thảo luận Cộng đồng người dùng MikroTik Router

traingheoalone said:
@

CGGX_ANNX


này file config cũ, bác xem giùm mình xem có cần thêm config mục nào k, mình mới chuyển wa nên xem rối mù, cái bác giúp mình thì hiện tại k liên lạc được nữa nên k biết nhờ ai
Click to expand...

Cảm ơn bác ạ, bác có thể edit post này và gỡ cái file export ra nếu bác muốn ạ.

* Ở phần Bridge trong WinBox, bác ấn nút settings và tắt mấy cái Use IP Firewall đi ạ

1712822214930.png


* Ở phần IP - DNS, bác đang bật DNS over HTTPS và có bật Verify DoH Certificate, như vậy bác phải đảm bảo trong bảng Certificates (System -> Certificates), có Root CA mà nextDNS sử dụng. Nếu không biết nó là cái nào bác có thể import đống Root CA của mozilla bằng cách vào đây

CA/Included Certificates - MozillaWiki

wiki.mozilla.org wiki.mozilla.org

Tải chỗ PEM of Root Certificates in Mozilla's Root Store with the Websites (TLS/SSL) Trust Bit Enabled rồi lưu xuống, vào WinBox mở cửa sổ Files, kéo file này vào, rồi và System -> Certificates để import đống Root CA này. Tuy nhiên hiện thời chỉ có mỗi Router của bác là đang sử dụng cái DoH này. Các client của bác đang sử dụng 45.90.28.17,45.90.30.17 do DHCP chỉ định nên không bị ảnh hưởng bởi vấn đề Verify DoH Certificate nếu có.

* Ở trong bảng filter tường lửa IPv4, hiện bác không block gì cả và chỉ có 1 rule fasttrack, sau này bác nên cấu hình tường lửa cho an toàn hơn. Tuy nhiên nêu có rule fasttrack này bác vẫn nên add thêm 1 rule bên dưới nó

Code: 
/ip firewall filter
add action=accept chain=forward connection-state=established,related,untracked

Sẽ cần sau này lúc bác cấu hình tường lửa bảo mật hơn.

Hiện bác đang có 2 static routes trong bảng IP -> Routes, là 2 routes mà không có chữ "D" Dynamic ở trong bảng. Bác tạm thời xóa hoặc disable 2 routes này đi vì ở phần cấu hình pppoe-out1 bác đã bật add-default-route=yes rồi. Kết nối pppoe-out1 sẽ tự thêm route dynamic (có chữ "D") vào bảng.

* Ở trên interface ether2 (tức là ether4 gốc) bác không cần đặt MTU=1492, bác để 1500 mặc định là được. Bác kiểm tra xem kết nối pppoe-out1 có phải đang dùng profile "default" không. Nếu đúng bác vào bảng PPP -> Profiles, chọn cái "default" này và bật "Change TCP MSS"

1712823521049.png


Còn nếu không phải profile "default" thì bác tìm profile tương ứng trong bảng này và bật "Change TCP MSS" cho profile đó.

* Ngoài ra có khả năng Viettel của bác hỗ trợ RFC 4638 rồi, khi đó bác dùng được MTU 1500 trên kết nối PPPoE, bác chỉnh Max MTU VÀ Max MRU đều là 1500 xem có được không (Actual MTU hiện ra 1500). Nếu không được bác đặt 1492. Nếu không được mới quay về giá trị 1480 bác đang để.
 
traingheoalone said:
View attachment 2435393
Đã quay pppoe thành công nhân vẫn k vào đc mạng bác :(
Click to expand...

Ether2 bác để MTU 1500 như post trước em viết ạ, và bật Change TCP MSS trên Profile PPP mà kết nối pppoe-out1 sử dụng.

Bác kiểm tra xem bảng IP -> Routes chỉ nên có các route loại dynamic (chữ "D") và disable những cái không có chữ "D".

Bác kiểm tra trên máy clients xem chúng đang dùng gì làm DNS server (ipconfig /all) nếu là 192.168.2.1 thì bác kiểm tra certificates trên router như em viết hoặc tạm tắt cái Verify DoH Certificates.

Bác kiểm tra rule srcnat action=masquerade có trong bảng IP -> Firewall NAT với out-interface là pppoe-out1.
 
