Здравствуйте. Есть микротик. На пк через LAN включаю на машине Express VPN, итог все работает.
Подключаюсь по wifi к микротику через смартфон, включаю на смартфоне express vpn, интернета нет. Как решить, подскажет кто?
Провайдер: ЭР-телеком
IP - выделенный
Если нужна доп информация, скажите, скину.
VPN через Wifi
-
svetogor82
- Сообщения: 167
- Зарегистрирован: 17 апр 2014, 10:44
-
gmx
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Скорее всего надо уменьшить MTU. Можно в клиенте VPN на мобильном, если, конечно, такая настройка есть. А можно глобально для всей сети на микротике на и интерфейсе в сторону провайдера.
Какой тип подключения к провайдеру?
А вообще, правильнее поднять сессию VPN на микротике и уже рулить трафиком на микротике. Кого в впн, а кого-то в обычный интернет. Вплоть до нужных URL.
Какой тип подключения к провайдеру?
А вообще, правильнее поднять сессию VPN на микротике и уже рулить трафиком на микротике. Кого в впн, а кого-то в обычный интернет. Вплоть до нужных URL.
-
JIexa_74
- Сообщения: 25
- Зарегистрирован: 24 окт 2019, 10:46
add mtu=1410 name=LAN
/interface ethernet
set [ find default-name=ether1 ] mtu=1410
set [ find default-name=ether2 ] mtu=1410
set [ find default-name=ether3 ] mtu=1410
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=90 max-mru=1410 max-mtu=1410 name=\
pppoe-out1 password=use-peer-dns=yes user=
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-g/n country=russia3 disabled=no frequency=2442 \
frequency-mode=manual-txpower mode=ap-bridge ssid=AAAAAA station-roaming=enabled
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik \
wpa2-pre-shared-key=*****
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=5GHZ \
supplicant-identity="" wpa-pre-shared-key=wpa2-pre-shared-key=
/interface wireless
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=20/40/80mhz-eeeC country=russia3 \
disabled=no frequency=auto frequency-mode=manual-txpower mode=ap-bridge security-profile=5GHZ ssid=\
"AAAAAA(5GHz)" station-roaming=enabled wireless-protocol=802.11
/ip pool
add name=dhcp ranges=192.168.1.100-192.168.1.254
add name=OVPN_srv_pool ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=LAN name=server1
/ppp profile
add local-address=192.168.100.1 name=OVPN_server remote-address=OVPN_srv_pool
/user group
set full policy=\
local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN interface=ether2
add bridge=LAN interface=wlan1
add bridge=LAN interface=wlan2
add bridge=LAN interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface ovpn-server server
/ip address
add address=192.168.1.1/24 interface=LAN network=192.168.1.0
add address=95.**.169.*** interface=ether1 network=95.***.169.*
/ip dhcp-server lease
add address=192.168.1.254 client-id=1:f8:32:e4:bd:4e:ad mac-address=F8:32:E4:BD:4E:AD server=server1
add address=192.168.1.252 client-id=1:30:9c:23:25:ed:6 mac-address=30:9C:23:25:ED:06 server=server1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add address=80.92..1-list=
/ip firewall filter
add action=accept chain=input disabled=yes dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=1194 protocol=tcp
add action=accept chain=input dst-port=15323 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input dst-port=21 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward connection-state=established
add action=accept chain=input connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=input connection-state=related
add action=drop chain=forward comment="invalid connections" connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=input in-interface=!LAN
add action=accept chain=forward in-interface=LAN src-address=192.168.1.0/24
add action=accept chain=input in-interface=LAN src-address=192.168.1.0/24
add action=accept chain=forward in-interface=LAN src-address=192.168.31.0/24
add action=accept chain=input in-interface=LAN src-address=192.168.31.0/24
add action=drop chain=forward disabled=yes in-interface=!LAN
/ip firewall mangle
add action=change-mss chain=forward new-mss=1400 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1453-65535
