MikroTik + Keenetic: FAQ и пошаговая диагностика
Опубликовано 21.09.2025
MikroTik + Keenetic: FAQ и пошаговая диагностика
Эта статья собрана как «шпаргалка» для SOHO/SMB-сетей: частые проблемы, их симптомы, причины, быстрые решения и чек-листы диагностики. Подойдёт как для инженеров, так и для админов, кто поддерживает связку MikroTik ↔ Keenetic.
📑 Навигация
- EoIP «замирает» при передаче больших файлов
- Site-to-Site VPN поднят, но трафик не ходит
- NAT ломает VPN/EoIP
- MTU/MSS: как подобрать правильно
- Policy Routing (RouterOS 7)
- SMB из другой подсети не работает
- Чек-лист быстрой диагностики
- Шпаргалки команд
- Типовые MTU для туннелей
- Матрица NAT/Firewall исключений
- Частые «грабли»
- Визуализации
- Ресурсы и документация
1) EoIP «замирает» при передаче больших файлов
Симптомы: SMB/FTP зависает, скорость «пилит», RDP рвётся.
Причины: неверный MTU/MSS, fast-path с IPsec, ошибки NAT/Firewall.
⚡ Быстрое решение (MikroTik):
/interface eoip add name=eoip-tun remote-address=203.0.113.1 tunnel-id=10 mtu=1476 clamp-tcp-mss=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/interface ethernet set [find] allow-fast-path=no
Keenetic (CLI):
interface Tunnel0
ip tcp adjust-mss 1360
В веб-интерфейсе: Интернет → Другие подключения → Туннель → «Ограничить MSS».
2) Site-to-Site VPN поднят, но трафик не ходит
Симптомы: туннель «UP», но нет пинга/SMB между подсетями. Причины: маршруты, NAT, селекторы IPsec, firewall.
Пример (MikroTik, IPsec S2S):
/ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 \
sa-dst-address=203.0.113.2 tunnel=yes action=encrypt
/ip route add dst-address=192.168.2.0/24 gateway=ipsec
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24
Пример (Keenetic, OpenVPN server):
vpn-server openvpn
direct-access enable
pool 10.8.0.0/24
route 192.168.1.0/24
3) NAT ломает VPN/EoIP
Симптомы: туннель поднимается, но связи между сетями нет. Решение: исключить межподсетевой трафик из masquerade.
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24 place-before=<id-masq>
4) MTU/MSS: как подобрать правильно
Алгоритм:
- Найти Path MTU (ping df=yes).
- Установить MTU туннеля ниже на overhead.
- Включить MSS clamp.
/ping <peer-wan-ip> size=1472 df=yes
/ping <peer-lan-ip> interface=eoip-tun size=1450 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
5) Policy Routing (RouterOS 7)
Симптомы: трафик игнорирует нужные правила. Пример:
/routing table add name=to-vpn fib
/ip route add dst-address=0.0.0.0/0 gateway=10.8.0.1 routing-table=to-vpn
/routing rule add action=lookup-only-in-table table=to-vpn src-address=192.168.1.0/24
6) SMB из другой подсети не работает
Причины: NAT/Firewall, NetBIOS broadcast не роутится, DNS. Решение: разрешите TCP/445, TCP/139, UDP/137-138, отключите NAT между подсетями.
/ip firewall filter add chain=forward action=accept protocol=tcp dst-port=445 src-address=192.168.1.0/24 dst-address=192.168.2.0/24
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24
✅ Чек-лист быстрой диагностики
- Связность L3: ping WAN↔WAN, LAN↔LAN.
- MTU/MSS: ping df=yes, MSS clamp.
- Маршруты:
ip route print,traceroute. - NAT: исключения до masquerade.
- Firewall: allow-правила, counters.
- Туннель: SA/peers (IPsec), клиент (OVPN).
- CPU/нагрузка: torch, monitor-traffic.
- Сервисы: telnet host 445.
- DNS/WINS: резолв имён.
- Логи/pcap: tool sniffer.
📜 Шпаргалки команд
MikroTik:
/ping <ip> size=1472 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/ip firewall nat add chain=srcnat action=accept src-address=<LAN-A>/24 dst-address=<LAN-B>/24 place-before=<id-masq>
/routing table add name=to-vpn fib
/ip ipsec active-peers print
/tool torch <iface>
/tool sniffer quick interface=<iface> file-name=trace.pcap
Keenetic:
show interface Tunnel0
show ip route
show ip nat translations
interface Tunnel0
ip tcp adjust-mss 1360
📊 Типовые MTU для туннелей
| Тип туннеля | MTU | MSS | Overhead |
|---|---|---|---|
| EoIP | 1476 | 1436 | ~42 |
| IPsec | 1400 | 1360 | ~50–60 |
| OpenVPN | 1410 | 1370 | ~40–50 |
| L2TP | 1400 | 1360 | ~40 |
🔀 Матрица NAT/Firewall исключений
| Src Subnet | Dst Subnet | NAT Action | Firewall Ports | Примечание |
|---|---|---|---|---|
| 192.168.1.0/24 | 192.168.2.0/24 | accept | TCP 445, 139; UDP 137-138 | SMB/VPN |
| 192.168.1.0/24 | 10.8.0.0/24 | accept | TCP 443, UDP 1194 | OpenVPN |
| 192.168.2.0/24 | 1.1.1.1/32 | accept | UDP 53 | DNS через VPN |
⚠ Частые «грабли»
- MTU «1500 везде» → фрагментация.
- Masquerade «съел» межподсетевой трафик → нужны исключения.
- Policy routing без учёта DNS.
- Полагаться на NetBIOS broadcast.
- Тестировать только ping → проверяйте TCP/SMB большими файлами.
Похожие посты
105 | Автоматизация с n8n и его альтернативы: выбор инструмента
20.09.2025
Jitsi Meet против Google Meet: когда полный контроль над данными важнее всего
07.09.2025
073 | Введение в виртуализацию: Зачем она нужна и как экономит время?
04.08.2025
065 | Почему отказоустойчивость связи — это не роскошь, а необходимость?
27.07.2025