@CGGX_ANNX
# 2024-04-11 01:45:28 by RouterOS 7.14.1
# software id = 4MZF-SFTR
#
/interface bridge
add name=BridgeLAN
/interface ethernet
set [ find default-name=ether3 ] disable-running-check=no name=ether1
set [ find default-name=ether1 ] disable-running-check=no name=ether2
set [ find default-name=ether2 ] disable-running-check=no name=ether3
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=\

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=BridgeLAN name=dhcp1
/port
set 0 name=serial0
set 1 name=serial1
/routing table
add disabled=no fib name=R1
/interface bridge port
add bridge=BridgeLAN interface=ether2
add bridge=BridgeLAN interface=ether3
/ip address
add address=192.168.2.1/24 interface=BridgeLAN network=192.168.2.0
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=forward connection-state=\
established,related,untracked
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-out1 \
routing-table=R1 scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-out1 \
routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system hardware
set allow-x86-64=yes
/system note
set show-at-login=no
Click to expand...
mình reset config cấu hình lại rồi vẫn không được
 
CGGX_ANNX said:
Ether2 bác để MTU 1500 như post trước em viết ạ, và bật Change TCP MSS trên Profile PPP mà kết nối pppoe-out1 sử dụng.

Bác kiểm tra xem bảng IP -> Routes chỉ nên có các route loại dynamic (chữ "D") và disable những cái không có chữ "D".

Bác kiểm tra trên máy clients xem chúng đang dùng gì làm DNS server (ipconfig /all) nếu là 192.168.2.1 thì bác kiểm tra certificates trên router như em viết hoặc tạm tắt cái Verify DoH Certificates.

Bác kiểm tra rule srcnat action=masquerade có trong bảng IP -> Firewall NAT với out-interface là pppoe-out1.
Click to expand...
Mình làm theo bác rồi giờ lap cắm dây có mạng mà thiết bị khác trong nhà không có mạng, mình đang reset lại toàn bộ hệ thống
 
longtthanh said:
bạn dùng chức năng "new terminal" từ trong winbox chứ không phải từ máy tính của bạn để kiểm tra xem router đã có route ra Internet chưa. Bạn nên để ý lời khuyên của bác @CGGX_ANNX về mấy cái routes tĩnh đang có và xem xét disable chúng đi để kiểm chứng.
Click to expand...
Đã làm đủ theo cách bác cggx rồi đang bị cái lap có mạng mà mấy thiết bị khác k có 😂
 
traingheoalone said:
Mình làm theo bác rồi giờ lap cắm dây có mạng mà thiết bị khác trong nhà không có mạng, mình đang reset lại toàn bộ hệ thống
Click to expand...

Vâng bác, laptop cắm dây có vào được mạng thì chắc route ok rồi ạ. Với chắc bản thân router cũng vào được mạng rồi. Bác chạy lệnh

Code: 
/ping 8.8.8.8 count=3

Như bác @longtthanh nói cho chắc ăn ạ. Và cả

Code: 
/ping cnn.com count=3

đảm bảo router dùng được DNS resolver.

Laptop bác đang hiện gì là DNS Server ạ? Theo cấu hình mới bác đã chuyển sang Google. Con laptop đang vào được mạng thì bác vào SpeedGuide - Broadband, Wireless, Network Security (https://www.speedguide.net/analyzer.php) kiểm tra xem MTU hiện có đang thực sự là 1492 như của cái pppoe-out1 không ạ?

Ở các thiết bị không cắm dây, đang dùng WiFi mà không vào được mạng bác có

  • ping được 192.168.2.1 không ạ?
  • ping được 8.8.8.8 không ạ?
  • ping được cnn.com không ạ?

Nếu ping được thì trên các thiết bị đó nếu chạy Windows

Code: 
ping -f -l 1464 cnn.com

Có báo lỗi không ạ?
 
Ping được 192.168 với 8.8 bác, b kia ultraview cho mình thì nó k phân giải được tên miền, rút điện 670y 5 phút sau cắm lại vẫn bị, mà cho mình hỏi tý, mình còn lưu file backup thiết bị cũ, hôm qua có restore sang thiết bị mới thì nó treo router pc luôn phải kết nối màn reset config bằng command line, do config cái cũ nó đang chạy ổn định nên mình tính restore mà không được
 
longtthanh said:
"nó" ở đây là router hay máy tính của bạn khi phân giải tên miền ?

kết quả bạn ping từ trong router ra sao ?

việc backup cấu hình từ thiết bị này sang thiết bị khác chưa chắc là hoạt động vì phiên bản của routeros, số cổng trên phần cứng, ... nên phải hiểu nguyên tắc hoạt động mà xác định nguyên nhân gốc mới được.
Click to expand...
Ping trên laptop b, mình tính restore cho nhanh ấy mà, cái cũ 4eth cái mới thì 3eth, cái cũ vẫn sài os7 b
 
traingheoalone said:
Ping được 192.168 với 8.8 bác, b kia ultraview cho mình thì nó k phân giải được tên miền, rút điện 670y 5 phút sau cắm lại vẫn bị, mà cho mình hỏi tý, mình còn lưu file backup thiết bị cũ, hôm qua có restore sang thiết bị mới thì nó treo router pc luôn phải kết nối màn reset config bằng command line, do config cái cũ nó đang chạy ổn định nên mình tính restore mà không được
Click to expand...

