Добрый день. есть следующая ситуация :
- микротик 2011
- отключены УЖЕ все правила в файрволе
- большинство сайтов открывается в том числе по https
- такие сайты habrahabr toster sysadmin (http - https) почемуто не открывются, хотя видно что браузер(всякие) подключается к сайту но ничего не получает
- ping на сайты по имени домена проходит, но : если задать команду (ping -f -l 1492 имя сайта) то нужно уменьшать 1492 на выше перечисленных сайтах иногда до 1360 чтобы пинг прошел. если в РРР(interface) уменьшить MAX MTU(MRU) до выше названных значений все равно сайты не грузятся
- и тут засада : если переключить все взад на ДЛИНК-615 то никаких проблем НЕТ! значит провайдЫр(билайн) тут совершенно не причем.
Вопрос : где еще копать?
и опять микротик не пропускает отдельные сайты
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Копать надо не только в глубь, но и в ширь!
Вы описали проблему, а где выкладка?
Конфиг роутера?/версия прошивки?, как соединяетесь(рррое/статик?), какие значения МТУ стоят и/или дефолтные, МТУ меняли/меняется?
При подключении Вашего другого роутера, какой МТУ получается при тестировании командой пинг?
Больше данных...
Вы описали проблему, а где выкладка?
Конфиг роутера?/версия прошивки?, как соединяетесь(рррое/статик?), какие значения МТУ стоят и/или дефолтные, МТУ меняли/меняется?
При подключении Вашего другого роутера, какой МТУ получается при тестировании командой пинг?
Больше данных...
-
- Сообщения: 6
- Зарегистрирован: 22 фев 2017, 17:30
вот и конфиг,
используется L2PT beeline
интерфейс ВАН РРРоЕ не используется, включил два правила "запретить все и всем" + "разрешить все и всем из группы ФУУЛ" впрочем ничего не поменялось
используется L2PT beeline
интерфейс ВАН РРРоЕ не используется, включил два правила "запретить все и всем" + "разрешить все и всем из группы ФУУЛ" впрочем ничего не поменялось
Код: Выделить всё
/export compact
# feb/24/2017 10:51:38 by RouterOS 6.35.1
# software id = TJYX-SUFJ
#
/interface ethernet
set [ find default-name=ether6 ] name=ether6-LAN
set [ find default-name=ether9 ] name=ether9-PPPoE
set [ find default-name=ether10 ] name=ether10-L2TP
/interface pppoe-client
add add-default-route=yes allow=mschap2 interface=ether9-PPPoE name=TELEMAX-pppoe password=hgghghgv user=kjnkjnkjnkjn
/ip pool
add name=dhcp_pool1 ranges=192.168.0.1,192.168.0.20-192.168.0.30
add name=dhcp_pool2 ranges=192.168.0.160-192.168.0.165
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=ether6-LAN name=dhcp1
/ppp profile
add name=L2TP_profile remote-address=192.168.255.254 use-compression=no use-encryption=no
/interface l2tp-client
add add-default-route=yes allow=mschap1 connect-to=tp.internet.beeline.ru disabled=no max-mru=1420 max-mtu=1420 mrru=1600 name=BEEline-L2tp password=kkknklnkl profile=\
L2TP_profile user=klkkllkmlk
/ip address
add address=192.168.0.1/24 interface=ether6-LAN network=192.168.0.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether10-L2TP
add default-route-distance=0 dhcp-options=hostname,clientid interface=ether9-PPPoE
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8,77.88.8.1
/ip firewall address-list
add address=192.168.0.3 comment=MainPC list=Full
add address=192.168.0.10 comment=TorrentPC list=Limited
add address=192.168.0.2 comment="LocalPC #1" list=Restricted
add address=192.168.0.21 comment="LocalPC #2" list=Restricted
add address=192.168.0.4 comment="LocalPC #3" list=Restricted
/ip firewall filter
add chain=forward comment="Allow RDP for group Restricted (out)" disabled=yes dst-port=3389 protocol=tcp src-address-list=Restricted
add chain=forward comment="Allow RDP for group Restricted (in)" disabled=yes dst-address-list=Restricted protocol=tcp src-port=3389
add chain=forward comment="Allow Z for group Limited (out)" disabled=yes dst-port=21,80,443,3389,25,110,995,465,5000-65000 protocol=tcp src-address-list=Limited
add chain=forward comment="Allow Z for group Limited (in)" disabled=yes dst-address-list=Limited protocol=tcp src-port=21,80,443,3389,25,110,995,465,5000-65000
add chain=forward comment="Allow ALL for group Full (in)" dst-address-list=Full protocol=tcp src-port=0-65000
add chain=forward comment="Allow ALL for group Full (out)" dst-port=0-65000 protocol=tcp src-address-list=Full
add chain=input comment="Allow DNS request" disabled=yes in-interface=ether10-L2TP protocol=udp src-port=53
add chain=input comment="Allow DNS request" disabled=yes in-interface=ether9-PPPoE protocol=udp src-port=53
add action=drop chain=input comment="Drop DNS from !ether6-LAN" disabled=yes dst-port=53 in-interface=!ether6-LAN protocol=udp
add action=drop chain=input disabled=yes in-interface=TELEMAX-pppoe
add action=drop chain=input disabled=yes in-interface=BEEline-L2tp
add action=drop chain=forward comment="Restrict ALL for ALL" protocol=tcp src-address=192.168.0.0/24 src-port=0-65000
add action=drop chain=input disabled=yes dst-port=53 in-interface=ether10-L2TP protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10-L2TP src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=BEEline-L2tp src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether9-PPPoE src-address=192.168.0.0/24
# TELEMAX-pppoe not ready
add action=masquerade chain=srcnat out-interface=TELEMAX-pppoe src-address=192.168.0.0/24
/ip route
add distance=1 dst-address=194.186.70.218/32 gateway=10.4.184.1
add distance=1 dst-address=194.186.70.222/32 gateway=10.4.184.1
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set protected-routerboot=disabled
-
- Сообщения: 6
- Зарегистрирован: 22 фев 2017, 17:30
Vlad-2 писал(а):Конфиг роутера?/версия прошивки?, как соединяетесь(рррое/статик?), какие значения МТУ стоят и/или дефолтные, МТУ меняли/меняется?
