ipv6’yi komple kapattigimda mikrotik.com sitesine girebildim fakat speedtest.net, windows update gibi bazi siteler calismamaya devam etti yada yeni calismayan siteler oldu.
bu arada ont cihazinin link isigi hicbir cihaz internete bagli degilken bile saniyede 1-2 defa kisa araliklarla yanip sonuyor. turk telekom’un verdigi zte router bagli oldugunda hicbir cihaz internete bagli degilken link isigi yanip sonmuyordu.
Merhaba giremediğiniz sitelere hala ping atamıyorsanız problem güvenlik duvarı vb yerlerde olabilir. Ping atabiliyor iseniz alttaki kuralı mtu değeri için deneyebilirsiniz.
Statik ip kullanıyorsanız dışarıdan gelen paketlerdir onlar. Torent vb bir uygulama kullandıktan sonra birkaç saat gerçekleşir.
Torrent vb. bir uygulama acmadim. QuickFig’i kullanarak sifirdan bir konfigurasyon olusturdum, VLAN’i da tanimladim, bu sefer ONT cihazinin link isigi kisa araliklarla yanip sonmedi. QuickFig’ten check for updates’i sectigimde MikroTik update sitesine baglanabildi fakat WinBox uzerinden google’a falan ping atamadim. Bilgisayardan ise hicbir siteye giremedim. Sonrasinda router’i tekrar resetleyip Mikrotik ile Fiber İnternete Erişmek – Nasıl? – Onur Güzel adresindeki gibi bir konfigurasyon olusturdum. Bu konfigurasyonda ise WinBox uzerinden cesitli sitelere ping atabildim. ONT cihazinda link isigi kisa araliklarla yanip sonmedi. Check for updates calisti bu konfigurasyonda da. Bilgisayardan gene Internet’e giremedim. Bir konfigurasyon problemi mi var anlayamadim bir turlu. Daha once hic boyle olmamisti. Yeni router’im bu router, yeni kurulum yapmaya calisiyorum. Acaba router’da mi bir problem var? SFP ethernet modulleri kullaniyorum, acaba SFP modullerinden kaynakli olabilir mi? ONT cihazimi degistirmistim, eski ONT cihazimi takarak da denedim, fiber kablolarindaki eklemeyi iptal ederek de denedim, degisen hicbirsey olmadi. Nasil bir yol izlememi onerirsiniz?
Merhaba mikrotik bir işletim sistemi olduğu için kullanmayı öğrenmek biraz zaman alacaktır. Size tavsiyem portlardan birini firewall kısmından kurtarma için input chain kısmından kabul edin ve bu kuralı en üste koyun. Bu portu köprüye dahil etmeyin şimdilik. Olası hatalı bir firewwll kuralı sonrası sizinde mikrotik girişiniz kesilecek ve reset atmanız gerekecek. Bu port ve kural sayesinde reset atmadan mikrotike girebileceksiniz 
ben çok fazla reset atmak zorunda kaldım bu yolu uygulayana kadar.
Pon ışığı yeşil yandığı sürece aradaki fiber ekleri ve fiber bağlantıyı kontrol etmeye gerek yok.
İhtiyacınız olan bütün bilgi burada mevcut: First Time Configuration - RouterOS - MikroTik Documentation Öncelikle ilk kurulumu yapın daha sonra güvenlik duvarınızı kurarsınız. Bütün adımları şu an uygulamanıza gerek yok. Köprü oluşturun portları bağlayın köprüye adres verip dhcp server kurun. Vlan atayın pppoe bağlantıyı kurun dnsleri girin nat kısmından masquerade işlemini gerçekleştirin ve bağlantı testi gerçekleştirin.
Takıldığınız yerlerde sorun lütfen 
1 Beğeni
Aslinda MikroTik router’i 8 yildir falan kullaniyorum, CCR2004 modeline yeni gectim. Eski CRS modeli router’i uzun zamandir elden cikardigim icin eski router’imla deneme yapamiyorum. 5-6 aydir TurkNet’in verdigi ZTE router’i kullaniyordum, CCR2004’e gecis yapinca bu problemler olustu birden. Aslinda RouterOS isletim sistemin orta duzeye yakin bir duzeyde biliyorum, baslangic duzeyinde degilim diye dusunuyorum fakat bu problemi bir turlu cozemedim. Calistigim isyerine de evde kullandigim CCR2004 router’i aldirdim, isyerinde hicbir sorun cikmadi bu router’da.
