Использование интернет канала из другого офиса

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
SinnerLike
Сообщения: 70
Зарегистрирован: 03 окт 2016, 08:13
Откуда: Когалым

Доброго времени суток!
И снова я к Вам за помощью.
Имеем два микротика на большом удалении друг от друга каждый со своим интернетом. Между ними радиореллейка.
Хотим использовать отдаленный интернет в случае отвала нашего интернета в офисе. Т.е. пробросить удаленный канал в офис. Раздачей интернета занимается зувалл, этого мы не касаемся.
Что я сделал:
Создал VLAN, обозвал его индексом 100.
"Привязал" его к порту в который заходит релейка. Поставил галочку "Use Service Tag".
В офисе добавил в бридж один физический порт и созданный мною ранее VLAN. Добавил к бриджу IP адрес ручками.
На удаленном микротике сделал тоже самое, добавил IP адрес.
Настроил DHCP сервер. Настроил NAT.
Втыкаю компьютер в порт в офисе; IP адрес получает, маршруты получает, пинги до ВСЕХ сайтов проходит.
А вот сайты... Открывает не все. Гугл и яндекс открывает, 2ip и speedtest не открывает. И что важно; браузер крутит-крутит, но ошибку связи не выдает.
Что я делаю не так? :-(

Код: Выделить всё

# nov/23/2016 09:20:31 by RouterOS 6.37.2
# software id = GF4C-F6JF
#
/caps-man channel
add band=2ghz-b/g/n extension-channel=Ce frequency=2452 name=channel1 width=20
/interface bridge
add name=bridge1
add name=bridge100
/interface ethernet
set [ find default-name=ether1 ] comment=Internet name=ether1-inet
set [ find default-name=ether2 ] master-port=ether1-inet
set [ find default-name=ether3 ] master-port=ether1-inet
set [ find default-name=ether4 ] master-port=ether1-inet
set [ find default-name=ether5 ] master-port=ether1-inet
set [ find default-name=ether6 ] comment=Local
set [ find default-name=ether7 ] master-port=ether6
set [ find default-name=ether8 ] name=ether8-sedalink
set [ find default-name=ether9 ] master-port=ether6 name=ether9-local
set [ find default-name=ether10 ] comment=RRL name=ether10-RRL poe-out=off
set [ find default-name=sfp1 ] disabled=yes
/interface eoip
add comment="Reserve link" disabled=yes !keepalive mac-address=02:FF:C2:CD:0D:A6 name=eoip-tunnel1 remote-address=10.10.11.2 tunnel-id=0
/interface ipip
add !keepalive name=ipip-tunnel1 remote-address=_IP_
/ip neighbor discovery
set ether1-inet comment=Internet
set ether6 comment=Local
set ether10-RRL comment=RRL
set eoip-tunnel1 comment="Reserve link"
/interface vlan
add interface=ether10-RRL name=vlan100 use-service-tag=yes vlan-id=100
/ip ipsec proposal
add enc-algorithms=aes-256-cbc lifetime=8h name=_IP_
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
/interface bridge port
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether10-RRL path-cost=5
add bridge=bridge1 interface=eoip-tunnel1 path-cost=200
add bridge=bridge100 interface=ether8-sedalink
add bridge=bridge100 interface=vlan100
/interface pptp-server server
set default-profile=default
/ip address
add address=_IP_/29 interface=ether1-inet network=_IP_
add address=192.168.38.13/23 interface=bridge1 network=192.168.38.0
add address=10.10.11.1/30 interface=ipip-tunnel1 network=10.10.11.0
add address=192.168.100.2/24 interface=bridge100 network=192.168.100.0
/ip dns
set allow-remote-requests=yes servers=212.1.224.6,212.1.244.6,8.8.8.8,8.8.4.4
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=input comment=to_office src-address=_IP_
add action=accept chain=input comment=to_10.10.11.0/30 src-address=_IP_
add action=accept chain=output dst-address=_IP_
add action=accept chain=forward src-address=10.10.11.0/30
add action=accept chain=forward dst-address=10.10.11.0/30
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat in-interface=ether1-inet
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=ether1-inet
/ip firewall nat
add action=accept chain=srcnat comment=to_10.10.11.0/30 dst-address=10.10.11.0/30 src-address=10.10.11.0/30
/ip ipsec peer
add address=_IP_/32 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret=
/ip ipsec policy
add dst-address=10.10.11.0/30 proposal=_IP_ sa-dst-address=_IP_ sa-src-address=_IP_ src-address=10.10.11.0/30 tunnel=yes
/ip route
add distance=1 gateway=_IP_
add distance=1 dst-address=10.1.1.0/24 gateway=192.168.39.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ipv6 dhcp-client
add add-default-route=yes interface=bridge1 request=address
/lcd
set backlight-timeout=10m default-screen=stats read-only-mode=yes time-interval=hour
/lcd interface
add interface=eoip-tunnel1 timeout=5s
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
/system identity
set name=office
/system ntp client
set enabled=yes primary-ntp=46.254.216.12 secondary-ntp=95.104.192.10
/system routerboard settings
set protected-routerboot=disabled

