Лагает RDP через VPN

[denis.hromin]

Ситуация следующая.

В такой сетке: Рабочий комп (Windows 10) VPN Client -> Mikrotik hap ac (NAT) -> Provider(Internet) -> VPN Server(Корпоративный) -> Корпоративная ЛВС -> Удаленный комп.
Соединение VPN проходит успешно, соединение c удаленным рабочим столом RDP проходит успешно, но в процессе работы за удаленным рабочим столом возникают частые зависания и обрывы соединения!

Если из сетки исключить Mikrotik и воткнуть кабель от провайдера в рабочий комп: Рабочий комп (Windows 10) VPN Client -> Provider(Internet) -> VPN Server(Корпоративный) -> Корпоративная ЛВС -> Удаленный комп., то все работает стабильно (проблем с зависаниями и обрывами нет совсем)! Если вместо Mikrotika воткнуть китайский xiaomi с китайской прошивкой, то проблем тоже нет!

Просьба помочь, а то уж не знаю куда копать дальше.

Прошивка 6.48.4. На предыдущей версии была та же проблема.

Конфиг Mikrotika такой:
/interface bridge
add mtu=1500 name=bridge-private protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=lan1
set [ find default-name=ether3 ] name=lan2
set [ find default-name=ether4 ] name=lan3
set [ find default-name=ether5 ] name=lan4
set [ find default-name=sfp1 ] disabled=yes
set [ find default-name=ether1 ] name=wan1
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-onlyn disabled=no distance=indoors frequency=auto \
hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full ssid=\
Fenix_2GHz tx-power-mode=all-rates-fixed wmm-support=enabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \
band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=\
indoors frequency=auto hw-protection-mode=rts-cts mode=ap-bridge \
multicast-helper=full ssid=Fenix_5GHz tx-power-mode=all-rates-fixed \
wmm-support=enabled
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik wpa-pre-shared-key=************ \
wpa2-pre-shared-key=pass08031981
/ip pool
add name=pool-private ranges=192.168.88.5-192.168.88.30
/ip dhcp-server
add add-arp=yes address-pool=pool-private bootp-support=dynamic disabled=no \
interface=bridge-private lease-time=1w name=dhcp-private
/queue type
set 1 pfifo-limit=500
set 2 kind=pfifo pfifo-limit=500
/interface bridge port
add bridge=bridge-private interface=lan1
add bridge=bridge-private interface=lan2
add bridge=bridge-private interface=lan3
add bridge=bridge-private interface=lan4
add bridge=bridge-private interface=wlan1
add bridge=bridge-private interface=wlan2
/ip settings
set route-cache=no
/interface list member
add interface=wan1 list=WAN
add interface=lan1 list=LAN
add interface=lan2 list=LAN
add interface=lan3 list=LAN
add interface=lan4 list=LAN
add interface=sfp1 list=LAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
/ip address
add address=192.168.88.1/24 interface=bridge-private network=192.168.88.0
/ip dhcp-client
add disabled=no interface=wan1 use-peer-dns=no
/ip dhcp-server lease
add address=192.168.88.28 client-id=1:e0:d4:64:f5e6 mac-address=\
E0:D4:64:F5:CD:E6 server=dhcp-private
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 \
netmask=24
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=77.88.8.8,77.88.8.1
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=53 in-interface-list=!WAN protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan1

P.S. Если открыта админка Mikrotika через Winbox, то сразу после установки VPN соединения админка вылетает и больше открываться не хочет!

[Ca6ko]

В такой сетке: Рабочий комп (Windows 10) VPN Client -> Mikrotik hap ac (NAT)

Схему сети принято рисовать и указывать параметры (адреса порты)
Как рабочий комп подключен к Микротику?
Самое простое сбросить микротик на заводской конфиг по умолчанию, Проверить работу с таким конфигом, если проблема ушла ковырять свой конфиг.

PS После установки VPN соединения, на компьютере шлюзом по умолчанию становится VPN, поэтому компьютер не может найти микротик по IP адресу, он ведь ищет его в VPN, а не в локалке. В таком случае нужно подключатся по МАСу

[Dan]

P.S. Если открыта админка Mikrotika через Winbox, то сразу после установки VPN соединения админка вылетает и больше открываться не хочет!

Проц?

[denis.hromin]

В такой сетке: Рабочий комп (Windows 10) VPN Client -> Mikrotik hap ac (NAT)

Схему сети принято рисовать и указывать параметры (адреса порты)
Как рабочий комп подключен к Микротику?
Самое простое сбросить микротик на заводской конфиг по умолчанию, Проверить работу с таким конфигом, если проблема ушла ковырять свой конфиг.

PS После установки VPN соединения, на компьютере шлюзом по умолчанию становится VPN, поэтому компьютер не может найти микротик по IP адресу, он ведь ищет его в VPN, а не в локалке. В таком случае нужно подключатся по МАСу

Дело в том, что все лаги и начались с заводских настроек. Конфиг, который высылал - это уже результаты попыток решить проблему путем сброса заводских настроек и ручным конфигурированием.
В winbox как раз подключаюсь по МАКу, а не по IP.
Рабочий комп подключен к микротику кабелем.

[denis.hromin]

P.S. Если открыта админка Mikrotika через Winbox, то сразу после установки VPN соединения админка вылетает и больше открываться не хочет!

Проц?

[Ca6ko]

Симтомы или перегружен микротик и проц уходит в 100% при VPN или низкая скорость между компом и микротиком. Логи микротика покажите. И подключится к микротику телефоном и смотреть будут отвалы, если нет то какая загрузка проца.

[denis.hromin]

Симтомы или перегружен микротик и проц уходит в 100% при VPN или низкая скорость между компом и микротиком. Логи микротика покажите. И подключится к микротику телефоном и смотреть будут отвалы, если нет то какая загрузка проца.

Любопытно, что при включенном VPN подключиться к админке через winbox можно только по IP. По МАКу категорически отказывается!

Загрузка проца при включенном VPN выше 3% не поднимается.



Заметил еще следующее: помимо VPN включил RDP и как только RDP начинает виснуть, то в winbox админка по IP вылетает.

[denis.hromin]

Вообщем проблему решил добавив следующие настройки:

/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark \
connection-state=new new-connection-mark=Other_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=Other_conn \
new-packet-mark=Other_packets passthrough=no

/queue simple
add dst=wan1 name=Parent_queue target=bridge-private total-max-limit=100M
add dst=wan1 name=Other packet-marks=Other_packets parent=Parent_queue \
priority=7/7 target=bridge-private total-max-limit=100M total-queue=\
pcq-download-default

[Rustik541]

Добрый день, всем. Такая же проблема с зависанием RDP по OpenVPN на микротике. Есть два микротика RB750Gr3 один в городе(192.168.1.0), второй в районе(192.168.2.0) на микротиках реализован VPN. Пользователи из дома подключаются через OpenVPN по RDP и с разной периодичностью происходят обрывы соединения RDP. Между подсетями обрывов соединений нет. Однако если дать прямой доступ для подключения из дома по RDP минуя VPN эти обрывы все равно происходят. Микротик с прошивкой 6.49.7. Если мало инфы, то скажите что нужно, я добавлю. P.S.: я новичок, прошу отнестись с пониманем))

[gmx]

Есть предложение, попробуйте выключить в винде rdp через udp. Это можно сделать и на сервере и на на клиенте. Хотя бы с одной стороны.
Если это поможет, то попробуем немного подправить микротик.