MikroTik + Keenetic: FAQ и пошаговая диагностика
Опубликовано 21.09.2025
Эта статья собрана как «шпаргалка» для SOHO/SMB-сетей: частые проблемы, их симптомы, причины, быстрые решения и чек-листы диагностики. Подойдёт как для инженеров, так и для админов, кто поддерживает связку MikroTik ↔ Keenetic.
📑 Навигация
- EoIP «замирает» при передаче больших файлов
- Site-to-Site VPN поднят, но трафик не ходит
- NAT ломает VPN/EoIP
- MTU/MSS: как подобрать правильно
- Policy Routing (RouterOS 7)
- SMB из другой подсети не работает
- Чек-лист быстрой диагностики
- Шпаргалки команд
- Типовые MTU для туннелей
- Матрица NAT/Firewall исключений
- Частые «грабли»
- Визуализации
- Ресурсы и документация
1) EoIP «замирает» при передаче больших файлов
Симптомы: SMB/FTP зависает, скорость «пилит», RDP рвётся.
Причины: неверный MTU/MSS, fast-path с IPsec, ошибки NAT/Firewall.
⚡ Быстрое решение (MikroTik):
/interface eoip add name=eoip-tun remote-address=203.0.113.1 tunnel-id=10 mtu=1476 clamp-tcp-mss=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/interface ethernet set [find] allow-fast-path=no
Keenetic (CLI):
interface Tunnel0
ip tcp adjust-mss 1360
В веб-интерфейсе: Интернет → Другие подключения → Туннель → «Ограничить MSS».
2) Site-to-Site VPN поднят, но трафик не ходит
Симптомы: туннель «UP», но нет пинга/SMB между подсетями. Причины: маршруты, NAT, селекторы IPsec, firewall.
Пример (MikroTik, IPsec S2S):
/ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 \
sa-dst-address=203.0.113.2 tunnel=yes action=encrypt
/ip route add dst-address=192.168.2.0/24 gateway=ipsec
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24
Пример (Keenetic, OpenVPN server):
vpn-server openvpn
direct-access enable
pool 10.8.0.0/24
route 192.168.1.0/24
3) NAT ломает VPN/EoIP
Симптомы: туннель поднимается, но связи между сетями нет. Решение: исключить межподсетевой трафик из masquerade.
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24 place-before=<id-masq>
4) MTU/MSS: как подобрать правильно
Алгоритм:
- Найти Path MTU (ping df=yes).
- Установить MTU туннеля ниже на overhead.
- Включить MSS clamp.
/ping <peer-wan-ip> size=1472 df=yes
/ping <peer-lan-ip> interface=eoip-tun size=1450 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
5) Policy Routing (RouterOS 7)
Симптомы: трафик игнорирует нужные правила. Пример:
/routing table add name=to-vpn fib
/ip route add dst-address=0.0.0.0/0 gateway=10.8.0.1 routing-table=to-vpn
/routing rule add action=lookup-only-in-table table=to-vpn src-address=192.168.1.0/24
6) SMB из другой подсети не работает
Причины: NAT/Firewall, NetBIOS broadcast не роутится, DNS. Решение: разрешите TCP/445, TCP/139, UDP/137-138, отключите NAT между подсетями.
/ip firewall filter add chain=forward action=accept protocol=tcp dst-port=445 src-address=192.168.1.0/24 dst-address=192.168.2.0/24
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24
✅ Чек-лист быстрой диагностики
- Связность L3: ping WAN↔WAN, LAN↔LAN.
- MTU/MSS: ping df=yes, MSS clamp.
- Маршруты:
ip route print,traceroute. - NAT: исключения до masquerade.
- Firewall: allow-правила, counters.
- Туннель: SA/peers (IPsec), клиент (OVPN).
- CPU/нагрузка: torch, monitor-traffic.
- Сервисы: telnet host 445.
- DNS/WINS: резолв имён.
- Логи/pcap: tool sniffer.
