Blocchi improvvisi RouterBoard hAP lite

[simone.fil]

Salve a tutti.
E' da poco che sto prendendo confidenza con il mondo Mikrotik e RouterOS. Per iniziare ho deciso di acquistare una RouterBoard hAP lite che utilizzo come router principale sulla mia linea. Dopo averla configurata ha funzionato correttamente per un mesetto ma da poco meno di una settimana sta iniziando a darmi qualche problema.
Durante il giorno, di punto in bianco smette di funzionare; non ho più connettività internet, e nemmeno WinBox la rileva (nè da IP nè da MAC). Aspetto una decina di minuti ed il tutto riprende a funzionare come se nulla fosse (senza riavviare assolutamente nulla).
Pensando che poteva essere qualche mio smanettamento ho resettato la board alle configurazioni di fabbrica e l'ho riconfigurata manualmente ma il problema si ripresenta in modo totalmente randomico.
Noto però che durante questo problema l'IP sui client mi viene assegnato correttamente, pertanto deduco che il server DHCP funzioni. Se da WinBox forzo l'accesso inserendo manualmente l'IP della board resta bloccato sulla scritta "login" e non apre nulla. Un'altro dettaglio che ho notato è che mi perde l'IP pubblico (ho IP dinamico e una volta sbloccata la board l'IP è diverso)
Cosa potrebbe essere? Board difettata? Non c'è un log, un registro dove io possa andare a vedere uno storico degli errori o anomalie?

Scusate le domande che a molti potranno risultare banali.
Grazie mille a tutti

Buona giornata
Simone

[xanio]

Ciao, l'ip pubblico lo ottieni tramite pppoe-client? Se si controlla se vi sono delle disconnessioni del servizio. Inoltre se non riesci ad accedere neanche un locale allora vi è qualche problema di configurazione.

1. controlla i log, magari trovi qualche informazione in più.
2. verifica il firewall, magari hai qualche restrizione o regola fatta male che blocca il tutto, o peggio non hai niente e il tuo ip pubblico viene preso di mira per i servizi che hai esposto sulla RB.
3. ho detto di verificare i log?
4. fai un export della tua configurazione (depurata ad nominativi e password) e la posti, che gli diamo un occhio.
5. Ovviamente posta la release che attualmente hai onboard.

[simone.fil]

Ciao, l'ip pubblico lo ottieni tramite pppoe-client? Se si controlla se vi sono delle disconnessioni del servizio. Inoltre se non riesci ad accedere neanche un locale allora vi è qualche problema di configurazione.

1. controlla i log, magari trovi qualche informazione in più.
2. verifica il firewall, magari hai qualche restrizione o regola fatta male che blocca il tutto, o peggio non hai niente e il tuo ip pubblico viene preso di mira per i servizi che hai esposto sulla RB.
3. ho detto di verificare i log?
4. fai un export della tua configurazione (depurata ad nominativi e password) e la posti, che gli diamo un occhio.
5. Ovviamente posta la release che attualmente hai onboard.

Ciao Xanio.
Grazie mille per la tua risposta super precisa.
L'IP l'ottengo tramite pppoe-client sì, e difatti vedo che l'ultimo link è datato proprio l'ultima volta che ho avuto quel problema, pertanto sì ci sono delle disconnessioni, ma tenderei ad escludere che si tratti del mio ISP, sarei propenso per la mia RB.

1) I log come posso verificarli? (Perdona la domanda ignorantissima)
Premendo il tasto New Terminal ho visto che c'erano parecchi (davvero tanti) tentativi di accesso mediante TelNet, ssh e qualche sporadico accesso mediante ftp. Non utilizzando questi servizi (utilizzo solo la web interface e WinBox) li ho disattivati ed ora la cosa sembra essersi risolta.
4) Ok, dammi il tempo di rimuovere i miei dati e caricarla su un cloud e poi la posto.
5) attualmente utilizzo la 6.39

Grazie mille ancora.
Ciao
Simone

[xanio]

Hola, ti rispondo velocemente:
1. per i log, tramite winbox vi è proprio la gestione diretta con la voce "log", per avere migliore gestione / filtraggio, puoi usare l'opzione "SYSTEM->LOGGING", dove puoi anche impostare la raggiungibilità di un server di log remoto.
2. Non è necessaria caricarla sul cloud, basta che fai un export e incolli il testo quo (con gli appositi tag) così è facilmente leggibile.

