Микротик не пропускает видео в конференциях Битрикс24

Обсуждение ПО и его настройки
Ответить
aleksey.saynog
Сообщения: 4
Зарегистрирован: 08 июн 2021, 09:18

Добрый день. Столкнулся со странной ситуацией. Даже при отключенных правилах в фаирволе микротик RB2011 не пропускает видео в конференциях битрикс24. Подключение pppoe. Напрямую мимо роутера пропускает. Тестировалось на разных компьютерах/ноутбуках/телефонах. Возможности сбросить роутер и настроить заново нет. Может кто подскажет в какую сторону смотреть?
 
# jun/07/2021 13:07:33 by RouterOS 6.48.2
# software id = TFL6-PS5Z
#
# model = 2011UiAS
# serial number = 608506B23605
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridgeLocal
/interface ethernet
set [ find default-name=ether1 ] auto-negotiation=no speed=100Mbps
set [ find default-name=ether10 ] poe-out=off
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=XX use-peer-dns=yes user=XX
add add-default-route=yes disabled=no interface=ether10 name=pppoe-out2 \
password=XX use-peer-dns=yes user=XX
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
add dh-group=modp1024 dpd-interval=disable-dpd enc-algorithm=aes-256 lifetime=\
1h name=XX
/ip ipsec peer
add address=XX.XX.XX.XX/32 comment=VPN2Rostelekom local-address=\
XX.XX.XX.XX name=XXX profile=XXX send-initial-contact=no
add address=XX.XX.XX.XX/32 comment=VPN2KKS disabled=yes local-address=\
XX.XX.XX.XX name=XXX profile=XXX send-initial-contact=no
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add enc-algorithms=aes-256-cbc lifetime=8h name=XXX
add disabled=yes enc-algorithms=aes-256-cbc lifetime=8h name=XXX
/ip pool
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=dhcp ranges=192.168.11.2-192.168.11.250
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridgeLocal name=\
XXX
/ppp profile
set *0 change-tcp-mss=default
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridgeLocal comment=defconf disabled=yes interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
add bridge=bridgeLocal comment=defconf interface=ether6
add bridge=bridgeLocal comment=defconf interface=ether7
add bridge=bridgeLocal comment=defconf interface=ether8
add bridge=bridgeLocal comment=defconf interface=ether9
add bridge=bridgeLocal comment=defconf disabled=yes interface=ether10
add bridge=bridgeLocal comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=pppoe-out2 list=WAN
add interface=bridgeLocal list=LAN
add interface=pppoe-out1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=XX.XX.XX.XX/24 interface=ether2 network=XX.XX.XX.0
add address=192.168.11.1/24 interface=bridgeLocal network=192.168.11.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=XX.XX.XX.XX list=AccessGranted
add address=XX.XX.XX.XX list=AccessGranted
add address=XX.XX.XX.XX list=AccessGranted
/ip firewall filter
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=reject chain=forward disabled=yes protocol=tcp reject-with=\
icmp-network-unreachable tls-host=*.instagram.com
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked disabled=yes
add action=add-src-to-address-list address-list=AccessGranted \
address-list-timeout=1h chain=input packet-size=353 protocol=icmp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=\
AccessGranted
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN log-prefix=drop!LAN src-address-list=\
!AccessGranted
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=reject chain=forward comment="Youtube block" disabled=yes dst-port=\
443 protocol=tcp reject-with=tcp-reset tls-host=*youtu*
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward disabled=yes in-interface=pppoe-out1 \
new-mss=1492 passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535
add action=change-mss chain=forward disabled=yes new-mss=1492 out-interface=\
pppoe-out1 passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
192.168.11.0/24
add action=masquerade chain=srcnat comment="masq. vpn traffic" disabled=yes \
src-address=192.168.89.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=netmap chain=dstnat dst-port=555 protocol=tcp to-addresses=\
192.168.11.79 to-ports=555
add action=netmap chain=dstnat dst-port=3080 protocol=tcp to-addresses=\
192.168.11.79 to-ports=3080
add action=netmap chain=dstnat dst-port=3081 protocol=tcp to-addresses=\
192.168.11.79 to-ports=3081
add action=masquerade chain=srcnat out-interface-list=WAN
/ip ipsec identity
add comment=VPN2Rostelekom peer=XXX secret=XX
add comment=VPN2KKS disabled=yes peer=XXX secret=XX
/ip ipsec policy
set 0 disabled=yes
add comment=VPN2Rostelekom dst-address=192.168.0.0/23 peer=XX proposal=\
XX sa-dst-address=XX.XX.XX.XX sa-src-address=XX.XX.XX.XX \
src-address=XX.XX.XX.0/24 tunnel=yes
add comment=VPN2KKS disabled=yes dst-address=192.168.0.0/23 peer=XXX \
proposal=XXX src-address=192.168.11.0/24 tunnel=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set read-only-mode=yes touch-screen=disabled
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=XXX
/system scheduler
/tool e-mail
/tool netwatch


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

MTU на pppoe-интерфейсе какой задан?
Попробуйте уменьшить.


Telegram: @thexvo
aleksey.saynog
Сообщения: 4
Зарегистрирован: 08 июн 2021, 09:18

xvo писал(а): 08 июн 2021, 10:07 MTU на pppoe-интерфейсе какой задан?
Попробуйте уменьшить.
1480 и провайдер подтверждает актуальность MTU. Еще ниже?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Попробуйте, но тогда все-таки не в этом проблема скорее всего.


Telegram: @thexvo
aleksey.saynog
Сообщения: 4
Зарегистрирован: 08 июн 2021, 09:18

xvo писал(а): 08 июн 2021, 11:59 Попробуйте, но тогда все-таки не в этом проблема скорее всего.
Спасибо. Похоже, снижение до 1440 помогло! (через mangle - change mss)


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Возможно тогда достаточно для ppp-профиля установить change-tcp-mss=yes
Я проглядел, а у вас там для дефолтного профиля стоит change-tcp-mss=default, то есть по факту - no.


Telegram: @thexvo
aleksey.saynog
Сообщения: 4
Зарегистрирован: 08 июн 2021, 09:18

xvo писал(а): 09 июн 2021, 15:15 Возможно тогда достаточно для ppp-профиля установить change-tcp-mss=yes
Я проглядел, а у вас там для дефолтного профиля стоит change-tcp-mss=default, то есть по факту - no.
Кстати, да! Тоже должно помочь. Просто ввело в заблуждение, что все остальное работало и я в эту сторону и не смотрел. Еще раз спасибо!


Ответить