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=95.*.169.* dst-port=21 in-interface=pppoe-out1 protocol=tcp \
to-addresses=192.168.1.252 to-ports=21
add action=dst-nat chain=dstnat dst-address=95.**.169.*** dst-port=50100-50200 in-interface=pppoe-out1 protocol=tcp \
to-addresses=192.168.1.252 to-ports=50100-50200
add action=dst-nat chain=dstnat dst-address=95.**.169.*** dst-port=80 in-interface=pppoe-out1 protocol=tcp \
to-addresses=192.168.1.252
add action=dst-nat chain=dstnat dst-address=95.**.169.*** protocol=tcp src-address=192.168.1.0/24 to-addresses=\
192.168.1.252
add action=masquerade chain=srcnat dst-address=192.168.1.252 dst-port=21 protocol=tcp src-address=192.168.1.0/24
add action=masquerade chain=srcnat src-address=192.168.1.0/24
/ip firewall service-port
set h323 disabled=yes
set pptp disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=192.168.0.1
add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=192.168.100.1 pref-src=172.20.10.0
add distance=1 dst-address=192.168.31.0/24 gateway=192.168.100.200 pref-src=192.168.1.1
/ip service
set telnet disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox address=192.168.1.0/24,192.168.100.0/24
/ppp secret
add local-address=192.168.100.1 name=*****password= profile=OVPN_server remote-address=\
/system clock
set time-zone-name=Asia/Yekaterinburg
[*******@MikroTik] > /log print
/interface ethernet
set [ find default-name=ether1 ] mtu=1410
set [ find default-name=ether2 ] mtu=1410
set [ find default-name=ether3 ] mtu=1410
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=90 max-mru=1410 max-mtu=1410 name=\
pppoe-out1 password=use-peer-dns=yes user=
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-g/n country=russia3 disabled=no frequency=2442 \
frequency-mode=manual-txpower mode=ap-bridge ssid=AAAAAA station-roaming=enabled
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik \
wpa2-pre-shared-key=*****
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=5GHZ \
supplicant-identity="" wpa-pre-shared-key=wpa2-pre-shared-key=
/interface wireless
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=20/40/80mhz-eeeC country=russia3 \
disabled=no frequency=auto frequency-mode=manual-txpower mode=ap-bridge security-profile=5GHZ ssid=\
"AAAAAA(5GHz)" station-roaming=enabled wireless-protocol=802.11
/ip pool
add name=dhcp ranges=192.168.1.100-192.168.1.254
add name=OVPN_srv_pool ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=LAN name=server1
/ppp profile
add local-address=192.168.100.1 name=OVPN_server remote-address=OVPN_srv_pool
/user group
set full policy=\
local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN interface=ether2
add bridge=LAN interface=wlan1
add bridge=LAN interface=wlan2
add bridge=LAN interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface ovpn-server server
/ip address
add address=192.168.1.1/24 interface=LAN network=192.168.1.0
add address=95.**.169.*** interface=ether1 network=95.***.169.*
/ip dhcp-server lease
add address=192.168.1.254 client-id=1:f8:32:e4:bd:4e:ad mac-address=F8:32:E4:BD:4E:AD server=server1
add address=192.168.1.252 client-id=1:30:9c:23:25:ed:6 mac-address=30:9C:23:25:ED:06 server=server1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add address=80.92..1-list=
/ip firewall filter
add action=accept chain=input disabled=yes dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=1194 protocol=tcp
add action=accept chain=input dst-port=15323 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input dst-port=21 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward connection-state=established
add action=accept chain=input connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=input connection-state=related
add action=drop chain=forward comment="invalid connections" connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=input in-interface=!LAN
add action=accept chain=forward in-interface=LAN src-address=192.168.1.0/24
add action=accept chain=input in-interface=LAN src-address=192.168.1.0/24