[simone.fil]

Hola, ti rispondo velocemente:
1. per i log, tramite winbox vi è proprio la gestione diretta con la voce "log", per avere migliore gestione / filtraggio, puoi usare l'opzione "SYSTEM->LOGGING", dove puoi anche impostare la raggiungibilità di un server di log remoto.
2. Non è necessaria caricarla sul cloud, basta che fai un export e incolli il testo quo (con gli appositi tag) così è facilmente leggibile.

Ciao Xanio.
Scusami se non ti ho più fatto sapere nulla, ma sono presissimo con il lavoro in questo periodo.
Il log l'ho poi trovato, è sempre stato sotto i miei occhi e, non so come non lo vedevo.
Per quanto riguarda quelle problematiche, probabilmente erano degli attacchi SSH e Telnet, in quanto dopo aver disabilitato quei servizi non ho avuto più nessun blocco, nessun riavvio ed il log non mi ha più presentato errori o warning di alcun tipo (a parte qualche tentativo di accesso da web, ma credo che sia più o meno normale).
2. Non mi è ben chiaro questo processo dell'export. Io solitamente il backup della configurazione lo faccio entrando nella sezione "files", "backup" e poi scarico il file di backup. C'è un altro modo per esportare la configurazione in modalità testuale?
Grazie mille

Ciao
Simone

[xanio]

WIKI

Buona lettura

[simone.fil]

WIKI

Buona lettura

Grazie mille Xanio; sempre gentilissimo! Più facile di quanto pensassi.
Non ritengo più necessario postare la configurazione in quanto attualmente il problema sembra risolto e non vorrei far perdere tempo prezioso a voi sul forum.
Ancora grazie mille, alla prossima!

[simone.fil]

Salve a tutti.
Scusate se riapro questo tread che pensavo potesse essere chiuso ma, dopo 20 giorni circa di funzionamento apparentemente normale, da questa mattina sto avendo grosse problematiche di connettività.
Il problema è iniziato con dei randomici blocchi della connettività, per poi riprendere subito dopo (la RouterBoard risultava sempre accessibile tramite WinBox anche durante i blocchi) la connessione pppOe era sempre Up ma non avevo connettività. Ho contattato il mio ISP il quale mi ha confermato che non ci sono problemi di sorta, ma dopo svariati riavvii ed un sacco di tempo perso ho deciso di collegare la WAN direttamente ad un PC configurandone i parametri pppOe ed infatti in questo modo la linea funziona correttamente, pertanto è un problema del router. Ho preso un altra Routerboard hAP lite nuova che avevo e gli ho ricaricato la configurazione. Nulla da fare; nemmeno con il nuovo router non c'era verso. Dopo più di mezz'ora, dopo svariati riavvii e ricaricamenti della configurazione (non ho cambiato nessun parametro) è ripartito da solo ed ora sembra (dico sembra) funzionare.
A questo punto sono quasi sicuro che ci sia qualcosa di gravemente sbagliato nella mia configurazione.
Riporto qui sotto la mia configurazione; qualche buon'anima riuscirebbe a darci un'occhiata?
Grazie infinite a tutti!!

