Проблема с доступом к определенным сайтам

[Arsonist95]

Проблема с доступом к определенным сайтам. Например к сайту http://www.ammyy.com/ru/
Так же не работает интернет-версия Гаранта. Так как работать она перестала в день смены роутера, грешу на него

 Конфиг

# jan/17/2020 13:06:55 by RouterOS 6.44.6
# software id = U2TG-X6A4
#
# model = CRS109-8G-1S-2HnD
# serial number = 7869079DF95A
/interface bridge
add name=bridgeLAN
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge ssid=MikroTik \
wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] mac-address=C8:3A:35:00:4B:88
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mtu=1460 name=\
pppoe-out1 password=password use-peer-dns=yes user=PPPOE-000001
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
password wpa2-pre-shared-key=password
/interface bridge port
add bridge=bridgeLAN interface=wlan1
add bridge=bridgeLAN interface=ether2
add bridge=bridgeLAN interface=ether3
add bridge=bridgeLAN interface=ether4
add bridge=bridgeLAN interface=ether5
add bridge=bridgeLAN interface=ether6
/interface list member
add interface=ether1 list=WAN
add interface=bridgeLAN list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=199.124.150.235/24 interface=ether2 network=199.124.150.0
/ip dns
set servers=85.28.195.130
/ip firewall mangle
add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn \
tcp-mss=1453-65535
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=\
199.124.150.234
/ip route
add disabled=yes distance=1 gateway=199.124.150.235
/system clock
set time-zone-name=Asia/Kamchatka

Перед постом прочитал несколько статей, где советовали:
- уменьшить MTU viewtopic.php?t=7409 или
- создать правило в Mangle https://sidorovich.pp.ua/network-hardwa ... vaet-sajty
Но это не помогло. Так же скопировал (на всякий случай) MAC адрес со старого роутера. Тоже безуспешно. Если подытожить, то интернет есть, но работает медленно и не открывает некоторые сайты

[MaxoDroid]

Что бросилось в глаза.
1. зачем в интерфейс лист WAN Вы включили ethre1?
/interface list member
add interface=ether1 list=WAN - уберите его. Он там не к стати.
2. DNS. Вы поставили set servers=85.28.195.130 адрес Ростелекома. Вы точно уверены, что Ростелеком обладает хорошим сервисом поиска имен?
3. В Вашем роутере не включено кэширование DNS. Также нет DHCP.
нет строчки типа
/ip dhcp-server network
add address=199.124.150.0/24 dns-server=199.124.150.235 gateway=199.124.150.235

[Vlad-2]

Проблема с доступом к определенным сайтам. Например к сайту http://www.ammyy.com/ru/
Так же не работает интернет-версия Гаранта. Так как работать она перестала в день смены роутера, грешу на него

(Общее правило - не знаем, не трогаем)

1)

Код: Выделить всё

/interface ethernet
set [ find default-name=ether1 ] mac-address=C8:3A:35:00:4B:88

Уберите "чужой" МАК. Ростелеком не делает привязок по МАКу. НЕ занимайтесь отсебячиной.

2)

Код: Выделить всё

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 [b][size=150]max-mtu=1460[/size][/b] name=\
    pppoe-out1 password=password use-peer-dns=yes user=PPPOE-000001

Удалите рррое-out1 подключение и создайте новое, НЕ трогаем МТУ, (я с Камчатки, роутеров 12-15 стоят
микротиков на Ростелекоме), ТРОГАТЬ не надо,всё работает. Поэтому не трогаем, главное галочку
на против "use peer dns" ставим, тем самым придут DNS'ы от Ростелекома (новые), и они у Вас
автоматически будут видны (серым, без права редактирования) в закладке IP - DNS

3)

Код: Выделить всё

/ip address
add address=199.124.150.235/24 interface=ether2 network=199.124.150.0

Я уже устал говорить, адрес роутера ставят (задают) НА бридже, а не на порту.
В этом скорее 85% проблем Ваших.
Перенесите адрес на бридж, и всё будет хорошо.

4)

Код: Выделить всё

/ip dns
set servers=85.28.195.130

Данный ДНС сервер, как и 195.129 почти вышли из обслуживания. Их использование
скорее всего уже точно не рекомендуется.
(усложняете себе жизнь, нет чтобы использовать подключение, как положено,просто и автоматом,
делаете всё через очень сложно и тернистые поля).