Như bác @longtthanh nói, việc restore backup chỉ nên làm trên đúng model cùng với thiết bị đã tạo ra backup ạ. Các chú nhân viên MikroTik đã phải nhắc điều này khá nhiều lần trên diễn đàn của họ. Thí dụ

restore back to identical devices never works :( - MikroTik

forum.mikrotik.com forum.mikrotik.com

Thậm chí còn khuyên chỉ restore lên đúng thiết bị cũ, vì lý do là lúc restore ngay cả cùng model, nó đè cả các địa chỉ MAC của các cổng lên thiết bị mới, tức là bác sẽ có các thiết bị trùng MAC address. Các chú khuyến cáo là nếu lỡ restore sang nhầm model thì nên netinstall lại từ đầu chứ reset configuration không ăn thua, vì có thể có nhiều file cấu hình rác sót lại. Rồi sẽ có các vấn đề kiểu interface "ma" không xóa nổi ngay cả khi đã reset config, v.v...

Đây trên wiki cũ ạ:

Manual:Configuration Management - MikroTik Wiki

wiki.mikrotik.com wiki.mikrotik.com

1712833312801.png


Còn vấn đề của bác có vẻ là DNS. Ở config mới nhất mà bác export ở trên phần /ip dhcp-server network hiện bác chưa set dns-server. Bác thử set nó là 192.168.2.1 xem sao (hoặc là 8.8.8.8, 8.8.4.4). Nếu set là router thì ở phần IP - DNS của router bác bật "Allow Remote Requests" nữa nhé.

Sau đó ở các thiết bị client, bác ép bọn nó lấy lại thông tin từ DHCP. Hoặc là ngắt WiFI, hoặc chạy lệnh

Code: 
ipconfig /renew

nếu là Windows.
 
Last edited:
CGGX_ANNX said:
Như bác @longtthanh nói, việc restore backup chỉ nên làm trên đúng model cùng với thiết bị đã tạo ra backup ạ. Các chú nhân viên MikroTik đã phải nhắc điều này khá nhiều lần trên diễn đàn của họ. Thí dụ

restore back to identical devices never works :( - MikroTik

forum.mikrotik.com forum.mikrotik.com

Thậm chí còn khuyên chỉ restore lên đúng thiết bị cũ, vì lý do là lúc restore ngay cả cùng model, nó đè cả các địa chỉ MAC của các cổng lên thiết bị mới, tức là bác sẽ có các thiết bị trùng MAC address. Các chú khuyến cáo là nếu lỡ restore sang nhầm model thì nên netinstall lại từ đầu chứ reset configuration không ăn thua, vì có thể có nhiều file cấu hình rác sót lại. Rồi sẽ có các vấn đề kiểu interface "ma" không xóa nổi ngay cả khi đã reset config, v.v...

Đây trên wiki cũ ạ:

Manual:Configuration Management - MikroTik Wiki

wiki.mikrotik.com wiki.mikrotik.com

View attachment 2435688

Còn vấn đề của bác có vẻ là DNS. Ở config mới nhất mà bác export ở trên phần /ip dhcp-server network hiện bác chưa set dns-server. Bác thử set nó là 192.168.2.1 xem sao (hoặc là 8.8.8.8, 8.8.4.4). Nếu set là router thì ở phần IP - DNS của router bác bật "Allow Remote Requests" nữa nhé.

Sau đó ở các thiết bị client, bác ép bọn nó lấy lại thông tin từ DHCP. Hoặc là ngắt WiFI, hoặc chạy lệnh

Code: 
ipconfig /renew

nếu là Windows.
Click to expand...
Vâng cám ơn mọi người hỗ trợ, để có thời gian mình tìm hiểu thêm
 
hetien said:
Chết cổng LAN.
Click to expand...
GẮN tất cả CÁC CỔNG KHÁC VÀO MẠNG ĐƯỢC BÌNH THƯỜNG NHÉ ! chỉ có gắnVào TIVI nó ko có mạng , nhưng gắn Vào cổng LAN CỦA ROUTER WIFI phụ thì tivi có mạng ? CÓ CÁCH NÀO LÀM CHO Có mạng khi gắn từ MIKROTIK 5009 qua TIVI ko ạ ?
 
