и опять микротик не пропускает отдельные сайты

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Pcrepair
Сообщения: 6
Зарегистрирован: 22 фев 2017, 17:30

Добрый день. есть следующая ситуация :
- микротик 2011
- отключены УЖЕ все правила в файрволе
- большинство сайтов открывается в том числе по https
- такие сайты habrahabr toster sysadmin (http - https) почемуто не открывются, хотя видно что браузер(всякие) подключается к сайту но ничего не получает
- ping на сайты по имени домена проходит, но : если задать команду (ping -f -l 1492 имя сайта) то нужно уменьшать 1492 на выше перечисленных сайтах иногда до 1360 чтобы пинг прошел. если в РРР(interface) уменьшить MAX MTU(MRU) до выше названных значений все равно сайты не грузятся
- и тут засада : если переключить все взад на ДЛИНК-615 то никаких проблем НЕТ! значит провайдЫр(билайн) тут совершенно не причем.

Вопрос : где еще копать?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Копать надо не только в глубь, но и в ширь! ;;-)))

Вы описали проблему, а где выкладка?
Конфиг роутера?/версия прошивки?, как соединяетесь(рррое/статик?), какие значения МТУ стоят и/или дефолтные, МТУ меняли/меняется?
При подключении Вашего другого роутера, какой МТУ получается при тестировании командой пинг?
Больше данных...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Pcrepair
Сообщения: 6
Зарегистрирован: 22 фев 2017, 17:30

вот и конфиг,
используется L2PT beeline
интерфейс ВАН РРРоЕ не используется, включил два правила "запретить все и всем" + "разрешить все и всем из группы ФУУЛ" впрочем ничего не поменялось

Код: Выделить всё

/export compact
# feb/24/2017 10:51:38 by RouterOS 6.35.1
# software id = TJYX-SUFJ
#
/interface ethernet
set [ find default-name=ether6 ] name=ether6-LAN
set [ find default-name=ether9 ] name=ether9-PPPoE
set [ find default-name=ether10 ] name=ether10-L2TP
/interface pppoe-client
add add-default-route=yes allow=mschap2 interface=ether9-PPPoE name=TELEMAX-pppoe password=hgghghgv user=kjnkjnkjnkjn
/ip pool
add name=dhcp_pool1 ranges=192.168.0.1,192.168.0.20-192.168.0.30
add name=dhcp_pool2 ranges=192.168.0.160-192.168.0.165
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=ether6-LAN name=dhcp1
/ppp profile
add name=L2TP_profile remote-address=192.168.255.254 use-compression=no use-encryption=no
/interface l2tp-client
add add-default-route=yes allow=mschap1 connect-to=tp.internet.beeline.ru disabled=no max-mru=1420 max-mtu=1420 mrru=1600 name=BEEline-L2tp password=kkknklnkl profile=\
    L2TP_profile user=klkkllkmlk
/ip address
add address=192.168.0.1/24 interface=ether6-LAN network=192.168.0.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether10-L2TP
add default-route-distance=0 dhcp-options=hostname,clientid interface=ether9-PPPoE
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8,77.88.8.1
/ip firewall address-list
add address=192.168.0.3 comment=MainPC list=Full
add address=192.168.0.10 comment=TorrentPC list=Limited
add address=192.168.0.2 comment="LocalPC #1" list=Restricted
add address=192.168.0.21 comment="LocalPC #2" list=Restricted
add address=192.168.0.4 comment="LocalPC #3" list=Restricted
/ip firewall filter
add chain=forward comment="Allow RDP for group Restricted (out)" disabled=yes dst-port=3389 protocol=tcp src-address-list=Restricted
add chain=forward comment="Allow RDP for group Restricted (in)" disabled=yes dst-address-list=Restricted protocol=tcp src-port=3389
add chain=forward comment="Allow Z for group Limited (out)" disabled=yes dst-port=21,80,443,3389,25,110,995,465,5000-65000 protocol=tcp src-address-list=Limited
add chain=forward comment="Allow Z for group Limited (in)" disabled=yes dst-address-list=Limited protocol=tcp src-port=21,80,443,3389,25,110,995,465,5000-65000
add chain=forward comment="Allow ALL for group Full (in)" dst-address-list=Full protocol=tcp src-port=0-65000
add chain=forward comment="Allow ALL for group Full (out)" dst-port=0-65000 protocol=tcp src-address-list=Full
add chain=input comment="Allow DNS request" disabled=yes in-interface=ether10-L2TP protocol=udp src-port=53
add chain=input comment="Allow DNS request" disabled=yes in-interface=ether9-PPPoE protocol=udp src-port=53
add action=drop chain=input comment="Drop DNS from !ether6-LAN" disabled=yes dst-port=53 in-interface=!ether6-LAN protocol=udp
add action=drop chain=input disabled=yes in-interface=TELEMAX-pppoe
add action=drop chain=input disabled=yes in-interface=BEEline-L2tp
add action=drop chain=forward comment="Restrict ALL for ALL" protocol=tcp src-address=192.168.0.0/24 src-port=0-65000
add action=drop chain=input disabled=yes dst-port=53 in-interface=ether10-L2TP protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10-L2TP src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=BEEline-L2tp src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether9-PPPoE src-address=192.168.0.0/24
# TELEMAX-pppoe not ready
add action=masquerade chain=srcnat out-interface=TELEMAX-pppoe src-address=192.168.0.0/24
/ip route
add distance=1 dst-address=194.186.70.218/32 gateway=10.4.184.1
add distance=1 dst-address=194.186.70.222/32 gateway=10.4.184.1
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set protected-routerboot=disabled


