EdgeRouter X перестали открываться сайты | Ubiquiti форум UBNT: инструкции, настройка

EdgeRouter X перестали открываться сайты

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
Доброго времени суток.

Имеется в наличие EdgeRouter X, который работает в связке с UniFi AC Lite. Подключен к ISP Билайн Московского региона.
Настраивался года два назад по руководству. Всё работало стабильно.
И внезапно, пару дней назад, произошло странное событие: перестали открываться сайты в браузере, не грузится потоковые данные по другим протоколам.
При этом mtr показывает, что проблем нет - пакеты ходят до места назначения, потери почти отсутствуют.

И того, что пробовал:
  • Непосредственное подключения кабеля к ноутбуку - работает. После обратного подключения те же проблемы.
  • Подключение кабеля в старый Dir-300 - работает. Обратно подключаешь - проблемы те же.
  • Накатил самую свежую прошивку v2.0.8-hotfix. Проблемы те же.
  • Поменял MTU на 1400 с 1500. Внезапно заработало. Но спустя часов 10 проблема вернулась.
  • Сбросил настройки на базовые с помощью мастера (Wan + 1Lan). Заработало. Вернул конфигурационный файл обратно - вновь работает.
Интересная особенность: при подключении VPN на ноутбуке, сайты открываются нормально. После отключения - проблема возвращается.

Может быть кто-нибудь может подсказать в какую сторону капать, чтобы понять что это было и как это решить, если вновь всплывёт.
 

dimacbz

Moderator
16 Июн 2014
1.493
242
75
Доброго времени суток.

Имеется в наличие EdgeRouter X, который работает в связке с UniFi AC Lite. Подключен к ISP Билайн Московского региона.
Настраивался года два назад по руководству. Всё работало стабильно.
И внезапно, пару дней назад, произошло странное событие: перестали открываться сайты в браузере, не грузится потоковые данные по другим протоколам.
При этом mtr показывает, что проблем нет - пакеты ходят до места назначения, потери почти отсутствуют.

И того, что пробовал:
  • Непосредственное подключения кабеля к ноутбуку - работает. После обратного подключения те же проблемы.
  • Подключение кабеля в старый Dir-300 - работает. Обратно подключаешь - проблемы те же.
  • Накатил самую свежую прошивку v2.0.8-hotfix. Проблемы те же.
  • Поменял MTU на 1400 с 1500. Внезапно заработало. Но спустя часов 10 проблема вернулась.
  • Сбросил настройки на базовые с помощью мастера (Wan + 1Lan). Заработало. Вернул конфигурационный файл обратно - вновь работает.
Интересная особенность: при подключении VPN на ноутбуке, сайты открываются нормально. После отключения - проблема возвращается.

Может быть кто-нибудь может подсказать в какую сторону капать, чтобы понять что это было и как это решить, если вновь всплывёт.
Здравствуйте. Скорее всего провайдер ваш на своей стороне поменял какие-то настройки. На WAN интерфейсе MTU поставьте 1480 и протестируйте.
 

Ubiq

Super Moderator
9 Сен 2020
313
29
30
проверьте работоспособность DNS сервера провайдера, настройки firewall ...
 
Автор
K

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
проверьте работоспособность DNS сервера провайдера, настройки firewall ...
Настройки Firewall не трогались. DNS используется для устройств сети на роутере. Тот в свою очередь смотрит на Cloudflare (1.1.1.1 и 1.0.0.1) Поменял DNS на Google (8.8.8.8 и 4.4.4.4). Вроде заработало. Буду ещё наблюдать
 

workubnt

знающий
25 Мар 2018
346
91
30
1500-8= 1492
mtu 1492 - для pppoe
(The reason for this is that a PPPoE frame takes an extra 8 bytes off the standard Ethernet MTU of 1500. )

TCP MSS clamping 1452?
(вкладка Wizard - TCP MSS clamping)

mtu 1492 - 40 = 1452
(By default the MSS is MTU minus 40 byes (TCP and IP headers) )

dns возможно!
 
Автор
K

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
1500-8= 1492
mtu 1492 - для pppoe
(The reason for this is that a PPPoE frame takes an extra 8 bytes off the standard Ethernet MTU of 1500. )

TCP MSS clamping 1452?
(вкладка Wizard - TCP MSS clamping)

mtu 1492 - 40 = 1452
(By default the MSS is MTU minus 40 byes (TCP and IP headers) )
После того, как проблема вновь возникла, прописал - не помогло.