Router’i "Internetten Teknoloji (wi.com.tr)'den satin aldim, ilkini hasarli gonderdiler, kargoda hasar gordugunu soylediler, ne kadar ugrastiysam da degisim yapmadilar. Kargoyu ailem teslim aldi, ben evde yoktum, “alirken kontrol edecektiniz, malesef birsey yapamayiz” dedi wi.com.tr firmasi. Tuketici mahkemesinden sonuc elde edemedim, normal mahkemeye tasiyacak zamani da bulamadigim icin hasarli router’i alip sakladim ama hasarli router’i da guvenip kullanamadim, MikroTik’le yazistim o da yardimci olmadi, artik MikroTik kullanmayayim dedim, en yakin alternatifi Ubiquiti Dream Machine’di fakat hem daha pahaliydi hem de konfigurasyonu MikroTik kadar kapsamli gelmedi, ikinci bir MikroTik CCR2004 siparis verdirdim calistigim isyerim araciligiyla (wi.com.tr’nin beni tekrar kaziklamasindan cekindim onun icin, baska firmada da stokta yoktu CCR2004), ikinci CCR2004’te de bu problemler cikti. Acaba wi.com.tr firmasi bana ikinci router’i da problemli satmis olabilir mi diye dusunmeye basladim.
Kurulum sirasinda firewall kismina sadece masquerade rule eklemek yeterli oluyordu calismasi icin, baska bir rule olmadan da calisiyordu diye hatirliyorum.
Router’in problemli olma olasiligi var midir sizce?
Merhaba wi.com.tr Türkiye dağıtıcılarından biri. Ben de onlardan alıyorum mikrotikleri şimdiye kadar sorun yaşamadım. Donanımsal bir problem olsa sürekli aynı sitelerde yapmaz rastgele sorunlar çıkması lazım. Netinstall ile temiz kurulum yapmayı deneyebilirsiniz. Yazılımsal bir sorun varsa düzelecektir. Güzel bir router.
Sorun yasamamanizi dilerim. Ben de sizin gibi dusunuyordum. Calistigim isyerine de butun MikroTik donanimlarini wi.com.tr’den aldirdim. Aldirdigim donanimlar CCR2004 router full SFP olani, CSS326 switch 2 tane, 25gbps DAC kablo 2 tane, CAP AC XL 2 tane, bunlar alinan donanimlar. Kalan donanimlari da (CCR2004 PCIe 1 tane, birkac tane CSS326 switch, fiber SFP modulleri) birkac ay sonra almayi planliyorlar. wi.com.tr ise router hasarli gelmesi durumunda beni resmen dusman gibi gorup basindan savdi. Uzerine para odemeyi teklif ettim degisim icin, her seferinde kirik plak gibi “ama efendim siz kargo tutanagi tutmamissiniz, malesef birsey yapamayiz” dediler. Bir de “dilerseniz urunu sahibinden.com’da satabilirsiniz” dediler dalga gecer gibi. Isyerime onerdigime de pisman oldum wi.com.tr’yi. Bir gun problem yasarsaniz durumun bu sekilde oldugunu da bilmenizi oneririm.
Isyerine kurulum sirasinda Internet erisimini yapamayinca kurdugum konfigurasyona bakip “siz PPPoE kurmamissiniz, o yuzden calismaz” dediklerinde “kablonet icin PPPoE kurulmaz ki, biz burada kablonet kullaniyoruz” demistim, ne yaptiysam dinlemeyip “siz PPPoE kurmamissiniz, PPPoE kurmadan Internet’e giremezsiniz” deyip gorusmeyi sonlandirmislardi. Sonra megerse Internet kesintisi varmis, o yuzden kurulumum calismamisti ama wi.com.tr’nin yaklasiminin bu sekilde oldugunu da anlamis oldum.
Sorun yasarsaniz cozum bulabileceginizi hic sanmiyorum.