Код: Выделить всё

# nov/23/2016 09:25:18 by RouterOS 6.37.2
# software id = FUG7-CWGJ
#
/interface bridge
add name=bridge1
add name=bridge100
/interface ethernet
set [ find default-name=ether1 ] name=ether1-inet
set [ find default-name=ether2 ] speed=10Gbps
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
set [ find default-name=ether7 ] master-port=ether6
set [ find default-name=ether8 ] master-port=ether6
set [ find default-name=ether9 ] master-port=ether6
set [ find default-name=ether10 ] name=ether10-RRL poe-out=off
set [ find default-name=sfp1 ] disabled=yes
/interface eoip
add !keepalive mac-address=02:B8:2A:75:B9:ED name=eoip-tunnel1 remote-address=10.10.11.1 tunnel-id=0
/interface ipip
add !keepalive name=ipip-tunnel1 remote-address=_IP_
/interface vlan
add interface=ether10-RRL loop-protect-disable-time=0s loop-protect-send-interval=0s name=vlan100 use-service-tag=yes vlan-id=100
/ip ipsec proposal
add enc-algorithms=aes-256-cbc lifetime=8h name=_IP_
/ip pool
add name=dhcp_pool1 ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge100 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=eoip-tunnel1 path-cost=200
add bridge=bridge1 interface=ether10-RRL path-cost=5
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether6
add bridge=bridge100 interface=vlan100
/ip address
add address=_IP_/30 interface=ether1-inet network=_IP_
add address=192.168.38.14/23 interface=bridge1 network=192.168.38.0
add address=10.10.11.2/30 interface=ipip-tunnel1 network=10.10.11.0
add address=192.168.100.1/24 interface=bridge100 network=192.168.100.0
/ip dhcp-server lease
add address=192.168.100.2 client-id=1:e4:8d:8c:7e:3f:f0 mac-address=E4:8D:8C:7E:3F:F0 server=dhcp1
/ip dhcp-server network
add address=192.168.100.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes servers=195.114.124.5,195.114.125.5,8.8.8.8,8.8.4.4
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=input comment=to_office src-address=_IP_
add action=accept chain=input comment=to_10.10.11.0/30 src-address=_IP_
add action=accept chain=output dst-address=_IP_
add action=accept chain=forward src-address=10.10.11.0/30
add action=accept chain=forward dst-address=10.10.11.0/30
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether1-inet
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=ether1-inet
/ip firewall nat
add action=accept chain=srcnat comment=to_10.10.11.0/30 dst-address=10.10.11.0/30 src-address=10.10.11.0/30
add action=masquerade chain=srcnat out-interface=ether1-inet src-address=192.168.100.0/24
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec peer
add address=_IP_/32 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret=
/ip ipsec policy
add dst-address=10.10.11.0/30 proposal=_IP_ sa-dst-address=_IP_ sa-src-address=_IP_ src-address=10.10.11.0/30 tunnel=yes
/ip route
add distance=1 gateway=_IP_
add disabled=yes distance=1 dst-address=10.1.1.0/24 gateway=192.168.39.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ipv6 dhcp-client
add add-default-route=yes interface=ether1-inet request=address
/lcd
set backlight-timeout=10m default-screen=stats read-only-mode=yes
/lcd interface
add interface=eoip-tunnel1 timeout=5s
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
/system identity
set name=dns2
/system ntp client
set enabled=yes primary-ntp=195.3.254.2 secondary-ntp=46.254.216.12
/system routerboard settings
set protected-routerboot=disabled


Дома: hAP ac
На работе: Зоопарк.
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

DNS?


Аватара пользователя
SinnerLike
Сообщения: 70
Зарегистрирован: 03 окт 2016, 08:13
Откуда: Когалым

DNS работает.
Сайты которые не открываются в браузерАХ - пингуются в командной строке.
И браузер не выдает ошибку, от буд-то открывает, что-то грузит, но контент не выводит.
Мистика блин.


Дома: hAP ac
На работе: Зоопарк.
isoulzi
Сообщения: 8
Зарегистрирован: 22 ноя 2016, 10:26

99% - проблемы с дефрагментацией
Рассчитайте Ваш MSS и будет счатье
0 chain=forward action=change-mss new-mss=1390 passthrough=yes tcp-flags=syn,!rst protocol=tcp tcp-mss=1391-65535 log=no log-prefix="MSS"


Т.е. - если вдруг не поняли:
Ваш MSS = XXXX (как то так)
0 chain=forward action=change-mss new-mss= XXXX passthrough=yes tcp-flags=syn,!rst protocol=tcp tcp-mss= XXXX+1 -65535 log=no log-prefix="MSS"


Аватара пользователя
SinnerLike
Сообщения: 70
Зарегистрирован: 03 окт 2016, 08:13
Откуда: Когалым

isoulzi писал(а):99% - проблемы с дефрагментацией
Рассчитайте Ваш MSS и будет счатье

Спасибо! Теперь у меня есть счастье! :-)


Дома: hAP ac
На работе: Зоопарк.
rusples
Сообщения: 1
Зарегистрирован: 27 сен 2017, 13:42

Подскажите пожалуйста, что у вас это за сеть 10.1.1.0/24 и шлюз с адресои 192.168.39.1 ?


Ответить