5)

Код: Выделить всё

/ip firewall mangle
[b][size=150]add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn \
    tcp-mss=1453-65535[/size][/b]

УДАЛИТЬ. (повторюсь - не знаем, не трогаем, не меняем логику).

6)

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=\
    199.124.150.234

Во-первых, маскарайдинг лучше сделать ниже пробросов, согласно таблице прохождения
пакетов внутри роутера, dst обрабатывается быстрее, чем маскарайдин
Во-вторых, временно уберите интерфейс WAN, просто оставьте вот так:

Код: Выделить всё

add action=masquerade chain=srcnat

Перед постом прочитал несколько статей, где советовали:

Плохо и мало читали.

Я с Вами в одном часовом поясе и в одном городе.
Напишите в ЛС, помогу, покажу. НО не надо городить огород.


P.S.
Для MaxoDroid:
Я тоже ether1 выделяю лист WAN, ибо там бегает всякое, я боюсь,
поэтому порт1 привязать к внешнем правилам логично.
Единственно что, я делаю так:
порт привязываю к ls1-WANs-ALL (где могут быть другие порты, другие DMZ порты)
и делаю второй WAN список, ls1-WAN1 где привязан только один рррое интерфейс (ибо
он точно имеет адрес). И уже его использую в файрволле.

[Arsonist95]

Уберите "чужой" МАК. Ростелеком не делает привязок по МАКу. НЕ занимайтесь отсебячиной.

Понял, уберу. Этот шаг был скорее из безысходности

Удалите рррое-out1 подключение и создайте новое, НЕ трогаем МТУ

Сделаю

Я уже устал говорить, адрес роутера ставят (задают) НА бридже, а не на порту.

Тут мой косяк, хотя при настройке, я ОСОЗНАННО задавал адрес бриджу Видимо где-то прозевал

Данный ДНС сервер, как и 195.129 почти вышли из обслуживания

Вот это не знал, сделаю через "use peer dns", как Вы сказали

УДАЛИТЬ. (повторюсь - не знаем, не трогаем, не меняем логику).

Еще один шаг, в надежде все быстро починить, уберу

Во-первых, маскарайдинг лучше сделать ниже пробросов, согласно таблице прохождения
пакетов внутри роутера, dst обрабатывается быстрее, чем маскарайдин
Во-вторых, временно уберите интерфейс WAN, просто оставьте вот так:

Понял, опять же сделаю

Я с Вами в одном часовом поясе и в одном городе.
Напишите в ЛС, помогу, покажу. НО не надо городить огород.

За это отдельное спасибо. Попав на этот форум, понял как тесен мир

[Arsonist95]

Что бросилось в глаза.
1. зачем в интерфейс лист WAN Вы включили ethre1?
/interface list member
add interface=ether1 list=WAN - уберите его. Он там не к стати.
2. DNS. Вы поставили set servers=85.28.195.130 адрес Ростелекома. Вы точно уверены, что Ростелеком обладает хорошим сервисом поиска имен?
3. В Вашем роутере не включено кэширование DNS. Также нет DHCP.
нет строчки типа
/ip dhcp-server network
add address=199.124.150.0/24 dns-server=199.124.150.235 gateway=199.124.150.235

1. Настройку PPPOE делал через quick set
2. Пользовался просто старыми наработками, которые остались от прошлого админа
3. Кэширование DNS? Нашел эту тему: viewtopic.php?t=8723 и почитаю еще
3.1 Нет DHCP потому что адреса в сети статические. Потому его и не настраивал

Спасибо за ответ

[Ca6ko]

Настройку PPPOE делал через quick set

Вот это главная ошибка. quick set у Микротика одноразовый, им можно пользоваться только при первичной настройке.
Потому как основная особенность интерфейса Микротика- поставить галочку, а затем снять не всегда возвращает устройство в первоначальное состояние.
Поэтому в Вашем случае очень рекомендуется выгрузить конфиг, сбросить устройство в завод и настроить заново по конфигу.
И тогда с некоторыми проблемами даже не столкнетесь