TurkNet’in verdigi ZTE modemi resetleyip hicbir ayarina dokunmadan herhangi bir portunu MikroTik CCR2004’un Eth1 portuna bagladim (SFP olmayan portuna). MikroTik CCR2004’u resetledim, Quick Set uzerinden asagidaki ekran goruntusundeki ayarlari yaptim, DHCP Server kismindaki ayarlari da 0.0.0.0 olanlari ekran goruntusundeki gibi duzenledim. Detect Internet penceresindeki tum secenekleri de ekran goruntusundeki gibi All yaptim. Bu durumda MikroTik CCR2004’un calismasi gerekmez mi? PPPoE gerekmeyecek sekilde butun ayarlamalari yaptim. Firewall kismindaki masquerade rule’unu zaten Quick Set kendi eklemisti ekran goruntusunde gorundugu gibi. Bu ayarlari yaptiktan sonra MikroTik CCR2004’u restart ettim fakat Internet’e gene ulasamiyorum. Burada hatali olan birsey var mi acaba? Sorunun kaynagini bir turlu bulamadim.
Merhaba out interface ether1 yapmanız lazım.
Dns adresi girin (veya routeri dns olarak kullanmak için ip/dns kısmından allow remote request kutusunu işaretleyip dns adreslerini buraya girin. Güvenlik duvarınız yokken bunu yapmayın DNS Amplification a maruz kalırsınız.) İnternete girişiniz olacaktır.
1 Beğeni
Dediklerinizi yapinca Internet’e girebildim, cok tesekkurler @A.OZGUR
Bos bir zamanda ZTE router’i aradan cikartip PPPoE baglantisini duzenleyip tekrar denemeler yapacagim.
Bir cihazı dinamik ip olarak ayarlayınca, internete bağlı cihazdan ip alıyor. Kendi ip adresini ayarlamana gerek kalmıyor.
DHCP clienti silip ether1 için vlan ekleyip bu vlan için pppoe client ayarlayacaksınız. Firewall/nat kısmında bu sefer pppoe clienti seçeceksiniz. CGNAT arkasındaysanız güvenlik duvarsız kullanabilirsiniz ama statik ip varsa güvenlik duvarı şart.
1 Beğeni
Dediklerinizi yapinca muhtesem oldu gercekten. Emeginize saglik, hersey icin cok tesekkurler @A.OZGUR . Problemin nedenini bir turlu bulamiyordum. Dediklerinizden bir TurkNet MikroTik PPPoE kurulum rehberi olusturmak gerekiyor aslinda.
Son olarak bir de gerekli firewall rule’larini da paylasirsaniz cok sevinirim.
Merhaba teşekkürler adınıza sevindim
Local ip adres bloğunuz 192.168.88.0/24 olarak kullandığınızı varsayarak güvenlik duvarı kurallarını paylaşacağım.
İlk olarak ether1 vlan ve pppoe interfaceyi, WAN listesine ekleyin.
Adres listelerinde etkisiz olan adresler upnp smb gibi hizmetlerin çalışması için gerekli adresler bu nedenle kapalılar. Etkinleştirirseniz bazı hizmetler çalışmayacaktır.
Bolşans umarım gözümden kaçan birşey yoktur da reset atmanız gerekmez
Metni yapıştırdıktan sonra son kuralında geçerli olması için entere basmayı unutmayın.
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=no_forward_ipv4
add address=169.254.0.0/16 comment=RFC6890 list=no_forward_ipv4
add address=224.0.0.0/4 comment="RFC6890 multicast" disabled=yes list=no_forward_ipv4
add address=255.255.255.255 comment=RFC6890 disabled=yes list=no_forward_ipv4
add address=127.0.0.0/8 comment=RFC6890 list=bad_ipv4
add address=192.0.0.0/24 comment=RFC6890 list=bad_ipv4
add address=192.0.2.0/24 comment="RFC6890 documentation" list=bad_ipv4
add address=198.51.100.0/24 comment="RFC6890 documentation" list=bad_ipv4
add address=203.0.113.0/24 comment="RFC6890 documentation" list=bad_ipv4
add address=0.0.0.0/8 comment=RFC6890 list=not_global_ipv4
add address=10.0.0.0/8 comment=RFC6890 list=not_global_ipv4
add address=100.64.0.0/10 comment=RFC6890 list=not_global_ipv4
add address=169.254.0.0/16 comment=RFC6890 list=not_global_ipv4
add address=172.16.0.0/12 comment=RFC6890 list=not_global_ipv4
add address=192.0.0.0/29 comment=RFC6890 list=not_global_ipv4
add address=192.168.0.0/16 comment=RFC6890 list=not_global_ipv4
add address=198.18.0.0/15 comment="RFC6890 benchmark" list=not_global_ipv4
add address=224.0.0.0/4 comment=multicast list=bad_src_ipv4
add address=255.255.255.255 comment=RFC6890 list=bad_src_ipv4