📜 Шпаргалки команд
MikroTik:
/ping <ip> size=1472 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/ip firewall nat add chain=srcnat action=accept src-address=<LAN-A>/24 dst-address=<LAN-B>/24 place-before=<id-masq>
/routing table add name=to-vpn fib
/ip ipsec active-peers print
/tool torch <iface>
/tool sniffer quick interface=<iface> file-name=trace.pcap
Keenetic:
show interface Tunnel0
show ip route
show ip nat translations
interface Tunnel0
ip tcp adjust-mss 1360
📊 Типовые MTU для туннелей
| Тип туннеля | MTU | MSS | Overhead |
|---|---|---|---|
| EoIP | 1476 | 1436 | ~42 |
| IPsec | 1400 | 1360 | ~50–60 |
| OpenVPN | 1410 | 1370 | ~40–50 |
| L2TP | 1400 | 1360 | ~40 |
🔀 Матрица NAT/Firewall исключений
| Src Subnet | Dst Subnet | NAT Action | Firewall Ports | Примечание |
|---|---|---|---|---|
| 192.168.1.0/24 | 192.168.2.0/24 | accept | TCP 445, 139; UDP 137-138 | SMB/VPN |
| 192.168.1.0/24 | 10.8.0.0/24 | accept | TCP 443, UDP 1194 | OpenVPN |
| 192.168.2.0/24 | 1.1.1.1/32 | accept | UDP 53 | DNS через VPN |
⚠ Частые «грабли»
- MTU «1500 везде» → фрагментация.
- Masquerade «съел» межподсетевой трафик → нужны исключения.
- Policy routing без учёта DNS.
- Полагаться на NetBIOS broadcast.
- Тестировать только ping → проверяйте TCP/SMB большими файлами.
Отзывы по теме
Огромное спасибо Михаилу за работу, я очень доволен результатом. Отдельно благодарю за рекомендации в процессе настройки, из довольно сумбурного ТЗ с моей стороны (а я в серверах понимаю мало) Михаил уточняющими вопросами и предложениями со своей стороны сформулировал четкое понимание, какие задачи будет решать итоговая сборка и как организовать все лучшим образом. Рекомендую!
ladohinpy · Mikrotik hap настройка роутера. Настрою роутер микротик wifi для вас
21.07.2025 · ⭐ 5/5
Огромное спасибо Михаилу за работу, я очень доволен результатом. Отдельно благодарю за рекомендации в процессе настройки, из довольно сумбурного ТЗ с моей стороны (а я в серверах понимаю мало) Михаил уточняющими вопросами и предложениями со своей стороны сформулировал четкое понимание, какие задачи будет решать итоговая сборка и как организовать все лучшим образом. Рекомендую!
Отличный специалист, шарящий эксперт и замечательный человек. За час нам починил то, над чем мы днями ломали головы! Уверен, что это не первый раз, когда мы будем пользоваться его непомерным профессионализмом
Ravenor · Mikrotik hap настройка роутера. Настрою роутер микротик wifi для вас
28.05.2025 · ⭐ 5/5
Отличный специалист, шарящий эксперт и замечательный человек. За час нам починил то, над чем мы днями ломали головы! Уверен, что это не первый раз, когда мы будем пользоваться его непомерным профессионализмом
профессиональный подход к делу!
ErlikZ · Mikrotik hap настройка роутера. Настрою роутер микротик wifi для вас
31.03.2025 · ⭐ 5/5
профессиональный подход к делу!
Знает, умеет, делает. Всё оперативно и по делу, сотрудничеством остался доволен.
Soveni4 · Mikrotik hap настройка роутера. Настрою роутер микротик wifi для вас
Освоившийся покупатель14.03.2025 · ⭐ 5/5
Знает, умеет, делает. Всё оперативно и по делу, сотрудничеством остался доволен.
Спасибо! Настроили роутер по моему техническому заданию, с полным объяснением того что мы делаем
GFSoft · Mikrotik hap настройка роутера. Настрою роутер микротик wifi для вас
Опытный покупатель09.03.2025 · ⭐ 5/5
Спасибо! Настроили роутер по моему техническому заданию, с полным объяснением того что мы делаем
Все круто! Спасибо! Рекомендую
NekMiha · Помощь с роутером Mikrotik
Мощный покупатель16.11.2024 · ⭐ 5/5
Все круто! Спасибо! Рекомендую