IPoE TCP MSS

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
Pech0rin
Сообщения: 14
Зарегистрирован: 31 дек 2019, 02:35
Откуда: Краснодар

Добрый день.
Оператор Билайн перевел подключение с L2TP на IPoE.
После перехода столкнулся с такой проблемой - не работает Skype. Подключаться - подключается, но сообщения не принимаются и не отправляются, как на мобильном устройстве, так и на стационарном ПК. Соответственно, если на мобильном устройстве переключиться на мобильный интернет - все работает.
При подключении L2TP использовался профиль с

Код: Выделить всё

change-tcp-mss=yes
без этого проблемы со скайпом были такими же.
Как в условиях текущего подключения можно заставить работать?
Настройки моста

Код: Выделить всё

# apr/19/2020 17:58:55 by RouterOS 6.46.5
#
# model = RBD52G-5HacD2HnD
/interface bridge
add admin-mac=**:**:**:**:**:** arp=proxy-arp auto-mac=no name=bridge1-LAN protocol-mode=none
add admin-mac=**:**:**:**:**:** auto-mac=no mtu=1460 name=bridge2-WAN protocol-mode=none
add name=bridge3-WiFi
/interface bridge port
add bridge=bridge2-WAN interface=ether1
add bridge=bridge2-WAN interface=ether2
add bridge=bridge1-LAN interface=ether3
add bridge=bridge1-LAN interface=ether4
add bridge=bridge1-LAN interface=ether5
add bridge=bridge1-LAN interface=wlan2
add bridge=bridge3-WiFi interface=wlan1
ether1 - вход от провайдера
ether2 - приставка Beeline TV

mtu=1460 - это уже провайдер сообщил
как теперь выставить TCP MSS, про микротик с IPoE вообще что-то мало информации


Аппарат RBD52G-5HACD2HND-TC

Может быть, я и левша, но я всегда прав!
Вернуться к началу
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:
Контактная информация пользователя Vlad-2

1) а чего Вы конфиг сократили?

2) если у Вас два порта в бридже WAN, то кто получает адрес от провайдера?
2.1) по идеи у Вас в DHCP Client надо/должен быть прописать bridge-WAN

3) так как конфига нету, мало что понятно, но и правила НАТ надо изменить
и они уже должны быть что НАТ делается от того интерфейса, где адрес провайдера,
то есть от bridge-WAN

4) Вы в курсе, что если Вы работая по технологии IPoE и с Билайном (и это читал лишь),
если Вы резко меняете провод провайдера (то в комп, то в роутер), то без авторизации
ничего работать не будет.
То есть (на сколько я слышал и знаю), провайдер лимитирует, позволяет выйти в их
сеть, и пройдя авторизацию, в этот момент в биллинг записывается текущий МАК
порта и с него полный Интернет и начинает работать.
Да, по Вашему конфигу я вижу, что Вы МАК явно задавали, но всё равно...вдруг сработал лимит?

5) И что сам провайдер говорит по части скайпа и его неработоспособности ?
5.1) если подключить комп напрямую, пройти авторизацию - скайп будет работать ? (без роутера)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Вернуться к началу
Erik_U
Сообщения: 1776
Зарегистрирован: 09 июл 2014, 12:33

Читал, что skype чувствителен к проблемам с MTU.
Посмотрите внимательно. Может стоит уменьшить MTU на IPoE интерфейсе.
Если у вас 2 порта в бридж собраны, вы MTU на бридже установите.


Вернуться к началу
Аватара пользователя
Pech0rin
Сообщения: 14
Зарегистрирован: 31 дек 2019, 02:35
Откуда: Краснодар

Vlad-2 писал(а): 19 апр 2020, 18:52 1) а чего Вы конфиг сократили?

2) если у Вас два порта в бридже WAN, то кто получает адрес от провайдера?
2.1) по идеи у Вас в DHCP Client надо/должен быть прописать bridge-WAN

3) так как конфига нету, мало что понятно, но и правила НАТ надо изменить
и они уже должны быть что НАТ делается от того интерфейса, где адрес провайдера,
то есть от bridge-WAN

4) Вы в курсе, что если Вы работая по технологии IPoE и с Билайном (и это читал лишь),
если Вы резко меняете провод провайдера (то в комп, то в роутер), то без авторизации
ничего работать не будет.
То есть (на сколько я слышал и знаю), провайдер лимитирует, позволяет выйти в их
сеть, и пройдя авторизацию, в этот момент в биллинг записывается текущий МАК
порта и с него полный Интернет и начинает работать.
Да, по Вашему конфигу я вижу, что Вы МАК явно задавали, но всё равно...вдруг сработал лимит?

