Есть такая схема: локальная сеть подключена к mikrotik(1), который через другой mikrotik(2) выходит в интернет. Маршруты настроены верно, ping/tracert проходят прекрасно, но часть сайтов(ya.ru, google,com) открываются, а остальные нет. Вспомнил статью про Path MTU Discovery Black Hole, добавил change mss на Mikrotik(2) - все заработало. Задумался, добавил на Mikrotik(1) и опять-же заработало. Но ISP ранее не был замечен за зарезанием указанных в статье пакетов, что инетерсно на самом деле есть еще Mikrotik(3) с другим провайдером, который подключен схожим образом к другому порту Mikrotik(1) и при попытке пустить трафик через него возникают те-же проблемы. И если с http/https спасает change mss, то есть и другие проблемы, например установки исходящих ipsec соединения с Mikrotik(1).
Я что-то упускаю, но не могу понять что, может кто сталкивался?
P.S. отключать правила firewall пробовал, не помогает. в mangle никаких едйствий над пакетами не происходит. в wireshark вижу ошибки tcp checksum. fast path отключил. ROS:6.42.3 на всех девайсах.
Странный глюк
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Вроде как сейчас в последних версиях программного обеспечения эту проблему решили. Всё автоматом делается, без нашего участия. Правил не надо. У вас там какая версия пакетов?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 38
- Зарегистрирован: 07 июн 2018, 11:33
6.42.3 на всех девайсах
>эту проблему решили
а где прочитать описание и решение проблемы именно в контексте mikrotik?
>эту проблему решили
а где прочитать описание и решение проблемы именно в контексте mikrotik?
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да я уж и не помню, если честно, это было давно. В памяти осталось лишь то, что у меня ранее в фаерволе всегда светились два динамических правила именно на change mss. А потом всё это дело пофиксили и правил более не видно. Простите, но не вспомню, как давно это случилось.
Раз у вас актуальные версии пакетов, то дело в чем-то другом. Попробуйте показать сообществу конфиги. Возможно, кто-нибудь найдет причину.
Раз у вас актуальные версии пакетов, то дело в чем-то другом. Попробуйте показать сообществу конфиги. Возможно, кто-нибудь найдет причину.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 38
- Зарегистрирован: 07 июн 2018, 11:33
Конфиги не могу, это интерпрайзная схема, которая в работе, у нас в СБ паранойики сидят, увидят по голове настучат..
а насчет динамических правил...я помню только для vpn каналов такие создавались и то это поведение можно было отключить в настройках профиля
Сейчас попробую схему на 951х воспроизвести, посмотрю повторится баг или нет. Хотя эксперемент будет не до конца чистым т.к. напрямую к провайдерам подцепить не смогу.
Не удалось воспроизвести проблему, либо с prb намудрил в основной схеме либо как-то связано с interface lists(их не воспроизводил).
а насчет динамических правил...я помню только для vpn каналов такие создавались и то это поведение можно было отключить в настройках профиля
Сейчас попробую схему на 951х воспроизвести, посмотрю повторится баг или нет. Хотя эксперемент будет не до конца чистым т.к. напрямую к провайдерам подцепить не смогу.
Не удалось воспроизвести проблему, либо с prb намудрил в основной схеме либо как-то связано с interface lists(их не воспроизводил).
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Тогда только гадание. В этом мы все сильны Только вот точность ответов почти отрицательная.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 38
- Зарегистрирован: 07 июн 2018, 11:33
Я последние дни тоже гаданием занимаюсь, сижу с wireshark и кручу различные опции, может обновлю/даунгрейдну на выходных. посмотрю что будет
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
В копилку гаданий.
Там можно заблокировать беннерно/счетчиковое, и половина сайтов перестает открываться.
change mss от этого спасать не должен, правда.
А у них никаких систем не внедрено, которые весь поток через сито правил или антивирус пропускают?
Там можно заблокировать беннерно/счетчиковое, и половина сайтов перестает открываться.
change mss от этого спасать не должен, правда.
-
- Сообщения: 38
- Зарегистрирован: 07 июн 2018, 11:33
НетА у них никаких систем не внедрено
-
- Сообщения: 38
- Зарегистрирован: 07 июн 2018, 11:33
Попробовал даунгрейднуть один из девайсов(RB3011б Mikrotik1 на схеме) до 4.60.*...слетели настройки /int lists...причем жестко так слетели. Другие 2 пока стремновато даунгрейдит, через них постоянно много трафика ходит.