mikrotik к некоторым сайтам блокирует 443

Обсуждение ПО и его настройки
Ответить
dmitriy.kalugin
Сообщения: 4
Зарегистрирован: 24 мар 2021, 09:40

Добрый день, выяснилась такая проблема. Очень редко в офисе не открываются некоторые сайты. Который с телефона или дома открываются. При этом сайт пингуется, но телнетом 443 не открывается. вот пример сайта который не работает.
telnet novamett.ru 443
Подключение к novamett.ru...Не удалось открыть подключение к этому узлу, на порт 443: Сбой подключения
На гуглил про размер паекта: / ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no
не помогло.

Конфиг:
/interface bridge
add admin-mac=*** auto-mac=no comment=defconf name=bridge
add name=bridge-wifi
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=*** wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile supplicant-identity=MikroTik
/interface wireless
add disabled=no mac-address=*** master-interface=wlan1 name=wlan2 security-profile=profile ssid=***
/ip pool
add name=dhcp ranges=192.168.0.20-192.168.0.254
add name=pool-wifi ranges=192.168.1.20-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
add address-pool=pool-wifi disabled=no interface=bridge-wifi name=Wifi
/interface bridge filter
add action=drop chain=forward in-interface=wlan2
add action=drop chain=forward out-interface=wlan2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge-wifi interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless access-list
add mac-address=***
/ip address
add address=192.168.0.1/24 comment=defconf interface=ether2 network=192.168.0.0
add address=*** interface=ether1 network=***
add address=192.168.1.1/24 interface=wlan2 network=192.168.1.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=*** client-id=*** comment=*** mac-address=*** server=defconf
add address=*** client-id=*** comment=*** mac-address=*** server=defconf
add address=*** client-id=*** comment=*** mac-address=*** server=defconf
add address=*** client-id=*** comment=*** mac-address=*** server=defconf
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf dns-server=192.168.0.12 gateway=192.168.0.1 netmask=24
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=***
/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn tcp-mss=1453-65535
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address=*** dst-port=*** protocol=tcp to-addresses=*** to-ports=***
add action=dst-nat chain=dstnat dst-address=*** dst-port=*** protocol=tcp to-addresses=*** to-ports=***
add action=dst-nat chain=dstnat dst-address=*** dst-port=*** protocol=tcp to-addresses=*** to-ports=***
/ip route
add distance=1 gateway=***
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=***
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

dmitriy.kalugin писал(а): 24 мар 2021, 09:59 При этом сайт пингуется, но телнетом 443 не открывается. вот пример сайта который не работает.
telnet novamett.ru 443
Подключение к novamett.ru...Не удалось открыть подключение к этому узлу, на порт 443: Сбой подключения
Это ваш сайт?
Он должен быть вам доступен по телнету через порт 443?


dmitriy.kalugin
Сообщения: 4
Зарегистрирован: 24 мар 2021, 09:40

Это не мой сайт, это сайт для примера. Который не открывается. Другие сайты работают, яндекс например. А этот нет. Большинство сайтов работают, но иногда какой нибудь сайт не открывается, захожу на него с телефона. Он работает.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

А почему вы в этом микротик обвиняете, а не вашего провайдера, например?
Когда сайт не доступен с ПК, и вы заходите на него с телефона, телефон через того же провайдера к интернету подключен, только в обход микротика?
Почему вы считаете, что микротик блокирует?


dmitriy.kalugin
Сообщения: 4
Зарегистрирован: 24 мар 2021, 09:40

Я и есть провайдер. Это конфиг микротика в локальную сеть. Дальше стоит микротик который маршрутизирует автономную систему по BGP. Может в нем проблема, на нем я эту же настройку по размерам пакета сделал, тоже не помогло.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Еще раз спрошу. Сайт через ваши каналы в обход микротика доступен, в моменты, когда через микротик доступа нет?


dmitriy.kalugin
Сообщения: 4
Зарегистрирован: 24 мар 2021, 09:40

Да, я понял, это будет не совсем правильная проверка. То мы ходим через шлюз, а то через BGP маршрутизаторы. Что бы вам было понятней я проверю, отпишусь, но может кто то сталкивался с такой бедой.


Ответить