Buon pomeriggio a tutti!

Mi è stata da poco attivata una linea FTTH per la quale ho optato per un modem libero (MikRotik RB5009) ed i tecnici mi hanno installato un ONT Sercomm FG1000R.
Ho collegato l'ONT alla presa ethernet1 ed alla 4 ho collegato il pc dal quale ho effettuato la configurazione con Winbox prendendo spunto da quanto riportato qui e qui.
Dal router riesco a pingare google ma il pc non naviga. Ho provato a variare alcuni parametri ed a rifare la configurazione ma nulla.
Vi chiederei gentilmente una mano!

Lascio la config di seguito:

Premi per mostrare Premi per nascondere

`# 1970-01-02 00:07:48 by RouterOS 7.16

software id = 30SJ-XYB3

#

model = RB5009UG+S+

serial number = SERIAL

/interface bridge
add name=BRIDGE-LAN
/interface ethernet
set [ find default-name=ether1 ] name=ISP
/interface vlan
add interface=ISP name="TIM VLAN 835" vlan-id=835
/interface pppoe-client
add add-default-route=yes disabled=no interface="TIM VLAN 835" name=\
"TIM PPPoE" user=NUMERODITELEFONO
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=LAN-POOL ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=LAN-POOL interface=BRIDGE-LAN name=LAN_DHCP_SERVER
/interface bridge port
add bridge=BRIDGE-LAN interface=ether2
add bridge=BRIDGE-LAN interface=ether3
add bridge=BRIDGE-LAN interface=ether4
add bridge=BRIDGE-LAN interface=ether5
add bridge=BRIDGE-LAN interface=ether6
add bridge=BRIDGE-LAN interface=ether7
add bridge=BRIDGE-LAN interface=ether8
add bridge=BRIDGE-LAN interface=sfp-sfpplus1
/ip address
add address=192.168.1.1/24 interface=BRIDGE-LAN network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall nat

no interface

add action=masquerade chain=srcnat out-interface="TIM PPPoE"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh address=192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp server
set enabled=yes manycast=yes multicast=yes
/system ntp client servers
add address=193.204.114.232
add address=193.204.114.233
add address=193.204.114.105
`!<

    gianry grazie! Ho seguito quella guida piú la parte della VLAN, sempre senza successo purtroppo

    • walt ha risposto a questo messaggio

        Razgriz al netto di clamorose sviste mi pare la configurazione sufficiente e necessaria per fornire connettività lato LAN...sono incuriosito, attendo sviluppi 🤔

          Razgriz no interface

          cos'è questo testo ? non mi risulta nella configurazione valida esserci

          lanciami un ping dal client PC verso il router e verso 8.8.8.8

              gianry cos'è questo testo ?

              Io ho dato per assunto che sia un refuso di copia&incolla, d'altra parte la shell MikroTik non prevede quel tipo di comando...certo il fatto che sia proprio a cavallo della regola di masquerading è curioso... 👀

                Ciao,
                Prova ad aggiungere una regola sul firewall per il nat della lan:
                /ip firewall nat add chain=srcnat src-address=192.168.1.0/24 action=masquerade out-interface=Tim PPPoe

                edit: ho notato ora che in effetti l'avevi già creata. Confrontando la tua configurazione con la mia non trovo altre differenze sostanziali oltre a questa e il fatto che non ho specificato la netmask sulla dhcp-server network.

                • walt ha risposto a questo messaggio

                  Ingegner-Gatto beh è sufficiente quella già presente, al netto di quel no interface 👀

                    Il pc riesce a pingare il router? Prende l’IP? E se pinghi Internet che errore ottieni?

                    7 giorni dopo

                    gianry
                    Ho cancellato e ripetuto la regola in Firewall -> NAT per il masquerade, il no interface é sparito ed in LAN finalmente sono riuscito ad uscire su internet 🎉
                    Grazie a tutti per l'aiuto!

                    • walt ha risposto a questo messaggio

                        Razgriz che cosa curiosa...meglio così ✌️

                          Razgriz

                          Mi raccomando, sistema per bene il firewall... anche io ho il RB5009 (versione full PoE) perchè mi pare che di suo sia tutto aperto
                          Vedrai che ti darà tante soddisfazioni il 5009... ci fai anche il caffè.

                          Se hai voglia, posta la configurazione.

                          • gianry ha risposto a questo messaggio

                              steff70 perchè mi pare che di suo sia tutto aperto

                              no, il sistema RouterOs CHR è senza firewall attivato ma invece l' RB5009 ha il firewall con default che protegge

                                  gianry il firewall con default

                                  Sono regole di base che è buona pratica integrare e raffinare.

                                    gianry RB5009 ha il firewall con default che protegge

                                    allora sono io che ho brasato a zero tutto prima di configurarlo.

                                    • wtf ha risposto a questo messaggio

                                        steff70

                                        Nella conf di default c'è qualcosa di simile a questo:

                                        /ip firewall filter
                                        add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
                                        established,related,untracked
                                        add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
                                        add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
                                        add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
                                        add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
                                        add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
                                        add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
                                        add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
                                        add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
                                        established,related,untracked
                                        add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
                                        add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
                                        connection-state=new in-interface-list=WAN

                                        • steff70 ha risposto a questo messaggio

                                            wtf Nella conf di default c'è qualcosa di simile a questo:

                                            che è cosa ho messo io a mano, tolto che il ping, il capsman, ipsec io li droppo

                                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                              P.I. IT16712091004 - info@fibraclick.it

                                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile