День добрый!
Не удаётся подключиться по VNC к компьютеру за RB951Ui-2HnD c LTE-модемом от Yota.
Соединение шифруется ipsec.
Подключение инициируется, пароль запрашивается и дальше - долгое ожидание и обрыв по таймауту.
Проходят только подключения в чёрно-белом режиме, но так работать невозможно.
Если смотреть подключения, то соединение установлено:
Код: Выделить всё
SA tcp 192.168.207.3:4979 10.202.60.2:5900 established 23h58m30s
Сигнал у Йоты отличный. При подключении LTE-модема в ПК - всё летает.
Такая проблема уже на двух RB951Ui-2HnD, а вот с RB750UP - проблема нет, хотя конфа - один в один.
Конфигурацию прилагаю ниже.
Документацию читал, конечно, но тут она не помощник.
Есть подозрение, что дело в MTU. Пробовал играть его значениями на интерфейсе ПК, ether2 и lte1 - результат нулевой.
Может быть у кого-нибудь появятся мысли, в чём может быть проблема, и почему на RD750UP рабоает, а на RB951Ui-2HnD - нет.
На всех устройствах ROS 6.7
Заранее спасибо!
# feb/07/2014 00:00:00 by RouterOS 6.7
# software id = 3IUW-9XS2
#
/interface lte
set [ find ] mac-address=F8:35:DD:3C:44:A1 name=lte1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=\
20/40mhz-ht-above distance=indoors l2mtu=2290 mode=ap-bridge ssid=\
MikroTik-DA6C31
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xxxxxxxxxxxx \
wpa2-pre-shared-key=xxxxxxxxxxxx
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5,sha1 enc-algorithms=3des \
lifetime=1h
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/user group
add name=ftp policy="ftp,sensitive,!local,!telnet,!ssh,!reboot,!read,!write,!p\
olicy,!test,!winbox,!password,!web,!sniff,!api"
/ip address
add address=10.202.60.1/30 interface=ether2 network=10.202.60.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=lte1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=forward comment="default configuration" \
connection-state=invalid
add chain=input comment="ssh via severen" dst-port=22 in-interface=lte1 \
protocol=tcp src-address=xxx.xxx.xxx.xxx/30
add chain=input comment="ssh via rtk" dst-port=22 in-interface=lte1 protocol=\
tcp src-address=xxx.xxx.xxx.xxx/29
add chain=input comment=ftp dst-port=21 in-interface=lte1 protocol=tcp \
src-address=xxx.xxx.xxx.xxx/29
add chain=input comment=ftp dst-port=20 in-interface=lte1 protocol=tcp \
src-address=xxx.xxx.xxx.xxx/29
add chain=input comment=ping in-interface=lte1 protocol=icmp src-address=\
xxx.xxx.xxx.xxx/29
add chain=input comment=ping in-interface=lte1 protocol=icmp src-address=\
xxx.xxx.xxx.xxx
add chain=input comment=ping in-interface=lte1 protocol=icmp src-address=\
192.168.207.0/24
add chain=input comment="ipsec esp" in-interface=lte1 protocol=ipsec-esp \
src-address=xxx.xxx.xxx.xxx
add chain=input comment="ipsec ah" in-interface=lte1 protocol=ipsec-ah \
src-address=xxx.xxx.xxx.xxx
add chain=input comment="ipsec ike" dst-port=500 in-interface=lte1 protocol=\
udp src-address=xxx.xxx.xxx.xxx src-port=500
add chain=input comment="ipsec nat traversal" dst-port=4500 in-interface=lte1 \
protocol=udp src-address=xxx.xxx.xxx.xxx src-port=4500
add chain=input comment="time sync" dst-port=123 in-interface=lte1 protocol=\
udp src-address=xxx.xxx.xxx.xxx/29
add action=drop chain=input comment="deny all inbound" in-interface=lte1
add action=drop chain=forward comment="deny all from lan to lte" dst-address=\
!192.168.207.0/24 in-interface=all-ethernet out-interface=lte1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip ipsec peer
add address=xxx.xxx.xxx.xxx/32 enc-algorithm=3des hash-algorithm=md5 lifetime=\
8h secret=test
/ip ipsec policy
add dst-address=192.168.207.0/24 sa-dst-address=xxx.xxx.xxx.xxx sa-src-address=\
10.0.0.10 src-address=10.202.60.0/30 tunnel=yes
/ip service
set telnet disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system clock manual
set time-zone=+04:00
/system identity
set name=mt951
/system leds
set 0 interface=wlan1
/system logging
add topics=info
add disabled=yes prefix=ipsec topics=ipsec
/system ntp client
set enabled=yes mode=unicast primary-ntp=xxx.xxx.xxx.xxx
/system scheduler
add interval=10m name=check_lte on-event=check_lte policy=\
reboot,read,write,policy,test,password,sniff,sensitive start-date=\
jan/01/1970 start-time=00:00:00
add interval=3m name=check_usb on-event=check_usb policy=\
reboot,read,write,policy,test,password,sniff,sensitive start-date=\
jan/01/1970 start-time=00:00:00
add interval=12h name=backup on-event=backup policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
start-date=jan/01/1970 start-time=00:00:00
/system script
add name=check_lte policy=\
reboot,read,write,policy,test,password,sniff,sensitive source=":local PING\
COUNT 30;\r\
\n\
\n:local PINGIP \"xxx.xxx.xxx.xxx\";\
\n\r\
\n:log info message=\"START PING TO \$PINGIP\";\
\n\r\
\n:local PINGRESULT [/ping \$PINGIP count=\$PINGCOUNT];\
\n\r\
\n:if (\$PINGRESULT > 0) do={\
\n\r\
\n:log info message=\"PING TO \$PINGIP OK\";\r\
\n\
\n} else={\
\n\r\
\n:log info message=\"PINGTEST FAIL\";\
\n\r\
\n/system reboot;\r\
\n\
\n} \
\n"
add name=check_usb policy=\
reboot,read,write,policy,test,password,sniff,sensitive source=":local PING\
COUNT 20;\r\
\n\
\n:local PINGIP \"xxx.xxx.xxx.xxx\";\r\
\n\
\n:log info message=\"START PING TO \$PINGIP\";\
\n\r\
\n:local PINGRESULT [/ping \$PINGIP count=\$PINGCOUNT];\
\n\r\
\n:if (\$PINGRESULT > 0) do={\
\n \r\
\n:log info message=\"PING TO \$PINGIP OK\";\r\
\n\
\n} else={\
\n \r\
\n:log info message=\"PINGTEST FAIL. RESETTING USB POWER\";\
\n \r\
\n/system routerboard usb power-reset duration=15s;\r\
\n\
\n} \
\n"
add name=backup policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
source="{\
\n:local filename [/system identity get name];\
\n/system backup save name=\$filename;\
\n/export file=\$filename;\
\n}\
\n"
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=wlan1
add
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=wlan1
add
