добавляю требуемые etherХ и wlan1 к бриджу. все правильно ?

laborant
() автор топика
Ответ на: комментарий от laborant

Нет, не надо ставить master ни на каких интерфейсах. Просто создать бридж и добавить в него все интерефейсы которые будут LAN.

Примерно так:

[jerry@JHN-Router] > interface bridge print
Flags: X - disabled, R - running 
 0  R name="bridge1" mtu=1500 l2mtu=1598 arp=proxy-arp 
      mac-address=D4:CA:6D:26:E4:99 protocol-mode=none priority=0x8000 
      auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 

И

jerry@JHN-Router] > interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic 
 #    INTERFACE               BRIDGE               PRIORITY  
 0    ether2                  bridge1                  0x80  
 1 I  ether3                  bridge1                  0x80  
 2 I  ether4                  bridge1                  0x80  
 3 I  ether5                  bridge1                  0x80  
 4 I  wlan1                   bridge1                  0x80  

Дальше уже этому бриджу назначить IP адрес который в будущем и будет шлюзом по умолчанию для всех клиентов внутренней сети.

[jerry@JHN-Router] > ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFA
 0   172.30.0.25/24     172.30.0.0      bridge1

После этого сделать NAT

[jerry@JHN-Router] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat action=masquerade to-addresses=0.0.0.0 src-address=172.30.0.0/24 out-interface=ether1 

И завершающий аккорд - DHCP сервер на интерфейсе bridge1

[jerry@JHN-Router] > ip dhcp-server print 
Flags: X - disabled, I - invalid 
 #   NAME    INTERFACE  RELAY   ADDRESS-POOL    LEASE-TIME ADD-ARP
 0   server1 bridge1            pool1           1h         yes 

[jerry@JHN-Router] > ip dhcp-server network print
 # ADDRESS            GATEWAY         DNS-SERVER      WINS-SERVER     DOMAIN
 0 172.30.0.0/24      172.30.0.25     172.30.0.25   

[jerry@JHN-Router] > ip pool print
 # NAME                  RANGES                         
 0 pool1                 172.30.0.30-172.30.0.100                            

И включить в IP->DNS галочку Allow Remote Request(кеширование DNS запросов микротиком)

После всего этого должно работать.

jerrydp
()
Ответ на: комментарий от jerrydp

Спасибо огромное!! дело было в настройке ната, строчка:

 to-addresses=0.0.0.0 
прописал ее и все заработало. до этого настраивал NAT через винбокс. там вообще нет опции to-adresses (или я ее не нашел) и я писал 0.0.0.0 в Dst.Address. поэтому ничего и не работало.

laborant
() автор топика
Ответ на: комментарий от laborant

Ага нету, она ставится автоматически, если в поле dst.address ничего не написать, а оставить его не активным.

jerrydp
()
12 декабря 2014 г.
Ответ на: комментарий от anonymous

Подобная фигня у меня происходит. Правда не в файрволле дело, соседи все каналы забили, пробовал каждый-не помогает. Пинг по вафле космический. Хотя если какой-нибудь дир300 взаместо микротика поставить -все работает на ура. П.с -ночью когда все спят, микротик шпарит по вафле под 150мбит

CeMKa
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.