5) И что сам провайдер говорит по части скайпа и его неработоспособности ?
5.1) если подключить комп напрямую, пройти авторизацию - скайп будет работать ? (без роутера)
1. хотел показать как сеть устроена. почти весь конфиг тут
 

Код: Выделить всё

# apr/19/2020 23:47:16 by RouterOS 6.46.5
#
# model = RBD52G-5HacD2HnD
/interface bridge
add admin-mac=**:**:**:**:**:** arp=proxy-arp auto-mac=no name=bridge1-LAN \
    protocol-mode=none
add admin-mac=**:**:**:**:**:** auto-mac=no mtu=1460 name=bridge2-WAN \
    protocol-mode=none
add name=bridge3-WiFi
/interface list
add name=LAN
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=WiFi2_4 supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=WiFi5 supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
    frequency=auto mode=ap-bridge security-profile=WiFi2_4 ssid=MyTbIRNET \
    tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-XXXX \
    country=russia3 disabled=no frequency=auto mode=ap-bridge \
    security-profile=WiFi5 ssid=MyTbIRNET_5G tx-power-mode=all-rates-fixed \
    wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm
/ip pool
add name=dhcp_LAN ranges=192.168.10.2-192.168.10.20
add name=dhcp_WiFI ranges=192.168.11.2-192.168.11.20
add name=dhcp_VPN ranges=192.168.10.40-192.168.10.80
/ip dhcp-server
add address-pool=dhcp_LAN disabled=no interface=bridge1-LAN name=dhcp1-LAN
add address-pool=dhcp_WiFI disabled=no interface=bridge3-WiFi name=dhcp2_WiFi
/ppp profile
add change-tcp-mss=yes local-address=192.168.10.1 name=NotebookVPN \
    remote-address=dhcp_LAN
add change-tcp-mss=yes name=KMIAC-Profile use-encryption=yes
/interface pptp-client
add allow=mschap2 comment=KMIAC connect-to=*.*.*.* disabled=no name=\
    pptp-KMIAC profile=KMIAC-Profile user=userVPN4
/interface bridge port
add bridge=bridge2-WAN interface=ether1
add bridge=bridge2-WAN interface=ether2
add bridge=bridge1-LAN interface=ether3
add bridge=bridge1-LAN interface=ether4
add bridge=bridge1-LAN interface=ether5
add bridge=bridge1-LAN interface=wlan2
add bridge=bridge3-WiFi interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap2 default-profile=NotebookVPN enabled=yes use-ipsec=\
    yes
/interface list member
add interface=bridge1-LAN list=LAN
add interface=bridge2-WAN list=WAN
/ip address
add address=192.168.10.1/24 interface=bridge1-LAN network=192.168.10.0
add address=192.168.11.1/24 interface=bridge3-WiFi network=192.168.11.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add default-route-distance=10 dhcp-options=clientid,hostname disabled=no \
    interface=bridge2-WAN
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.11.0/24 gateway=192.168.11.1
/ip dns
set allow-remote-requests=yes servers=192.168.10.1,8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.10.0/24 list=LocalNet
add address=192.168.1.0/24 list=VPNKmiac
add address=10.0.0.0/8 list=VPNKmiac
/ip firewall filter
add action=add-src-to-address-list address-list="DNS Flood" \
    address-list-timeout=6h chain=input dst-port=53 in-interface-list=WAN \
    protocol=udp
add action=drop chain=input dst-port=53 protocol=udp src-address-list=\
    "DNS Flood"
add action=accept chain=forward comment=\
    "1.1. Forward and Input Established and Related connections" \
    connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list="DDOS BlackList" \
    address-list-timeout=1d chain=input comment=\
    "1.2. DDoS Protect - Connection Limit" connection-limit=100,32 \
    in-interface-list=WAN protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list="DDOS BlackList"
add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="1.4. Protected - Ports Scanners" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input in-interface-list=WAN \
    protocol=tcp psd=21,3s,3,1
add action=accept chain=input comment=VPN dst-port=1701,500,4500 \
    in-interface-list=WAN protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=WinBox dst-port=1891 in-interface-list=\
    WAN protocol=tcp
add action=accept chain=input comment="1.8. Access Normal Ping" icmp-options=\
    0:8 in-interface-list=WAN limit=50/5s,2:packet packet-size=100 protocol=\
    icmp
add action=drop chain=input comment="1.9. Drop All Other" in-interface-list=\
    WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge2-WAN src-address=\
    192.168.10.0/24
add action=masquerade chain=srcnat out-interface=bridge2-WAN src-address=\
    192.168.11.0/24
add action=masquerade chain=srcnat comment=KMIAC dst-address-list=VPNKmiac \
    out-interface=pptp-KMIAC src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment=MIAC dst-address-list=VPNKmiac \
    out-interface=pptp-KMIAC src-address=10.0.0.0/8
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=WAN \
    protocol=udp
/ip route
add distance=2 dst-address=10.0.0.0/8 gateway=13.0.0.1
add distance=2 dst-address=13.0.0.0/8 gateway=13.0.0.1
add distance=2 dst-address=192.168.1.0/24 gateway=13.0.0.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.10.0/24 port=1891
set api-ssl disabled=yes
/ip upnp interfaces
add interface=bridge2-WAN type=external
add interface=bridge1-LAN type=internal
/tool mac-server
set allowed-interface-list=LAN
2. Так и есть DHCP клиент висит на бридже. у билайна для приставки там своя авторизация идет, я включил из в мост со входом, чтобы не мешать работать.

