// DevOps

MikroTik + Keenetic: FAQ и пошаговая диагностика

Опубликовано 21.09.2025

Эта статья собрана как «шпаргалка» для SOHO/SMB-сетей: частые проблемы, их симптомы, причины, быстрые решения и чек-листы диагностики. Подойдёт как для инженеров, так и для админов, кто поддерживает связку MikroTik ↔ Keenetic.

📑 Навигация

1) EoIP «замирает» при передаче больших файлов

Симптомы: SMB/FTP зависает, скорость «пилит», RDP рвётся.
Причины: неверный MTU/MSS, fast-path с IPsec, ошибки NAT/Firewall.

⚡ Быстрое решение (MikroTik):

/interface eoip add name=eoip-tun remote-address=203.0.113.1 tunnel-id=10 mtu=1476 clamp-tcp-mss=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/interface ethernet set [find] allow-fast-path=no

Keenetic (CLI):

interface Tunnel0
 ip tcp adjust-mss 1360

В веб-интерфейсе: Интернет → Другие подключения → Туннель → «Ограничить MSS».

2) Site-to-Site VPN поднят, но трафик не ходит

Симптомы: туннель «UP», но нет пинга/SMB между подсетями. Причины: маршруты, NAT, селекторы IPsec, firewall.

Пример (MikroTik, IPsec S2S):

/ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 \
  sa-dst-address=203.0.113.2 tunnel=yes action=encrypt
/ip route add dst-address=192.168.2.0/24 gateway=ipsec
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24

Пример (Keenetic, OpenVPN server):

vpn-server openvpn
 direct-access enable
 pool 10.8.0.0/24
 route 192.168.1.0/24

3) NAT ломает VPN/EoIP

Симптомы: туннель поднимается, но связи между сетями нет. Решение: исключить межподсетевой трафик из masquerade.

/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24 place-before=<id-masq>

4) MTU/MSS: как подобрать правильно

Алгоритм:

Найти Path MTU (ping df=yes).
Установить MTU туннеля ниже на overhead.
Включить MSS clamp.

/ping <peer-wan-ip> size=1472 df=yes
/ping <peer-lan-ip> interface=eoip-tun size=1450 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn

5) Policy Routing (RouterOS 7)

Симптомы: трафик игнорирует нужные правила. Пример:

/routing table add name=to-vpn fib
/ip route add dst-address=0.0.0.0/0 gateway=10.8.0.1 routing-table=to-vpn
/routing rule add action=lookup-only-in-table table=to-vpn src-address=192.168.1.0/24

6) SMB из другой подсети не работает

Причины: NAT/Firewall, NetBIOS broadcast не роутится, DNS. Решение: разрешите TCP/445, TCP/139, UDP/137-138, отключите NAT между подсетями.

/ip firewall filter add chain=forward action=accept protocol=tcp dst-port=445 src-address=192.168.1.0/24 dst-address=192.168.2.0/24
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24

✅ Чек-лист быстрой диагностики

Связность L3: ping WAN↔WAN, LAN↔LAN.
MTU/MSS: ping df=yes, MSS clamp.
Маршруты: ip route print, traceroute.
NAT: исключения до masquerade.
Firewall: allow-правила, counters.
Туннель: SA/peers (IPsec), клиент (OVPN).
CPU/нагрузка: torch, monitor-traffic.
Сервисы: telnet host 445.
DNS/WINS: резолв имён.
Логи/pcap: tool sniffer.

📜 Шпаргалки команд

MikroTik:

/ping <ip> size=1472 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/ip firewall nat add chain=srcnat action=accept src-address=<LAN-A>/24 dst-address=<LAN-B>/24 place-before=<id-masq>
/routing table add name=to-vpn fib
/ip ipsec active-peers print
/tool torch <iface>
/tool sniffer quick interface=<iface> file-name=trace.pcap

Keenetic:

show interface Tunnel0
show ip route
show ip nat translations
interface Tunnel0
 ip tcp adjust-mss 1360

📊 Типовые MTU для туннелей

Тип туннеля	MTU	MSS	Overhead
EoIP	1476	1436	~42
IPsec	1400	1360	~50–60
OpenVPN	1410	1370	~40–50
L2TP	1400	1360	~40

🔀 Матрица NAT/Firewall исключений

Src Subnet	Dst Subnet	NAT Action	Firewall Ports	Примечание
192.168.1.0/24	192.168.2.0/24	accept	TCP 445, 139; UDP 137-138	SMB/VPN
192.168.1.0/24	10.8.0.0/24	accept	TCP 443, UDP 1194	OpenVPN
192.168.2.0/24	1.1.1.1/32	accept	UDP 53	DNS через VPN

⚠ Частые «грабли»

MTU «1500 везде» → фрагментация.
Masquerade «съел» межподсетевой трафик → нужны исключения.
Policy routing без учёта DNS.
Полагаться на NetBIOS broadcast.
Тестировать только ping → проверяйте TCP/SMB большими файлами.

Теги:

#mikrotik #keenetic #vpn #eoip #mtu #mss #nat #policy routing #DevOps #сети

Помогла статья? Поддержать Поддержать на Boosty

// Reviews

Отзывы по теме

Огромное спасибо Михаилу за работу, я очень доволен результатом. Отдельно благодарю за рекомендации в процессе настройки, из довольно сумбурного ТЗ с моей стороны (а я в серверах понимаю мало) Михаил уточняющими вопросами и предложениями со своей стороны сформулировал четкое понимание, какие задачи будет решать итоговая сборка и как организовать все лучшим образом. Рекомендую!

Огромное спасибо Михаилу за работу, я очень доволен результатом. Отдельно благодарю за рекомендации в процессе настройки, из довольно сумбурного ТЗ с моей стороны (а я в серверах понимаю мало) Михаил уточняющими …

ladohinpy

Mikrotik hap настройка роутера. Настрою роутер микротик wifi для вас

21.07.2025 · ★ 5/5

Отличный специалист, шарящий эксперт и замечательный человек. За час нам починил то, над чем мы днями ломали головы! Уверен, что это не первый раз, когда мы будем пользоваться его непомерным профессионализмом

Отличный специалист, шарящий эксперт и замечательный человек. За час нам починил то, над чем мы днями ломали головы! Уверен, что это не первый раз, когда мы будем пользоваться его непомерным профессионализмом

Ravenor

Mikrotik hap настройка роутера. Настрою роутер микротик wifi для вас

28.05.2025 · ★ 5/5