Pcrepair
Сообщения: 6
Зарегистрирован: 22 фев 2017, 17:30

Vlad-2 писал(а):Конфиг роутера?/версия прошивки?, как соединяетесь(рррое/статик?), какие значения МТУ стоят и/или дефолтные, МТУ меняли/меняется?
При подключении Вашего другого роутера, какой МТУ получается при тестировании командой пинг?
Больше данных...


MTU - сейчас дефолт 1420, но уменьшал, ничего не дало
тестировать пингом ping -f -l 1492 на 615 все прходило


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну:
1) давайте обновимся хотя бы до 6.37.4 или даже 6.38.3, а то Ваша текущая версия (RouterOS 6.35.1) уж через чур стара (Винбокс тоже, имейте ввиду надо обновить).
2) У Вас в настройках файрволла, в закладке Мангл есть два динамических правила, которые регулируют MSS размер? (не удалили случайно?)
3) С Билайном по его L2TP вплотную не работал, но уточнить хотел - Вы настраивали подключения по какому то точному мануалу или сами?
просто там много своих подводных камней!?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Pcrepair
Сообщения: 6
Зарегистрирован: 22 фев 2017, 17:30

System -> Routerboard -> Upgrade ? оно спрашивает, обновить и после ДА-ДА-ДА ничего не происходит. все равно перезагружаю и все равно 6.35.1
что бы это значило?

а если
«System» => «Packages» => кнопка «Check For Updates». то все равно еррор канекшин тайм аут - не может подключится почемуто

есть у меня файл routeros-mipsbe-6.38.1.npk но не уверен (был тут уже косячок с поделкой одной конторки когда после апгрейда стало только хуже а взад уже было не вернуть)

ВЫньБокс3.9 - новее некуда?

в закладке Мангл - пусто. как все и советуют, для начала полностью сбросил конфиг. а что там должно быть?

былайн настраивал по бесплатным советам с разных форумов(просто читал), там все булыжнички описаны, и вроде все работает, но... отдельные косяки


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Pcrepair писал(а):System -> Routerboard -> Upgrade ? оно спрашивает, обновить и после ДА-ДА-ДА ничего не происходит. все равно перезагружаю и все равно 6.35.1
что бы это значило?
а если
«System» => «Packages» => кнопка «Check For Updates». то все равно еррор канекшин тайм аут - не может подключится почемуто
есть у меня файл routeros-mipsbe-6.38.1.npk но не уверен (был тут уже косячок с поделкой одной конторки когда после апгрейда стало только хуже а взад уже было не вернуть)
ВЫньБокс3.9 - новее некуда?
в закладке Мангл - пусто. как все и советуют, для начала полностью сбросил конфиг. а что там должно быть?
былайн настраивал по бесплатным советам с разных форумов(просто читал), там все булыжнички описаны, и вроде все работает, но... отдельные косяки