3. Правила NAT я делал не с интерфейсами, а интерфейсными листами(кроме рабочего ВПН), чтобы в случае чего немного подправить, не лезть везде и всюду.

4. да, я был удивлен, когда в воскресенье вечером решил поработать, связи с раб.серверами нет, при входе в инет потребовалась веб авторизация. при этом с утра все было в порядке.
5. провайдер говорит, что микротики они не знают, настроек под них нет, но зато любезно сообщили используемый размер пакета MTU. повесил на WAN мост.

Вот еще мысли, может скайп пустить чрез рабочий ВПН?


Аппарат RBD52G-5HACD2HND-TC

Может быть, я и левша, но я всегда прав!
Вернуться к началу
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:
Контактная информация пользователя Vlad-2

а) то что Вы НАТ описали адрес-листами интерфейсов, правильно и похвально,
но факт остаётся фактом, за адрес-листом то стоит явный интерфейс,
поэтому я на всякий случай и сказал как должно быть.

б) попробуйте всё же способ как я советовал - чисто через компьютер.
То есть сделать всё правильно: подключить комп к провайдеру,
пройти авторизацию, убедиться что всё работает (сайты, ютуб и так далее)
и уже запустить скайп и посмотреть что да как.
Если и тут не будет работать, можно создавать претензию провайдеру,
так как роутера нет, и тут никак они не могут что-то возразить.
Если без роутера на компе не работает скайп - вина провайдера явно прослеживается.
(надеюсь что скайп у Вас последней или предпоследней версии, а не год и не двух годовалый).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Вернуться к началу
easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

С фильтрацией icmp разберитесь.


Вернуться к началу
Аватара пользователя
Pech0rin
Сообщения: 14
Зарегистрирован: 31 дек 2019, 02:35
Откуда: Краснодар

Vlad-2 писал(а): 20 апр 2020, 05:10 попробуйте всё же способ как я советовал - чисто через компьютер.
Как выяснилось опытным путем, что некоторое время после перезагрузки скайп работает через роутер, когда прописал MTU, но на след.день ситуация повторилась - не принимает и не отправляет сообщения, при этом говорит, что подключен. На длительное время провод воткнуть в комп - меня родные четвертуют. И так сидят в 4 стенах, еще и без ТВ с инетом оставить.
easyman писал(а): 21 апр 2020, 12:20 С фильтрацией icmp разберитесь.
можно тут чуть подробнее?


Аппарат RBD52G-5HACD2HND-TC

Может быть, я и левша, но я всегда прав!
Вернуться к началу
easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

icmp разрешите.


Вернуться к началу
Erik_U
Сообщения: 1776
Зарегистрирован: 09 июл 2014, 12:33

попробуйте поставить скайп на телефон, и подключитесь через WiFi на том же микротике.

И тут почитайте.

https://answers.microsoft.com/ru-ru/sky ... d414c9c1ad


Вернуться к началу
Аватара пользователя
Pech0rin
Сообщения: 14
Зарегистрирован: 31 дек 2019, 02:35
Откуда: Краснодар

easyman писал(а): 21 апр 2020, 16:18 icmp разрешите.
так он разрешен же

Код: Выделить всё

add action=accept chain=input comment="1.8. Access Normal Ping" icmp-options=0:8 in-interface-list=WAN limit=50/5s,2:packet packet-size=100 protocol=icmp
Erik_U писал(а): 21 апр 2020, 16:18 попробуйте поставить скайп на телефон, и подключитесь через WiFi на том же микротике.
естественно все установлено и не работает.
насчет host файла мысль, но там только рабочие IP указаны.
Обновления системы большая редкость, т.к. версия LTSB.


Аппарат RBD52G-5HACD2HND-TC

Может быть, я и левша, но я всегда прав!
Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»