через mikrotik неоткрываются некоторые сайты

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 30 июл 2020, 15:35
Alex_2019 писал(а): 30 июл 2020, 15:25 Отличия в том, что при подключении через микротик появляется первый DNS 192.168.88.1
Это нормально.
Главное при этом сам микротик использует те же провайдерские сервера, что и комп при подключении напрямую?
Или в микротике руками вбиты какие-то другие?
Микротик использует те же самые DNS что и провайдер (они высвечиваются во второй и третьей строках при подключении через микротик).
Пробовал добавлять 8.8.8.8 и 8.8.4.4 - ни лучше, ни хуже не стало. Сайты, которые открывались при подключении через микротик, продолжали открываться, а типа яндекса как не открывались, так и не открываются.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Попробуйте ещё разок вот так с MSS в мангле пошаманить:

Код: Выделить всё

/ip firewall mangle add chain=postrouting action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface-list=WAN


Telegram: @thexvo
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 30 июл 2020, 17:42 Попробуйте ещё разок вот так с MSS в мангле пошаманить:

Код: Выделить всё

/ip firewall mangle add chain=postrouting action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface-list=WAN
Огромное спасибо за совет! Ранее нигде не всречал такой идеи.
Попробовал реализовать её. К сожалению, yandex.ru так и не открылся.

Я пытаюсь сделать "постоянный костыль" в виде sstp соединения с питерским микротиком с белым IP. Соединение поднял, роутинг до локальных ресурсов настроил. Но не получается корректно настроить роутинг, чтобы весь трафик гулял через тоннель до Питера, а главное возвращался обратно! Ищу подробную статью как это сделать.

У меня две сложности:
1. Когда 0.0.0.0/0 загоняю с дистансом 1 в sstp-туннель, мне кажется, что я могу потерять связь с самим провайдером. Но скорее всего это мне только кажется. Трассировка показывает, что я успешно пингую с ноута сервер яндекса через микротик (c серым IP) -туннель sstp - микротик (с белым IP) - яндекс
2 (основная сложность). На удаленном микротике (с белым IP) нужно что-то написать, чтобы трафик (с ответами сайтов) завернул в sstp-туннель.
Можете посоветовать статью на эту тему, либо ключевую фразу, по которой я найду в поисковиках ответ на этот вопрос?
Последний раз редактировалось Alex_2019 30 июл 2020, 20:10, всего редактировалось 2 раза.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну в общем можете конечно конфиг приложить, но сомневаюсь, что там что-то такое обнаружится, что именно яндексу мешает.

Ещё предположение, что может провайдер как-то с ttl химичит, тоже можно попробовать манглом его увеличивать.


Telegram: @thexvo
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 30 июл 2020, 20:09 Ну в общем можете конечно конфиг приложить, но сомневаюсь, что там что-то такое обнаружится, что именно яндексу мешает.

Ещё предположение, что может провайдер как-то с ttl химичит, тоже можно попробовать манглом его увеличивать.
Сегодня рано утром продолжил настраивать микротик в Крыму через провайдера "АМОС", у меня без поднятия VPN соединений утром не открывалось много сайтов. В 12 дня вдруг все сайты при соединении через Микротик стали открываться! Ничего не делал на Микротике в этот промежуток времени, посмотрел логи, никаких перезагрузок или необычных изменений не было.

Позвонил провайдеру Амос - они вроде тоже ничего не делали со слов одного из сотрудников техподдержки.
Такое ощущение, что проблема могла быть на уровне владельца каналов связи "Миранда-медиа".

Всем спасибо за помощь!

P.S. К сожалению, я так и не разобрался как мне засовывать трафик с интернет-браузеров ноутбуков и смартфонов (всех клиентов крымского Микротика) в sstp туннель.
Если я в IP - Routes пишу правило 0.0.0.0/0 в гейтвей sstp туннеля, то перестают работать вообще все настроенные маршруты. Что-то я недопонимаю простого но важного.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Alex_2019 писал(а): 31 июл 2020, 12:37 Такое ощущение, что проблема могла быть на уровне владельца каналов связи "Миранда-медиа".
Очень может быть.
Alex_2019 писал(а): 31 июл 2020, 12:37 Всем спасибо за помощь!
Не за что, обращайтесь.
Alex_2019 писал(а): 31 июл 2020, 12:37 Если я в IP - Routes пишу правило 0.0.0.0/0 в гейтвей sstp туннеля, то перестают работать вообще все настроенные маршруты. Что-то я недопонимаю простого но важного.
Гейтвей указываете именно в виде адреса, не интерфейса?

На обратной стороне, на микротике который в Питере, надо тоже указать маршрут до подсети вашего крымского микротика через адрес, который он (крымский микротик) по sstp получает.


Telegram: @thexvo
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 31 июл 2020, 12:49
Alex_2019 писал(а): 31 июл 2020, 12:37 Если я в IP - Routes пишу правило 0.0.0.0/0 в гейтвей sstp туннеля, то перестают работать вообще все настроенные маршруты. Что-то я недопонимаю простого но важного.
Гейтвей указываете именно в виде адреса, не интерфейса?

На обратной стороне, на микротике который в Питере, надо тоже указать маршрут до подсети вашего крымского микротика через адрес, который он (крымский микротик) по sstp получает.
Гейтвей на крымском микротике указываю именно в виде IP адреса внури sstp ТУННЕЛЯ на стороне питерского микротика 172.16.30.1 .
А на питерском в виде аналогично, но ip внутри туннеля на стороне крымского микротика 172.16.30.2 .

