Napiszę to najprościej jak umiem…
Z oczywistych względów nie chcę podawać tu prawdziwego IP publicznie więc IP będzie z kija.
Dostawca przydzielił mi IP 185.51.52.53 jest on stały chociaż połączenie jest przez PPPoE. Powiedzmy, że chcę skorzystać np. z narzędzia http://lg.atman.pl/ Podaję IP 185.51.52.53 i wybieram ping rządanie kończy się poprawnie.
Teraz to samo robię wybierając opcję tracert i trasa urywa się na moim hoscie, chyba, że wyłączę regułę 15, wtedy tracert wykonuje się do końca.
- trace – Wykonuje test UDP traceroute. […]
Na stronie pisze że polecenie trace używa UDP, na liście wyżej nie masz żadnego portu UDP otwartego?
Nie wiem jakim cudem, bo reguła 15 nie dotyczy MT, a urządzeń za nim. Tak więc do czego idzie tracert?
PPPoE nie ma tu znaczenia. Nawet gdyby to był netmap (NAT 1:1), to nie ma to znaczenia i reguła 15 tez nie, chyba że tracert nie idzie do MT tylko do jakiegoś hosta.
Czyli to nie icmp. ICMP to warstwa 3, UDP to warstwa wyżej. Tak więc pytanie, co sprawdzasz? MT czy hosta za MT?
Podaję IP bez portu, nie mam przypisanego DMZ do żadnego z IP wewnętrznych, tak więc zakładam (być może błędnie), że jak na zewnętrznej stronie - np. wspomniany wyżej atman wklepię IP od prowidera to sprawdzam mikrotika a nie hosta za LANem, chyba, że jakimś códem takie zewnętrzne systemy chcą wracać pakiety do hosta, w LANie, który je wygenerował no ale tego już nie wiem. No nic - dzięki wam za pomoc, widzę, że zarówno Wam jak i mnie skończyły się pomysły a na fikcyjnych danych nie ma co operować. Rozumiem też, że każdy ma swoje życie i nie ma czasu / ochoty grzebać się w czyichś routerach, jasna sprawa 
Wyłączenie reguły 15 na kilka chwil, żeby sprawdzić trasę to nie jest koniec świata.
Podeśli to IP na PW, bo aż ciekawy jestem. Oczywiście z włączonymi wszystkimi regułami FW.
W każdym razie:
Łańcuch INPUT - wszystko co przychodzi do hosta (do MT) i jest do niego kierowane;
Łańcuch FORWARD - wszystko co przychodzi do hosta (do MT), ale nie jest kierowane do niego (MT przekazuje pakiet dalej);
Łańcuch OUTPUT - wszystko co wychodzi z hosta (pakiety wygenerowane przez MT).
W związku z tym, że reguła 15 jest w łańcuch forward, nie może mieć wpływu na to co jest kierowane do MT. Tu mogła by blokować reguła 7, ale nie 15. Dlatego jest to dla mnie dziwne, bo wygląda to tak, jakby to narzędzie skanowało Ci sieć, a nie robiło trace route.
Traceroute domyślnie wykorzystuje UDP do sprawdzania trasy. Można wymusić, aby użył ICMP, albo dodać na input regułkę zezwalającą na przyjmowanie datagramów UDP na zakresie portów 33434-33534.
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=33434-33534 in-interface=pppoe-WAN disabled=no place-before=1Dzięki serdeczne za cierpliwość - w końcu działa jak chciałem.
Nie ma sprawy.
Też chciałem kupić ten router ale obawiam się o zasięg. Obecnie mam. Modem z cisco od dostawcy internetu i drastycznie spada zasięg dwa pokoje dalej. Modem nie ma zewnętrznych anten.
Nie porównuj jakiegoś badziewia z Mikrotikiem. To, że ma znaczek Cisco, nie znaczy że będzie działał jak urządzenie dla korporacji za 2000 zł.
Nie bezpowodu AP Cisco SoHo kosztują kilkaset zlotych i kilka tysięcy. Te pierwsze mają słabe radia, te drugie bardzo mocne.
Mikrotik robi urządzenia z dobrymi radiami. Jedyny problem na jaki można napotkać, to zbyt zaawansowane ustawienia wifi, tu już niestety trzeba się na tym znać lub jechać na defaultach.
Dzięki za info. Jaki router mi radzisz z MT.
Hap ac2
Hap ac
Czy może RB4011iGS+5HacQ2HnD-IN
mieszkanie ma grube ściany betonowe. podłączone będą 2 laptopy, smart tv, 2 telefony, radio internetowe, komputer stacjonarny.
AC2. 4011 to troche mocny sprzęt do domu, ale czemu nie. Mikrotik spokojnie powinien siać, ten 4011 szczególnie.
Jak pisałem, MT ma bardzo zaawansowane ustawienia wifi. Może warto rozwarzyć MT bez wifi, a do wifi Unifi AP AC LR.
W środku są cztery karty wifi pcie, takie jak do lapa. 
Jedynym rozsądnym rozwiązaniem zdolnym zapewnić dobry zasięg w domu to kilka punktów dostępowych połączonych kablem lub urządzenia typu mesh. Do mieszkania sam router może wystarczyć (choć oczywiście zależy jak duże to mieszkanie).
Piszesz o CAP?
o cisco, ale modelu niestety nie pamiętam.
Kiedyś miałem taki uszkodzony AP w rękach i sobie go wybebeszyłem.
Jeśli to urządzenie z centralnym zarządzaniem, to nie dziwne. Są jeszcze AP z antenami zewnętrznymi, to dopiero ma moc Cena też ma moc, jak to Cisco.
Może warto rozwarzyć MT bez wifi, a do wifi Unifi AP AC LR.
Problem u mnie jest taki, że wprowadziłem się już do mieszkania gdzie nie ma poprowadzonych kabli RJ45. Są tylko poprowadzone kable RB6 - czyli mogę przestawiać modem od dostawcy po 3 pokojach.
Jak rozumiem takie Unuifi najlepiej podłączyć w innym pokoju gdzie jest słaby zasięg za pomocą kabla rj45,a potem nadawać sygnał wifi.
Przestawiłem też router do pokoju stołowego gdzie jest największy zasięg, natomiast w innych pokojach jest 50Mbit a w jednym zależy od dnia 10-25Mbit. Mówie tu o modemie z routerem od dostawcy - czyli ten bylejaki Cisco. To i tak już dal mnie duża poprawa.
Zdecydowałem, że przeprowadzę kable korytkami narożnymi. Nie ma sensu wkońcu rozwalać sufitów podwieszanych. Wpierw kupię któryś z tych routerów MT i potestuję bez Unifi AP AC LR. potem ewentualnie dokupie taki sprzęt
Myślę, że MT da sobie radę. Unifi faktycznie kabel niezbędny, ale zawsze można jest schować w suficie o ile masz rewizję. Zawsze można je przywiesić do sufitu, design nie jest zły, a do wyboru jest jeszcze kilka masek, np. moro.