Т.е. сайты открываются после многочисленных обновлений страницы. curl на главную страницу яндекса показывает:
netstat -rn показывает:
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 100.126.0.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.1 10.8.0.5 255.255.255.255 UGH 0 0 0 vtun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 vtun0
10.8.0.6 0.0.0.0 255.255.255.255 UH 0 0 0 vtun0
100.126.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 switch0
192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.5.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 switch0.6
192.168.7.0 0.0.0.0 255.255.255.0 U 0 0 0 switch0.7
В данный момент вновь всё заработало. Такое ощущение, что проблема какая-то плавающая.

Запущенный в момент, когда проблема была, на фоне mtr yandex.ru показывал 0 потерянных пакетов. В данный момент (когда всё внезапно заработало), наблюдается такая картина до DNS от Yandex:
7939


И до главной страницы Yandex:
7940



Не могу сказать на какой период времени пришлись потери пакетов: на период, когда не работало или когда восстановилось.

На странице системных настроек не прописан System gateway address, но эта настройка и раньше была не указана.
 
Автор
K

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
С утра проблема повторилась. При этом потоковое вещание, которое было запущено до момента возникновения проблемы, не прекращается.

И в при выполнении mtr yandex.ru любопытная картина - роутер помечен как waiting for replay:
7941
 
Автор
K

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
И при выполнении mtr 77.88.8.8 (DNS Yandex) пошли потери на роутере:
7942
 

workubnt

знающий
25 Мар 2018
346
91
30
а что по этим командам, покажите. (ssh/cli роутера)

show dns forwarding nameservers

show dns forwarding statistics
 
Автор
K

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
show dns forwarding nameservers
-----------------------------------------------
Nameservers configured for DNS forwarding
-----------------------------------------------
77.88.8.8 available via 'optionally configured'
77.88.8.1 available via 'optionally configured'

-----------------------------------------------
Nameservers NOT configured for DNS forwarding
-----------------------------------------------
85.21.192.5 available via 'dhcp eth0'
213.234.192.7 available via 'dhcp eth0'
show dns forwarding statistics
----------------
Cache statistics
----------------
Cache size: 1000
Queries forwarded: 6294
Queries answered locally: 1002
Total DNS entries inserted into cache: 14700
DNS entries removed from cache before expiry: 0

---------------------
Nameserver statistics
---------------------
Server: 77.88.8.1
Queries sent: 3705
Queries retried or failed: 8

Server: 77.88.8.8
Queries sent: 3334
Queries retried or failed: 3
 

workubnt

знающий
25 Мар 2018
346
91
30
Nameservers NOT configured for DNS forwarding (dhcp eth0 ) тут бы настроить. Забыл уже как прятал.

вот мой show dns forwarding statistics
Cache statistics
----------------
Cache size: 600
Queries forwarded: 10
Queries answered locally: 0
Total DNS entries inserted into cache: 7
DNS entries removed from cache before expiry: 0

---------------------
Nameserver statistics
---------------------
Server: 8.8.8.8
Queries sent: 4
Queries retried or failed: 0

Server: 192.168.1.**
Queries sent: 8
Queries retried or failed: 0

у вас много ошибок по днс. даже Cache size: 1000 не спасает.

system - Name Server добавьте 192.168.1.1 (ip ваш роутер) и 8.8.8.8
dhcp serever добавьте 1.1.1.1 8.8.8.8 (поиграйтесь с днс вообщем)

по руководству. Оно нормальное, но есть другой способ, мне удобно по другому.

Блок питание исключен.
er-x - запитан через POE адаптер.
ac-lite - запитан через er-x (порт POE)
POE адаптер - подан Интернет.

наглядно как выглядит это:

(
)
 
Последнее редактирование:
Автор
K

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
Настроил с самого начала через Basic Wizard и далее по руководству:
только добавил не одну гостевую сеть, а две сети с 10 и 20 VLAN.