Сети 172.16.хх.1 или .2 я использую только внутри туннелей. На крымском микротике подсеть 192.168.88.0/24
на питерском 192.168.74.0/24

К питерскому микотику подключены другие микротики с двузначной или трехзначной нумерацией в третьем октете. Когда подключаюсь в питере, то трафик нормально гуляет по подсетям, соединенным разными туннелями.
Когда я отправляю трафик с крыма в те подсети, то обратно не возвращаются пакеты.

Где то я туплю... Не понимаю, видимо, как на уровне питерского микротика сделать так, чтобы трафик который приходит из sstp-туннеля правильно раскидывался по разным интерфейсам (у меня там несколько разных подсетей + туннели + выход в интернет с белым IP). Пока в Питере подключен напрямую проводом или по вай-фай - всё прекрасно ходит.
DUDE сервер поднят и показывает всё красиво.

UPD: сравнил что пишет https://ipinfo.io/ относительно моего IP
Когда сайты частично не грузились моё место определялось как Нью-Йорк, США (!), а теперь я якобы в Москве, зато сайты и российские и зарубежные грузятся без проблем.
Последний раз редактировалось Alex_2019 31 июл 2020, 14:25, всего редактировалось 1 раз.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Очевидно, там в какой-то ерунде затык: туннель где-нибудь не добавлен в нужный interface-list и сбрасывается firewall'ом, что-то такое вот.
Потому что концептуально все правильно.


Telegram: @thexvo
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 31 июл 2020, 14:09 Очевидно, там в какой-то ерунде затык: туннель где-нибудь не добавлен в нужный interface-list и сбрасывается firewall'ом, что-то такое вот.
Потому что концептуально все правильно.
Огромное спасибо за правильный совет!
На питерском Микротике у меня настроены интерфейс-листы, в том числе для части VPN-туннелей. В пследствии я добавлял туннели, решал конкретные задачи, а про меню interface-list совершенно забыл, и sstp-соединения не вносил в него.

Плюс, наверное, правильная статья эта, я ее раньше читал и настраивал по ней, нужно освежить в голове материал.
https://gregory-gost.ru/sozdanie-domash ... shlyuzami/
Создание домашней сети на базе устройств MikroTik: Часть 7 – Firewall правильное перенаправление портов в сети с двумя шлюзами

P.S. На sstp я подсел из-за того, что некоторые микротики стоят в глубинке Северо-Западного региона, подключение через USB-модем, сим-карта Мегафон. Так вот Мегафон с апреля 2020 года работает отвратительно! По pptp задержки были 600-3000(!)мс Потом Мегафон заменил оборудование, пинги стали приемлемыми (сотни мс), но новое DPI оборудование регулярно делает перерывы в передаче данных по pptp ! Долго тестировал и однозначно понял, что Мегафон просто режет pptp, но никогда не признается в этом. Более-менее pptp на Мегафоновских линиях в тех краях работает с 2 ночи до 6-7 утра. Основная проблема в том, что между примерно 5 базовыми станциями по пути трафика к питеру используются радиоканалы, которые просто забиты. Иногда путь до Питера составлял вместо 7 хопов все 14, трафик направляли по длинному маршруту в период, когда меняли оборудование на коротком маршруте.
sstp на этих каналах работает гораздо стабильнее, хотя бы можно подключиться Winbox`ом к микротику.

Upd. 2-8-2020:
1. неполное прохождение трафика через sstp туннели было связано также с тем, что забыл маскарадинг прописать на некоторые туннели.
2. DUDE-серверу (стоит в Питере) не удавалось соединиться с крымским микротиком по sstp туннелю, т.к. мешало включенное правило Дропать Инвалидный Форвард! Не понимаю причину, но на остальных микротиках столкнулся ранее с тем же, поэтому и там вынужден был отключить эти строчки в файрволе.
Последний раз редактировалось Alex_2019 02 авг 2020, 09:28, всего редактировалось 2 раза.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Alex_2019 писал(а): 31 июл 2020, 22:09 Огромное спасибо за правильный совет!
На питерском Микротике у меня настроены интерфейс-листы, в том числе для части VPN-туннелей. В пследствии я добавлял туннели, решал конкретные задачи, а про меню interface-list совершенно забыл, и sstp-соединения не вносил в него.
Не за что :)
Сам бывает иногда забываю.

Кстати, если VPN-клиентов много, то проще не прибивать для них руками интерфейсы, потом интерфейсы в списки и т.д., а просто задать в профиле (или нескольких профилях), в какой список их добавлять, и все.
Но с туннелями, как-то всегда думаешь: ну их же не много, и подняты всегда, лучше создам статический binding, а потом вот вылезает, что где-то что-то забыл :)
Alex_2019 писал(а): 31 июл 2020, 22:09 P.S. На sstp я подсел из-за того, что некоторые микротики стоят в глубинке Северо-Западного региона, подключение через USB-модем, сим-карта Мегафон. Так вот Мегафон с апреля 2020 года работает отправительно! По pptp задержки были 600-3000(!)мс Потом Мегафон заменил оборудование, пинги стали приемлемыми (сотни мс), но новое DPI оборудование регулярно делает перерывы в передаче данных по pptp ! Долго тестировал и однозначно понял, что Мегафон просто режет pptp, но никогда не признается в этом. Более-менее pptp на Мегафоновских линиях в тех краях работает с 2 ночи до 6-7 утра. Основная проблема в том, что между примерно 5 базовыми станциями по пути трафика к питеру используются радиоканалы, которые просто забиты. Иногда путь до Питера составлял вместо 7 хопов все 14, трафик направляли по длинному маршруту в период, когда меняли оборудование на коротком маршруте.
sstp на этих каналах работает гораздо стабильнее, хотя бы можно подключиться Winbox`ом к микротику.
Интересный опыт, спасибо.


Telegram: @thexvo
Ответить