Codice: Seleziona tutto

# may/22/2017 11:21:30 by RouterOS 6.33.5
# software id = 0KW3-0NVY
#
/interface bridge
add admin-mac=6C:3B:6B:**:**:** auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge name=wlan2
/interface ethernet
set [ find default-name=ether1 ] mac-address=6C:3B:6B:**:**:**
set [ find default-name=ether2 ] mac-address=6C:3B:6B:**:**:** name=ether2-master
set [ find default-name=ether3 ] mac-address=6C:3B:6B:**:**:** master-port=ether2-master
set [ find default-name=ether4 ] mac-address=6C:3B:6B:**:**:** master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=****** service-name=Eolo \
    use-peer-dns=yes user=W300143*****
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk group-ciphers=tkip,aes-ccm mode=dynamic-keys \
    unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=****** wpa2-pre-shared-key=******
/ip pool
add name=dhcp ranges=192.168.3.100-192.168.3.199
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf
add bridge=bridge interface=wlan2
/ip address
add address=192.168.3.75/24 comment=defconf interface=ether2-master network=192.168.3.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.3.0/24 comment=defconf gateway=192.168.3.75 netmask=24
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.3.75 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input disabled=yes in-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat dst-port=5060 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.3.200 \
    to-ports=5060
add action=dst-nat chain=dstnat dst-port=5001 protocol=tcp to-addresses=192.168.3.200 to-ports=5001
add action=masquerade chain=srcnat dst-address=192.168.3.200 dst-port=5001 out-interface=bridge protocol=tcp \
    src-address=192.168.3.0/24
add action=dst-nat chain=dstnat dst-port=1995 protocol=tcp to-addresses=192.168.3.200 to-ports=1995
add action=masquerade chain=srcnat dst-address=192.168.3.200 dst-port=1995 out-interface=bridge protocol=tcp \
    src-address=192.168.3.0/24
add action=dst-nat chain=dstnat dst-port=1996 protocol=tcp to-addresses=192.168.3.200 to-ports=1996
add action=masquerade chain=srcnat dst-address=192.168.3.200 dst-port=1996 out-interface=bridge protocol=tcp \
    src-address=192.168.3.0/24
add action=dst-nat chain=dstnat dst-port=5090 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.3.200 \
    to-ports=5090
add action=dst-nat chain=dstnat dst-port=5090 in-interface=pppoe-out1 protocol=udp to-addresses=192.168.3.200 \
    to-ports=5090
add action=dst-nat chain=dstnat dst-port=9000-9255 in-interface=pppoe-out1 protocol=udp to-addresses=192.168.3.200 \
    to-ports=9000-9255
add action=dst-nat chain=dstnat dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=192.168.3.200 \
    to-ports=5060
/ip firewall service-port
set sip disabled=yes
/ip hotspot user
add comment="counters and limits for trial users" name=default-trial
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system routerboard settings
set cpu-frequency=650MHz protected-routerboot=disabled
/system scheduler
add comment="Update No-IP DDNS" disabled=yes interval=5m name=no-ip_ddns_update on-event=\
    "system script run no-ip-ddns-update" policy=read,write,test start-date=may/06/2017 start-time=13:00:45
/system script
add name=no-ip-ddns-update owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive source="# N\
    o-IP automatic Dynamic DNS update\
    \n\
    \n#--------------- Change Values in this section to match your setup ------------------\
    \n\
    \n# No-IP User account info\
    \n:local noipuser \"*********\"\
    \n:local noippass \"********\"\
    \n\
    \n# Set the hostname or label of network to be updated.\
    \n# Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names.\
    \n# To specify multiple hosts, separate them with commas.\
    \n:local noiphost \"*********.ddns.net\"\
    \n\
    \n# Change to the name of interface that gets the dynamic IP address\
    \n:local inetinterface \"pppoe-out1\"\
    \n\
    \n#------------------------------------------------------------------------------------\
    \n# No more changes need\
    \n\
    \n:global previousIP\
    \n\
    \n:if ([/interface get \$inetinterface value-name=running]) do={\
    \n# Get the current IP on the interface\
    \n   :local currentIP [/ip address get [find interface=\"\$inetinterface\"
    \n\
    \n# Strip the net mask off the IP address\
    \n   :for i from=( [:len \$currentIP] - 1) to=0 do={\
    \n       :if ( [:pick \$currentIP \$i] = \"/\") do={ \
    \n           :set currentIP [:pick \$currentIP 0 \$i]\
    \n       } \
    \n   }\
    \n\
    \n   :if (\$currentIP != \$previousIP) do={\
    \n       :log info \"No-IP: Current IP \$currentIP is not equal to previou
    \n       :set previousIP \$currentIP\
    \n\
    \n# The update URL. Note the \"\\3F\" is hex for question mark (\?). Requi
    \_commands.\
    \n       :local url \"http://dynupdate.no-ip.com/nic/update\\3Fmyip=\$curr
    \n       :local noiphostarray\
    \n       :set noiphostarray [:toarray \$noiphost]\
    \n       :foreach host in=\$noiphostarray do={\
    \n           :log info \"No-IP: Sending update for \$host\"\
    \n           /tool fetch url=(\$url . \"&hostname=\$host\") user=\$noipuse
    th=(\"no-ip_ddns_update-\" . \$host . \".txt\")\
    \n           :log info \"No-IP: Host \$host updated on No-IP with IP \$cur
    \n       }\
    \n   }  else={\
    \n       :log info \"No-IP: Previous IP \$previousIP is equal to current I
    \n   }\
    \n} else={\
    \n   :log info \"No-IP: \$inetinterface is not currently running, so there
    \n}"
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge
[admin@MikroTik] >