Установил системные DNS и убрал DNS провайдерас помощью метода описанного тут:
show dns forwarding nameservers
-----------------------------------------------
Nameservers configured for DNS forwarding
-----------------------------------------------
192.168.3.1 available via 'system'
1.1.1.1 available via 'system'
1.0.0.1 available via 'system'
208.67.220.220 available via 'system'
208.67.222.222 available via 'system'
8.8.8.8 available via 'system'
Работало стабильно пару дней. И вновь, сейчас всплыла та же проблема.

show dns forwarding statistics показывает:
----------------
Cache statistics
----------------
Cache size: 600
Queries forwarded: 3110
Queries answered locally: 1457
Total DNS entries inserted into cache: 6220
DNS entries removed from cache before expiry: 0

---------------------
Nameserver statistics
---------------------
Server: 1.1.1.1
Queries sent: 731
Queries retried or failed: 0

Server: 1.0.0.1
Queries sent: 2599
Queries retried or failed: 90

Server: 208.67.220.220
Queries sent: 743
Queries retried or failed: 18

Server: 208.67.222.222
Queries sent: 652
Queries retried or failed: 7

Server: 8.8.8.8
Queries sent: 732
Queries retried or failed: 28
При этом mtr yastatic.net показывает, что работает:
8028


А вот curl https://yastatic.net говорит:
curl: (7) Failed to connect to yastatic.net port 443: No route to host
В интерфейсе роутера секция Routing выглядит так
8029


Как может получится, что mtr (ping и traceroute) работают, а остальные действия вызывают no route to host? Можно ли как то диагностировать проблему, чтобы понять на чьей стороне она - провайдера или у меня?
 