add address=0.0.0.0/8 comment=RFC6890 list=bad_dst_ipv4
add address=224.0.0.0/4 comment="RFC6890 multicast" disabled=yes list=bad_dst_ipv4
add address=240.0.0.0/4 comment="RFC6890 reserved" disabled=yes list=bad_ipv4
add address=240.0.0.0/4 comment="RFC6890 reserved" list=not_global_ipv4
add address=255.255.255.255 comment=RFC6890 list=not_global_ipv4
/ip firewall filter
add action=accept chain=input comment="accept ICMP after RAW" protocol=icmp
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment=capsman dst-address-type=local protocol=udp src-address-type=local src-port=5246,5247
add action=accept chain=input comment=capsman dst-address-type=local dst-port=5246,5247 protocol=udp src-address-type=local
add action=drop chain=input comment="drop all coming from WAN" in-interface-list=WAN
add action=accept chain=forward comment="accept all that matches IPSec policy" ipsec-policy=in,ipsec
add action=fasttrack-connection chain=forward comment=fasttrack connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="drop bad forward IPs" src-address-list=no_forward_ipv4
add action=drop chain=forward comment="drop bad forward IPs" dst-address-list=no_forward_ipv4
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall raw
add action=accept chain=prerouting comment="enable for transparent firewall" disabled=yes
add action=accept chain=prerouting comment="accept DHCP discover" dst-address=255.255.255.255 dst-port=67 in-interface-list=LAN protocol=udp \
src-address=0.0.0.0 src-port=68
add action=accept chain=prerouting comment=capsman dst-address-type=local dst-port=5246,5247 protocol=udp src-address-type=local
add action=accept chain=prerouting comment=capsman dst-address-type=local protocol=udp src-address-type=local src-port=5246,5247
add action=drop chain=prerouting comment="drop echo request from wan" icmp-options=8:0-255 in-interface-list=WAN protocol=icmp
add action=drop chain=prerouting comment="drop bogon IP's" src-address-list=bad_ipv4
add action=drop chain=prerouting comment="drop bogon IP's" dst-address-list=bad_ipv4
add action=drop chain=prerouting comment="drop bogon IP's" src-address-list=bad_src_ipv4
add action=drop chain=prerouting comment="drop bogon IP's" dst-address-list=bad_dst_ipv4
add action=drop chain=prerouting comment="drop non global from WAN" in-interface-list=WAN src-address-list=not_global_ipv4
add action=drop chain=prerouting comment="drop forward to local lan from WAN" dst-address=192.168.88.0/24 in-interface-list=WAN
add action=drop chain=prerouting comment="drop local if not from default IP range" in-interface-list=LAN src-address=!192.168.88.0/24
add action=drop chain=prerouting comment="drop bad UDP" port=0 protocol=udp
add action=drop chain=prerouting comment="drop bad tcp" port=0 protocol=tcp
1 Beğeni
Merhaba natlamadan bütün portlar tek köprüde birleşirse dediğiniz durum gerçekleşir.
@A.OZGUR tekrardan emeginize saglik, cok tesekkurler. Yazdiginiz kurallari da tanimladim.
Bu arada konfigurasyonu her mesajinizda yedekledim, reset atmak gerekirse onceki konfigurasyonlara donebilmek icin bu islemi de yaptim. Hersey tamam gorunuyor su anda.
1 Beğeni
Bilgi icin tesekkurler @CKLasT , araya ZTE router’i da konumlandirip basima bela etmek istemiyorum. O islemi sadece adimlari daha kucuk basamaklara bolmek icin yapmistim. Neyse kurtuldum ZTE router’dan.
Ben onu zte bağlıyor diye dedim, farklı anlamış olabilirsin.
Neyse
Cihazda düzeltmeler yapılmış iyi kullanımlar dilerim.
WAN listesinde ether1 (bende sfp-sfpplus1 oluyor), vlan35 ve pppoe mi olacak bu arada? Yani asagidaki ekran goruntusundeki gibi mi olsun?
Bu arada son olarak IPV6 ayarlarini da paylasirsaniz cok guzel olurdu. IPV6’yi etkinlestirince hem etkinlesmiyor hem de mikrotik’in sitesine giremiyorum (IPV6’li IP’si de oldugu icin sanirim). Bu forumdaki bir konudaki adimlari uyguladim fakat olmadi.