При подключении Вашего другого роутера, какой МТУ получается при тестировании командой пинг?
Больше данных...
MTU - сейчас дефолт 1420, но уменьшал, ничего не дало
тестировать пингом ping -f -l 1492 на 615 все прходило
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну:
1) давайте обновимся хотя бы до 6.37.4 или даже 6.38.3, а то Ваша текущая версия (RouterOS 6.35.1) уж через чур стара (Винбокс тоже, имейте ввиду надо обновить).
2) У Вас в настройках файрволла, в закладке Мангл есть два динамических правила, которые регулируют MSS размер? (не удалили случайно?)
3) С Билайном по его L2TP вплотную не работал, но уточнить хотел - Вы настраивали подключения по какому то точному мануалу или сами?
просто там много своих подводных камней!?
1) давайте обновимся хотя бы до 6.37.4 или даже 6.38.3, а то Ваша текущая версия (RouterOS 6.35.1) уж через чур стара (Винбокс тоже, имейте ввиду надо обновить).
2) У Вас в настройках файрволла, в закладке Мангл есть два динамических правила, которые регулируют MSS размер? (не удалили случайно?)
3) С Билайном по его L2TP вплотную не работал, но уточнить хотел - Вы настраивали подключения по какому то точному мануалу или сами?
просто там много своих подводных камней!?
-
- Сообщения: 6
- Зарегистрирован: 22 фев 2017, 17:30
System -> Routerboard -> Upgrade ? оно спрашивает, обновить и после ДА-ДА-ДА ничего не происходит. все равно перезагружаю и все равно 6.35.1
что бы это значило?
а если
«System» => «Packages» => кнопка «Check For Updates». то все равно еррор канекшин тайм аут - не может подключится почемуто
есть у меня файл routeros-mipsbe-6.38.1.npk но не уверен (был тут уже косячок с поделкой одной конторки когда после апгрейда стало только хуже а взад уже было не вернуть)
ВЫньБокс3.9 - новее некуда?
в закладке Мангл - пусто. как все и советуют, для начала полностью сбросил конфиг. а что там должно быть?
былайн настраивал по бесплатным советам с разных форумов(просто читал), там все булыжнички описаны, и вроде все работает, но... отдельные косяки
что бы это значило?
а если
«System» => «Packages» => кнопка «Check For Updates». то все равно еррор канекшин тайм аут - не может подключится почемуто
есть у меня файл routeros-mipsbe-6.38.1.npk но не уверен (был тут уже косячок с поделкой одной конторки когда после апгрейда стало только хуже а взад уже было не вернуть)
ВЫньБокс3.9 - новее некуда?
в закладке Мангл - пусто. как все и советуют, для начала полностью сбросил конфиг. а что там должно быть?
былайн настраивал по бесплатным советам с разных форумов(просто читал), там все булыжнички описаны, и вроде все работает, но... отдельные косяки
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Pcrepair писал(а):System -> Routerboard -> Upgrade ? оно спрашивает, обновить и после ДА-ДА-ДА ничего не происходит. все равно перезагружаю и все равно 6.35.1
что бы это значило?
а если
«System» => «Packages» => кнопка «Check For Updates». то все равно еррор канекшин тайм аут - не может подключится почемуто
есть у меня файл routeros-mipsbe-6.38.1.npk но не уверен (был тут уже косячок с поделкой одной конторки когда после апгрейда стало только хуже а взад уже было не вернуть)
ВЫньБокс3.9 - новее некуда?
в закладке Мангл - пусто. как все и советуют, для начала полностью сбросил конфиг. а что там должно быть?
былайн настраивал по бесплатным советам с разных форумов(просто читал), там все булыжнички описаны, и вроде все работает, но... отдельные косяки
Бардак у Вас, и с роутером и с пониманием.