Автор
K

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
Nov 18 06:25:03 ubnt kernel: random: crng init done
Nov 18 06:25:03 ubnt kernel: random: 4 urandom warning(s) missed due to ratelimiting
Nov 18 06:25:12 ubnt ssh-recovery[558]: starting...
Nov 18 06:25:13 ubnt ssh-recovery[558]: if=(all) port=(60257) terminate-timeout=(60)
Nov 18 06:25:15 ubnt ssh-recovery[558]: enabling link on interfaces...
Nov 18 06:25:15 ubnt ssh-recovery[558]: eth0 :: mac=(78:8a:20:bf:98:25)
Nov 18 06:25:15 ubnt ssh-recovery[558]: eth1 :: mac=(78:8a:20:bf:98:26)
Nov 18 06:25:15 ubnt ssh-recovery[558]: eth2 :: mac=(78:8a:20:bf:98:27)
Nov 18 06:25:15 ubnt ssh-recovery[558]: eth3 :: mac=(78:8a:20:bf:98:28)
Nov 18 06:25:15 ubnt ssh-recovery[558]: eth4 :: mac=(78:8a:20:bf:98:29)
Nov 18 06:25:15 ubnt ssh-recovery[558]: switch0 :: mac=(78:8a:20:bf:98:2a)
Nov 18 06:25:17 ubnt NSM[718]: NSM-6: Initializing memdbg: ptr=0x5588ec24 history-size=1024 memdbg-size=143552
Nov 18 06:25:18 ubnt NSM[732]: NSM-6: No such device
Nov 18 06:25:18 ubnt NSM[732]: message repeated 6 times: [ NSM-6: No such device]
Nov 18 06:25:19 ubnt ssh-recovery[558]: service started :: pid=(738)
Nov 18 06:25:23 ubnt IMI[705]: IMI-6: imi_server_send_config called (PM 1)
Nov 18 06:25:24 ubnt RIB[825]: RIB-6: Initializing memdbg: ptr=0x55770c10 history-size=1024 memdbg-size=143552
Nov 18 06:25:24 ubnt IMI[705]: IMI-6: imi_server_send_config called (PM 42)
Nov 18 06:25:24 ubnt RIB[826]: RIB-6: RIBd (1.2.0) starts
Nov 18 06:25:24 ubnt IMI[705]: IMI-6: imi_server_send_config called (PM 42)
Nov 18 06:25:27 ubnt rl-system.init: Checking/creating SSH host keys.
Nov 18 06:25:32 ubnt liblogging-stdlog: [origin software="rsyslogd" swVersion="8.24.0" x-pid="167" x-info="http://www.rsyslog.com"] exiting on signal 15.
Nov 18 06:25:32 ubnt liblogging-stdlog: [origin software="rsyslogd" swVersion="8.24.0" x-pid="1030" x-info="http://www.rsyslog.com"] start
Nov 18 06:25:33 ubnt liblogging-stdlog: [origin software="rsyslogd" swVersion="8.24.0" x-pid="1030" x-info="http://www.rsyslog.com"] exiting on signal 15.
Nov 18 06:25:33 ubnt liblogging-stdlog: [origin software="rsyslogd" swVersion="8.24.0" x-pid="1083" x-info="http://www.rsyslog.com"] start
Nov 18 06:25:34 ubnt ntpd[1116]: ntpd 4.2.8p10@1.3728-o Sun Feb 25 21:43:38 UTC 2018 (1): Starting
Nov 18 06:25:35 ubnt ntpd[1123]: ntpd exiting on signal 15 (Terminated)
Nov 18 06:25:35 ubnt ntpd[1159]: ntpd 4.2.8p10@1.3728-o Sun Feb 25 21:43:38 UTC 2018 (1): Starting
Nov 18 06:25:35 ubnt ntpd[1165]: ntpd exiting on signal 15 (Terminated)
Nov 18 06:25:36 ubnt ntpd[1201]: ntpd 4.2.8p10@1.3728-o Sun Feb 25 21:43:38 UTC 2018 (1): Starting
Nov 18 06:25:36 ubnt ntpd[1207]: ntpd exiting on signal 15 (Terminated)
Nov 18 06:25:36 ubnt ntpd[1243]: ntpd 4.2.8p10@1.3728-o Sun Feb 25 21:43:38 UTC 2018 (1): Starting
Nov 18 06:25:37 ubnt ntpd[1249]: ntpd exiting on signal 15 (Terminated)
Nov 18 06:25:37 ubnt ntpd[1285]: ntpd 4.2.8p10@1.3728-o Sun Feb 25 21:43:38 UTC 2018 (1): Starting
Nov 18 06:25:38 ubnt ntpd[1291]: ntpd exiting on signal 15 (Terminated)
Nov 18 06:25:38 ubnt systemd[1]: ntp.service: Start request repeated too quickly.
Nov 18 06:25:38 ubnt systemd[1]: Failed to start Network Time Service.
Nov 18 06:25:38 ubnt systemd[1]: ntp.service: Unit entered failed state.
Nov 18 06:25:38 ubnt systemd[1]: ntp.service: Failed with result 'start-limit-hit'.
Nov 18 06:26:05 ubnt NSM[732]: NSM-6: No such device
Nov 18 06:26:06 ubnt NSM[732]: NSM-6: No such device
Nov 18 06:26:07 ubnt NSM[732]: NSM-6: No such device
Nov 18 06:26:14 ubnt ntpd[3345]: ntpd 4.2.8p10@1.3728-o Sun Feb 25 21:43:38 UTC 2018 (1): Starting
Nov 18 06:26:19 ubnt ssh-recovery[774]: terminating the SSH recovery service :: pid=(738)
Nov 18 06:26:21 ubnt dhcpd3: WARNING: Host declarations are global. They are not limited to the scope you declared them in.
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3: No subnet declaration for switch0 (no IPv4 addresses).
Nov 18 10:22:00 ubnt dhcpd3: ** Ignoring requests on switch0. If this is not what
Nov 18 10:22:00 ubnt dhcpd3: you want, please write a subnet declaration
Nov 18 10:22:00 ubnt dhcpd3: in your dhcpd.conf file for the network segment
Nov 18 10:22:00 ubnt dhcpd3: to which interface switch0 is attached. **
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3: No subnet declaration for eth4 (no IPv4 addresses).
Nov 18 10:22:00 ubnt dhcpd3: ** Ignoring requests on eth4. If this is not what
Nov 18 10:22:00 ubnt dhcpd3: you want, please write a subnet declaration
Nov 18 10:22:00 ubnt dhcpd3: in your dhcpd.conf file for the network segment
Nov 18 10:22:00 ubnt dhcpd3: to which interface eth4 is attached. **
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3: No subnet declaration for eth3 (no IPv4 addresses).
Nov 18 10:22:00 ubnt dhcpd3: ** Ignoring requests on eth3. If this is not what
Nov 18 10:22:00 ubnt dhcpd3: you want, please write a subnet declaration
Nov 18 10:22:00 ubnt dhcpd3: in your dhcpd.conf file for the network segment
Nov 18 10:22:00 ubnt dhcpd3: to which interface eth3 is attached. **
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3: No subnet declaration for eth2 (no IPv4 addresses).
Nov 18 10:22:00 ubnt dhcpd3: ** Ignoring requests on eth2. If this is not what
Nov 18 10:22:00 ubnt dhcpd3: you want, please write a subnet declaration
Nov 18 10:22:00 ubnt dhcpd3: in your dhcpd.conf file for the network segment
Nov 18 10:22:00 ubnt dhcpd3: to which interface eth2 is attached. **
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3: No subnet declaration for eth1 (no IPv4 addresses).
Nov 18 10:22:00 ubnt dhcpd3: ** Ignoring requests on eth1. If this is not what
Nov 18 10:22:00 ubnt dhcpd3: you want, please write a subnet declaration
Nov 18 10:22:00 ubnt dhcpd3: in your dhcpd.conf file for the network segment
Nov 18 10:22:00 ubnt dhcpd3: to which interface eth1 is attached. **
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3: No subnet declaration for eth0 (100.126.95.237).
Nov 18 10:22:00 ubnt dhcpd3: ** Ignoring requests on eth0. If this is not what
Nov 18 10:22:00 ubnt dhcpd3: you want, please write a subnet declaration
Nov 18 10:22:00 ubnt dhcpd3: in your dhcpd.conf file for the network segment
Nov 18 10:22:00 ubnt dhcpd3: to which interface eth0 is attached. **
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:00 ubnt dhcpd3: No subnet declaration for itf0 (no IPv4 addresses).
Nov 18 10:22:00 ubnt dhcpd3: ** Ignoring requests on itf0. If this is not what
Nov 18 10:22:00 ubnt dhcpd3: you want, please write a subnet declaration
Nov 18 10:22:00 ubnt dhcpd3: in your dhcpd.conf file for the network segment
Nov 18 10:22:00 ubnt dhcpd3: to which interface itf0 is attached. **
Nov 18 10:22:00 ubnt dhcpd3:
Nov 18 10:22:09 ubnt netplugd: Starting network plug daemon: netplugd.
 