CGGX_ANNX said:
Tức là cái domain đó nếu không dùng VPN thì nó chỉ resolve ra 127.0.0.1 hả bác? Chỉ khi kết nối qua VPN, dùng DNS server của chỗ cung cấp VPN, thì mới resolve nó được ra đúng địa chỉ ạ? Nếu vậy thì phải tìm cách cho router sử dụng kết nối L2TP và DNS server qua L2TP làm mặc định khi cần phân giải tên miền này.

Bác có thể thêm vào bảng IP - Routes các entry để khi Dst. Address là các địa chỉ DNS server đó thì sẽ đi qua gateway là cái interface L2TP, với distance = 1. Rồi sau đó ở chỗ cấu hình DNS của RouterOS bác vào bảng Static, thêm DNS Static Entry là với Name domain www.xyz.com kia, mục Type bác để là FWD, và Forward To là địa chỉ IP của DNS server của bên VPN.

Khi đó mỗi khi cần resolve domain www.xyz.com thì RouterOS sẽ quay sang hỏi cái địa chỉ IP của DNS server này, và theo bảng route thì cần đi qua interface L2TP bác đã thiết lập.

Tuy nhiên cách này không hoạt động nếu bác sử dụng DNS over HTTPS (DoH) làm upstream resolver chính trong RouterOS. Nếu muốn dùng FWD và DoH thì bác phải setup một cái resolver nào đó khác bên ngoài (hoặc trong container), thí dụ unbound, AGH, Pi-hole, v.v... cho bọn chúng dùng DoH/DoT để query upstream, còn RouterOS thì sử dụng địa chỉ IP trong LAN của bọn chúng làm máy chủ DNS. Tức là để RouterOS thấy là nó vẫn dùng DNS53 truyền thống chứ không phải dùng thiết lập ở mục DoH, khi đó nó mới hỗ trợ entry có type FWD trong bảng DNS Static.
Click to expand...
Cảm ơn giải thích rất tường minh của bác. Em đã làm thành công :love:
 
Trương Tấn Vinh said:
GẮN tất cả CÁC CỔNG KHÁC VÀO MẠNG ĐƯỢC BÌNH THƯỜNG NHÉ ! chỉ có gắnVào TIVI nó ko có mạng , nhưng gắn Vào cổng LAN CỦA ROUTER WIFI phụ thì tivi có mạng ? CÓ CÁCH NÀO LÀM CHO Có mạng khi gắn từ MIKROTIK 5009 qua TIVI ko ạ ?
Click to expand...

Tivi thường chỉ có cổng tốc độ fast ethernet 100Mbps là tối đa, có khả năng con RB5009 nó thử negotiate rate mà không thành công. Bác thử vào bảng Interfaces, ấn vào cái ether8 chẳng hạn (cổng bác chọn sẽ cắm cho tivi) rồi bên tab Ethernet, gỡ hết các rate chỉ để lại 100M baseT full thôi chẳng hạn (nếu không được có thể ấn nút tam giác xuống, thêm mục 100M base T half nữa):

1712850487684.png


Hoặc tắt Auto Negotiation. Chọn Rate cố định 100M baseT full. Tuy nhiên tắt Auto Negotiation chọn rate cố định không phải lúc nào cũng chạy. Thí dụ con RB5009 của em cổng ether1 nối với 1 Switch 2.5G, nếu tắt Auto Negotiation, ép 2.5G baseT thì nó không nhận, nhưng bật Auto Negotiation, để mỗi rate thế này thì nó lại chạy 2.5G ngon lành :D

1712850725143.png
 

Similar threads

T
thắc mắc Hỏi về Unifi Dream Machine
Replies
5
Views
264
titani
T
L
thắc mắc Mua router wifi
2
Replies
31
Views
1K
abc0biet
abc0biet
O
tin tức Xiaomi ra mắt router Wi-Fi 7: 5011Mbps, cổng LAN 2.5Gbps, hỗ trợ mesh, giá chưa tới 1 triệu đồng
Replies
13
Views
1K
taylorswiftMidNight
taylorswiftMidNight
Chanh Huynh
thảo luận Không kết nối được VPN khi tạo trên Router Mesh ZenWifi 6 Ba băng tần chuẩn AX6600 ASUS XT8 (W-2-PK)
Replies
1
Views
176
truonggiahyp0
truonggiahyp0
huynq41
thắc mắc Cài đặt vpn wireguard từ ubuntu
Replies
0
Views
183
huynq41
huynq41

Share this page

Back
Top