1) если при нажатии кнопки Чек - ошибка, значит на самом роутере нет или прямого доступа к Интернету или перемудрили с настройками,
отсюда и всё остальное..в том числе и http(s). Проверить шлюз, ДНСы, настройка ДНСов в микротике (галка) и другое.
2) Роутер можно обновить скачав прошивку с Официального сайта выбрав вашу архитектуру, архитектура пишется в роутерборде окне.
3) Винбокс имеет встроенную кнопку обновить - нажимать не пробовали? Текущая версия винбокса 3.11
4) В закладке мангл есть два динамических правила которые оптимизируют стек для туннельных протоколов, вот они
Код: Выделить всё
сhain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1441-65535
chain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1441-65535
5) После обновления на новую прошивку и перезагрузки, надо зайти в системс-роутерборд, проверить чтобы поле Каррент и Апгрейд были одинаковы,
если нет, нажать Апгрейд кнопку и снова ребут сделать, потом проверить снова.
ВЫ роутер вообще настроили ? основы изучили?...
Думаю что Билайн Вы не настроили корректно, а учесть что само подключение по протоколу Л2ТП у билайна не простое - ошибки уже видно по всему выше описанному Вами же.
Может быть подать заявку в Билайн и если Ваш район перешёл на EoIP, то попросить активировать для Вас эту услугу...(Л2ТП не нужен будет и настройки придут автоматом)
Или всё же убрать микротик и поработать на другом роутере и/или вызвать специалиста и до-настроить микротик.
-
- Сообщения: 6
- Зарегистрирован: 22 фев 2017, 17:30
уже и 6.38.3 и 3.11
и мангл прописал
но нет, по прежнему тостер.ру и прочие не открываются
а доступ в интернет есть. к яндексу и прочим
пинг из термрнала роутера то же есть
роутер вообще Я настроил, но "мопед не мой", прибамбас для одной конторы нужОн, и там будет не Л2ПТ а РРРоЕ
только эта мысль, что на РРРоЕ не будет всех этих косяков, и утешает, хотя....
вообще некоторые сайты, в том числе этот, нужно несколько раз по Ф5 потыкать чтоб наконец то загрузилсо
и мангл прописал
но нет, по прежнему тостер.ру и прочие не открываются
а доступ в интернет есть. к яндексу и прочим
пинг из термрнала роутера то же есть
роутер вообще Я настроил, но "мопед не мой", прибамбас для одной конторы нужОн, и там будет не Л2ПТ а РРРоЕ
только эта мысль, что на РРРоЕ не будет всех этих косяков, и утешает, хотя....
вообще некоторые сайты, в том числе этот, нужно несколько раз по Ф5 потыкать чтоб наконец то загрузилсо
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Pcrepair писал(а):уже и 6.38.3 и 3.11
и мангл прописал
но нет, по прежнему тостер.ру и прочие не открываются
а доступ в интернет есть. к яндексу и прочим
пинг из термрнала роутера то же есть
роутер вообще Я настроил, но "мопед не мой", прибамбас для одной конторы нужОн, и там будет не Л2ПТ а РРРоЕ
только эта мысль, что на РРРоЕ не будет всех этих косяков, и утешает, хотя....
вообще некоторые сайты, в том числе этот, нужно несколько раз по Ф5 потыкать чтоб наконец то загрузилсо
Отключаем всё в файрволле именно в закладке только ФиЛЬтрес!
Пробуем.
Нет, ....делаем бэкап кофига, очищаем роутер и с нуля на чистый роутер делаете только подключение (рррое или л2тп и только НАТ)
и снова проверяете, без всяких других моментов.
Второй момент (как говорят на курсах - "бест-практик") сделайте БРИДЖ (локальный он у нас будет), на бридже даёте адрес локальный роутера,
и уже в этот бридж подключаете локальные ether порт (порты). Да и DHCP-сервер работает на бридже очень хорошо.
Так же у Вас в конфиге заданы 2 пула адресов, зачем?
Если и после всех выше советов не работает, значит Вы где-то ошибаетесь, или копируете что-то то, что вредит.
Конфиг делается постепенно, от минимального до...и так потихоньку.
Файрволл (фильтрес) делаете уже на работающей схеме.
Аккуратно с лишними правилами. И особенно с теми,что всё режут, как это (и оно у Вас НЕ выключено)
Код: Выделить всё
add action=drop chain=forward comment="Restrict ALL for ALL" protocol=tcp src-address=192.168.0.0/24 src-port=0-65000
И не забывайте, что порядок правил тоже Важен!
-
- Сообщения: 6
- Зарегистрирован: 22 фев 2017, 17:30
ну вот и все :
MTU менял на разные значения и TCP MSS (он должен быть на 40 байт меньше MTU)
IP->FireWall->Mangle Rule->New TCP MMS=1400
PPP->Interface(BEEline-L2TP) :
Max MTU=1440
Max MRU=1440
MRRU=
всего навсего
MTU менял на разные значения и TCP MSS (он должен быть на 40 байт меньше MTU)
IP->FireWall->Mangle Rule->New TCP MMS=1400
PPP->Interface(BEEline-L2TP) :
Max MTU=1440
Max MRU=1440
MRRU=
всего навсего