workubnt

знающий
25 Мар 2018
346
91
30
ubnt dhcpd3: in your dhcpd.conf file for the network segment
Строки с ubnt dhcpd3
Switch0, eth3 4 2 1 0, itf0
Проблема с dhcp как я понимаю.

вкладка с Services глянуть. всем назначен dhcp?
и на Dashboard(центральная страница) switch0 - action- config - vlan
тут тоже может не правильно.

пример:
switch0 - eth4 убрана галочка.

eth4 назначен dhcp свой ip.
допустим:
switch0 - имеет 192.168.1.1/24
eth4 - 10.10.10.1/24

по этим портам(eth4, switch0) поднят dhcp (вкладка с Services)
c вланами точно не скажу так же или нет.
хотя по гайдам должен поднят

Services > DHCP Server > Add DHCP Server

DHCP Name:
vlan10
Subnet: 10.0.10.0/24
Range Start: 10.0.10.11
Range Stop: 10.0.10.150
Router: 10.0.10.1
DNS 1: 10.0.10.1

DHCP Name: vlan20
Subnet: 10.0.20.0/24
Range Start: 10.0.20.11
Range Stop: 10.0.20.150
Router: 10.0.20.1
DNS 1: 10.0.20.1
 
Последнее редактирование:
Автор
K

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
Services > DHCP Server > Add DHCP Server

DHCP Name:
vlan10
Subnet: 10.0.10.0/24
Range Start: 10.0.10.11
Range Stop: 10.0.10.150
Router: 10.0.10.1
DNS 1: 10.0.10.1

DHCP Name: vlan20
Subnet: 10.0.20.0/24
Range Start: 10.0.20.11
Range Stop: 10.0.20.150
Router: 10.0.20.1
DNS 1: 10.0.20.1
dhcp-server {
disabled false
hostfile-update disable
shared-network-name GUEST {
authoritative disable
subnet 10.0.0.0/24 {
default-router 10.0.0.1
dns-server 10.0.0.1
lease 86400
start 10.0.0.10 {
stop 10.0.0.150
}
}
}
shared-network-name IOT {
authoritative disable
subnet 10.0.2.0/24 {
default-router 10.0.2.1
dns-server 10.0.2.1
lease 86400
start 10.0.2.10 {
stop 10.0.2.150
}
}
}
shared-network-name LAN {
authoritative disable
subnet 192.168.3.0/24 {
default-router 192.168.3.1
dns-server 192.168.3.1
lease 86400
start 192.168.3.38 {
stop 192.168.3.250
}
}
}
static-arp disable
use-dnsmasq disable
}

dns {
forwarding {
cache-size 600
listen-on switch0.10
listen-on switch0.20
listen-on switch0.1
}
}

