Странный глюк

Обсуждение ПО и его настройки
Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

Есть такая схема: локальная сеть подключена к mikrotik(1), который через другой mikrotik(2) выходит в интернет. Маршруты настроены верно, ping/tracert проходят прекрасно, но часть сайтов(ya.ru, google,com) открываются, а остальные нет. Вспомнил статью про Path MTU Discovery Black Hole, добавил change mss на Mikrotik(2) - все заработало. Задумался, добавил на Mikrotik(1) и опять-же заработало. Но ISP ранее не был замечен за зарезанием указанных в статье пакетов, что инетерсно на самом деле есть еще Mikrotik(3) с другим провайдером, который подключен схожим образом к другому порту Mikrotik(1) и при попытке пустить трафик через него возникают те-же проблемы. И если с http/https спасает change mss, то есть и другие проблемы, например установки исходящих ipsec соединения с Mikrotik(1).

Я что-то упускаю, но не могу понять что, может кто сталкивался?

P.S. отключать правила firewall пробовал, не помогает. в mangle никаких едйствий над пакетами не происходит. в wireshark вижу ошибки tcp checksum. fast path отключил. ROS:6.42.3 на всех девайсах.
mkt-scheme.png
mkt-scheme.png (23.21 КБ) 4270 просмотров


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вроде как сейчас в последних версиях программного обеспечения эту проблему решили. Всё автоматом делается, без нашего участия. Правил не надо. У вас там какая версия пакетов?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

6.42.3 на всех девайсах

>эту проблему решили
а где прочитать описание и решение проблемы именно в контексте mikrotik?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да я уж и не помню, если честно, это было давно. В памяти осталось лишь то, что у меня ранее в фаерволе всегда светились два динамических правила именно на change mss. А потом всё это дело пофиксили и правил более не видно. Простите, но не вспомню, как давно это случилось.
Раз у вас актуальные версии пакетов, то дело в чем-то другом. Попробуйте показать сообществу конфиги. Возможно, кто-нибудь найдет причину.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

Конфиги не могу, это интерпрайзная схема, которая в работе, у нас в СБ паранойики сидят, увидят по голове настучат..

а насчет динамических правил...я помню только для vpn каналов такие создавались и то это поведение можно было отключить в настройках профиля

Сейчас попробую схему на 951х воспроизвести, посмотрю повторится баг или нет. Хотя эксперемент будет не до конца чистым т.к. напрямую к провайдерам подцепить не смогу.

Не удалось воспроизвести проблему, либо с prb намудрил в основной схеме либо как-то связано с interface lists(их не воспроизводил).


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Тогда только гадание. В этом мы все сильны :-) Только вот точность ответов почти отрицательная.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

Я последние дни тоже гаданием занимаюсь, сижу с wireshark и кручу различные опции, может обновлю/даунгрейдну на выходных. посмотрю что будет


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

В копилку гаданий.
Jukilo писал(а): 08 июн 2018, 09:12 Конфиги не могу, это интерпрайзная схема, которая в работе, у нас в СБ паранойики сидят, увидят по голове настучат..
А у них никаких систем не внедрено, которые весь поток через сито правил или антивирус пропускают?
Там можно заблокировать беннерно/счетчиковое, и половина сайтов перестает открываться.

change mss от этого спасать не должен, правда.


Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

А у них никаких систем не внедрено
Нет


Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

Попробовал даунгрейднуть один из девайсов(RB3011б Mikrotik1 на схеме) до 4.60.*...слетели настройки /int lists...причем жестко так слетели. Другие 2 пока стремновато даунгрейдит, через них постоянно много трафика ходит.


Ответить