add action=accept chain=forward in-interface=LAN src-address=192.168.31.0/24
add action=accept chain=input in-interface=LAN src-address=192.168.31.0/24
add action=drop chain=forward disabled=yes in-interface=!LAN
/ip firewall mangle
add action=change-mss chain=forward new-mss=1400 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1453-65535
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=95.*.169.* dst-port=21 in-interface=pppoe-out1 protocol=tcp \
to-addresses=192.168.1.252 to-ports=21
add action=dst-nat chain=dstnat dst-address=95.**.169.*** dst-port=50100-50200 in-interface=pppoe-out1 protocol=tcp \
to-addresses=192.168.1.252 to-ports=50100-50200
add action=dst-nat chain=dstnat dst-address=95.**.169.*** dst-port=80 in-interface=pppoe-out1 protocol=tcp \
to-addresses=192.168.1.252
add action=dst-nat chain=dstnat dst-address=95.**.169.*** protocol=tcp src-address=192.168.1.0/24 to-addresses=\
192.168.1.252
add action=masquerade chain=srcnat dst-address=192.168.1.252 dst-port=21 protocol=tcp src-address=192.168.1.0/24
add action=masquerade chain=srcnat src-address=192.168.1.0/24
/ip firewall service-port
set h323 disabled=yes
set pptp disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=192.168.0.1
add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=192.168.100.1 pref-src=172.20.10.0
add distance=1 dst-address=192.168.31.0/24 gateway=192.168.100.200 pref-src=192.168.1.1
/ip service
set telnet disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox address=192.168.1.0/24,192.168.100.0/24
/ppp secret
add local-address=192.168.100.1 name=*****password= profile=OVPN_server remote-address=\
/system clock
set time-zone-name=Asia/Yekaterinburg
[*******@MikroTik] > /log print
-
JIexa_74
- Сообщения: 25
- Зарегистрирован: 24 окт 2019, 10:46
-Какой тип подключения к провайдеру?gmx писал(а): ↑31 окт 2022, 08:38 Скорее всего надо уменьшить MTU. Можно в клиенте VPN на мобильном, если, конечно, такая настройка есть. А можно глобально для всей сети на микротике на и интерфейсе в сторону провайдера.
А вообще, правильнее поднять сессию VPN на микротике и уже рулить трафиком на микротике. Кого в впн, а кого-то в обычный интернет. Вплоть до нужных URL.
- PPPoE
-А вообще, правильнее поднять сессию VPN на микротике
- Некоторые сайти типа авито не пускают через впн.
-Скорее всего надо уменьшить MTU
- MTU сейчас 1410
-
gmx
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Mtu надо менять не на бриджах и ether интерфейсах, а на интерфейсе pppoe.
Правильнее поднять vpn на микротике, все-таки. А дальше перенаправлять в впн только нужные сайты.
Да, забыл ещё один момент. Что с настройками dns на проблемных клиентах? Попробуйте поменять настройки на другие dns.
Правильнее поднять vpn на микротике, все-таки. А дальше перенаправлять в впн только нужные сайты.
Да, забыл ещё один момент. Что с настройками dns на проблемных клиентах? Попробуйте поменять настройки на другие dns.
-
JIexa_74
- Сообщения: 25
- Зарегистрирован: 24 окт 2019, 10:46
gmx писал(а): ↑31 окт 2022, 18:50 Mtu надо менять не на бриджах и ether интерфейсах, а на интерфейсе pppoe.
-на PPoE стоит 1410, пробовал поиграть через пинг, та же ерунда. На интерфейсе wifi тоже пробовал mtu перебирать.
Правильнее поднять vpn на микротике, все-таки. А дальше перенаправлять в впн только нужные сайты.
-тут нет острой необходимости
Да, забыл ещё один момент. Что с настройками dns на проблемных клиентах? Попробуйте поменять настройки на другие dns.
-попробовал в телефоне прописать другие днс, та же проблема.
Интересная штука что при подключении по вай фай + vpn на смартфоне сайты пингуются... но не отображаются
-
JIexa_74
- Сообщения: 25
- Зарегистрирован: 24 окт 2019, 10:46
-
podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да я вообще сомневаюсь, что дело в Микротике. На телефонах подключение VPN вполне возможно вообще через WiFi не очень-то и работает... Протестируйте, подключившись к какому-нибудь WiFi, не Микротиковскому...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...