firewall {
all-ping enable
broadcast-ping disable
group {
network-group LAN {
description "Lan subnet"
network 192.168.0.0/16
network 172.16.0.0/12
network 10.0.0.0/8
}
}
ipv6-name WANv6_IN {
default-action drop
description "WAN inbound traffic forwarded to LAN"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name GUEST_TO_LAN {
default-action accept
description ""
rule 1 {
action accept
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description Lan_Ranges
destination {
group {
network-group LAN
}
}
log disable
protocol all
}
}
name GUEST_TO_LOCAL {
default-action drop
description "Guest to local"
rule 1 {
action accept
description DNS
destination {
port 53
}
log disable
protocol tcp_udp
}
rule 2 {
action accept
description DHCP
destination {
port 67
}
log disable
protocol udp
}
rule 3 {
action accept
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
}
name IOT_TO_LAN {
default-action accept
description "IoT to lan"
rule 1 {
action accept
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description Lan_Ranges
destination {
group {
network-group LAN
}
}
log disable
protocol all
}
}
name IOT_TO_LOCAL {
default-action drop
description "IoT to local"
rule 1 {
action accept
description DNS
destination {
port 53
}
log disable
protocol tcp_udp
}
rule 2 {
action accept
description DHCP
destination {
port 67
}
log disable
protocol udp
}
rule 3 {
action accept
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}

interfaces {
ethernet eth0 {
address dhcp
description Internet
duplex auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
speed auto
}
ethernet eth1 {
description Local
duplex auto
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
description Local
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
description Local
mtu 1500
switch-port {
interface eth1 {
vlan {
pvid 1
}
}
interface eth2 {
vlan {
pvid 1
}
}
interface eth3 {
vlan {
pvid 1
}
}
interface eth4 {
vlan {
pvid 1
vid 10
vid 20
}
}
vlan-aware enable
}
vif 1 {
address 192.168.3.1/24
description SwitchLan
}
vif 10 {
address 10.0.0.1/24
description SwitchGuest
firewall {
in {
name GUEST_TO_LAN
}
local {
name GUEST_TO_LOCAL
}
}
}
vif 20 {
address 10.0.2.1/24
description SwitchIoT
firewall {
in {
name IOT_TO_LAN
}
local {
name IOT_TO_LOCAL
}
}
}
}
}
 
Автор
K

kirill.zak

новичок
1 Ноя 2020
16
0
3
38
Проблема опять повторилась. В логах записи только за прошлый день - новых нет.

----------------
Cache statistics
----------------
Cache size: 600
Queries forwarded: 25479
Queries answered locally: 6282
Total DNS entries inserted into cache: 49853
DNS entries removed from cache before expiry: 66

---------------------
Nameserver statistics
---------------------
Server: 1.1.1.1
Queries sent: 4838
Queries retried or failed: 1

Server: 1.0.0.1
Queries sent: 20284
Queries retried or failed: 625

Server: 208.67.220.220
Queries sent: 5392
Queries retried or failed: 209

Server: 208.67.222.222
Queries sent: 4777
Queries retried or failed: 154

Server: 8.8.8.8
Queries sent: 6259
Queries retried or failed: 38

Мне кажется, что это как раз из-за no route to host.

И вновь интересное:
curl ya.ru
curl: (7) Failed to connect to ya.ru port 80: No route to host
и сразу за этим
traceroute ya.ru
traceroute to ya.ru (87.250.250.242), 30 hops max, 38 byte packets
1 100.126.0.1 (100.126.0.1) 0.843 ms 0.956 ms 0.926 ms
2 * * *
3 m9-crs-2-be8.corbina.net (195.14.62.86) 2.054 ms 2.184 ms 2.215 ms
4 m9-br-be3.corbina.net (195.14.62.85) 2.364 ms 2.167 ms 2.130 ms
5 corbina-gw.dante.yandex.net (83.102.145.1
и
ping ya.ru
PING ya.ru (87.250.250.242) 56(84) bytes of data.
64 bytes from ya.ru (87.250.250.242): icmp_seq=1 ttl=53 time=9.45 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=2 ttl=53 time=9.30 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=3 ttl=53 time=9.30 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=4 ttl=53 time=9.34 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=5 ttl=53 time=9.32 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=6 ttl=53 time=9.37 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=7 ttl=53 time=9.36 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=8 ttl=53 time=9.33 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=9 ttl=53 time=9.48 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=10 ttl=53 time=9.39 ms
^C
--- ya.ru ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9033ms
rtt min/avg/max/mdev = 9.306/9.369/9.487/0.120 ms