Бардак у Вас, и с роутером и с пониманием.
1) если при нажатии кнопки Чек - ошибка, значит на самом роутере нет или прямого доступа к Интернету или перемудрили с настройками,
отсюда и всё остальное..в том числе и http(s). Проверить шлюз, ДНСы, настройка ДНСов в микротике (галка) и другое.
2) Роутер можно обновить скачав прошивку с Официального сайта выбрав вашу архитектуру, архитектура пишется в роутерборде окне.
3) Винбокс имеет встроенную кнопку обновить - нажимать не пробовали? Текущая версия винбокса 3.11
4) В закладке мангл есть два динамических правила которые оптимизируют стек для туннельных протоколов, вот они

Код: Выделить всё

сhain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1441-65535 
chain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1441-65535

5) После обновления на новую прошивку и перезагрузки, надо зайти в системс-роутерборд, проверить чтобы поле Каррент и Апгрейд были одинаковы,
если нет, нажать Апгрейд кнопку и снова ребут сделать, потом проверить снова.

ВЫ роутер вообще настроили ? основы изучили?...
Думаю что Билайн Вы не настроили корректно, а учесть что само подключение по протоколу Л2ТП у билайна не простое - ошибки уже видно по всему выше описанному Вами же.
Может быть подать заявку в Билайн и если Ваш район перешёл на EoIP, то попросить активировать для Вас эту услугу...(Л2ТП не нужен будет и настройки придут автоматом)
Или всё же убрать микротик и поработать на другом роутере и/или вызвать специалиста и до-настроить микротик.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Pcrepair
Сообщения: 6
Зарегистрирован: 22 фев 2017, 17:30

уже и 6.38.3 и 3.11
и мангл прописал
но нет, по прежнему тостер.ру и прочие не открываются

а доступ в интернет есть. к яндексу и прочим
пинг из термрнала роутера то же есть

роутер вообще Я настроил, но "мопед не мой", прибамбас для одной конторы нужОн, и там будет не Л2ПТ а РРРоЕ
только эта мысль, что на РРРоЕ не будет всех этих косяков, и утешает, хотя....

вообще некоторые сайты, в том числе этот, нужно несколько раз по Ф5 потыкать чтоб наконец то загрузилсо


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Pcrepair писал(а):уже и 6.38.3 и 3.11
и мангл прописал
но нет, по прежнему тостер.ру и прочие не открываются
а доступ в интернет есть. к яндексу и прочим
пинг из термрнала роутера то же есть
роутер вообще Я настроил, но "мопед не мой", прибамбас для одной конторы нужОн, и там будет не Л2ПТ а РРРоЕ
только эта мысль, что на РРРоЕ не будет всех этих косяков, и утешает, хотя....
вообще некоторые сайты, в том числе этот, нужно несколько раз по Ф5 потыкать чтоб наконец то загрузилсо

Отключаем всё в файрволле именно в закладке только ФиЛЬтрес!
Пробуем.
Нет, ....делаем бэкап кофига, очищаем роутер и с нуля на чистый роутер делаете только подключение (рррое или л2тп и только НАТ)
и снова проверяете, без всяких других моментов.
Второй момент (как говорят на курсах - "бест-практик") сделайте БРИДЖ (локальный он у нас будет), на бридже даёте адрес локальный роутера,
и уже в этот бридж подключаете локальные ether порт (порты). Да и DHCP-сервер работает на бридже очень хорошо.
Так же у Вас в конфиге заданы 2 пула адресов, зачем?

Если и после всех выше советов не работает, значит Вы где-то ошибаетесь, или копируете что-то то, что вредит.
Конфиг делается постепенно, от минимального до...и так потихоньку.
Файрволл (фильтрес) делаете уже на работающей схеме.
Аккуратно с лишними правилами. И особенно с теми,что всё режут, как это (и оно у Вас НЕ выключено)

Код: Выделить всё

add action=drop chain=forward comment="Restrict ALL for ALL" protocol=tcp src-address=192.168.0.0/24 src-port=0-65000

И не забывайте, что порядок правил тоже Важен!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Pcrepair
Сообщения: 6
Зарегистрирован: 22 фев 2017, 17:30

ну вот и все :

MTU менял на разные значения и TCP MSS (он должен быть на 40 байт меньше MTU)
IP->FireWall->Mangle Rule->New TCP MMS=1400
PPP->Interface(BEEline-L2TP) :
Max MTU=1440
Max MRU=1440
MRRU=

всего навсего


Ответить