RB750G и PPTP проблемы...прошу помощи.

Обсуждение оборудования и его настройки
Sergey-K
Сообщения: 15
Зарегистрирован: 10 июл 2012, 07:21

Добрый день всем форумчанам и отдельный респект Гуру!
Хочу спросить совета а то уже давно изводит одним глюком RB750G.
Имется доступ в интернет по средствам wi-fi,для авторизации используется vpn у провайдера.
Абонентское оборудование nanostation2 которая настроена в режим роутера провайдером подключена к eth1 mikrotik, mikrotik подымает vpn до провайдера и раздает на eth2-5 (eth2 настроен мастером). В ip/adress list подымается динамически при поднятии vpn(pptp out1-ip 172.22.xx.xx ,сеть 172.30.100.1 (это шлюз);для eth1 статически задан адрес 192.168.1.2/24, сеть 192.168.1.0 (nanostation имеет локальный адрес со стороны ehternet 192.168.1.1), а в радио сети провайдера локальный адрес 10.15.7.32. ip/adress list для eth2 192.168.88.1, сеть 192.168.88.00. Настроен dhcp сервер для eth2. Настроен Мангл.
Вобщим интернет на машинах имеется но часто случается непонятные глюки- соединение vpn поднято и много ресурсов перестают быть доступными,хотя пинг до них идет. Пробывал прописывать dns серверы сторонние, менять mtu,mru на pptp out1 результата не дает. Когда опускаю pptp out1 и переподключась в этот момент с пк к vpn серверу провайдера то все нормально.Снова с микротика подымаю vpn и глюк продолжается. Reboot mikrotik результата не дает...глюк проходит сам через некоторое время.
Прикрепил архивчик со скринами.
Может кто что посоветует куда и где копать !? За ранее спасибо!
Вложения
ск3.rar
(176.94 КБ) 257 скачиваний
ск2.rar
(202.04 КБ) 361 скачивание
ск1.rar
(463.56 КБ) 236 скачиваний


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Может не в тему, но не понял зачем вам правило срцнатинга на порт ether1... Без него должно все работать.


Sergey-K
Сообщения: 15
Зарегистрирован: 10 июл 2012, 07:21

Спасибо за ответ!
срцнатинг на порт ether1 требуется для того чтобы была доступна nanostation (т.е веб интерфейс), и для того чтобы я мог поднят VPN с ПК под WIN7 (как говорится в случаи глюка). Но увы отключение срцнатинга на порт ether1 проблемы не решает. Я уже давно "бьюсь головой о стену" и не могу понять где собака зарыта. Я конечно не специалист в сетевых технологиях и ИТ но чет захотелось мне такую машинку иметь и довольно мощьную для моих целей. Да вот уже как пол года не могу разобратся увы :? :( Так что любые советы и замечания прийму к свединию! От тех.потдержки прова ниче внятного добиться не смог увы. :(


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

срцнатинг на порт ether1 требуется для того чтобы была доступна nanostation (т.е веб интерфейс), и для того чтобы я мог поднят VPN с ПК под WIN7 (как говорится в случаи глюка).
Понял. Не думал, что у вас есть доступ к nanostation.

А покажите, пожалуйста, скрин таблицы маршрутизации и правил маршрутизации...


Sergey-K
Сообщения: 15
Зарегистрирован: 10 июл 2012, 07:21

Если правильно понял то это........
Изображение


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Не то :)
/ip route и /ip route rules...
И еще вкладку General у pptp-out1.


Sergey-K
Сообщения: 15
Зарегистрирован: 10 июл 2012, 07:21

Спасибо за ответ!
Изображение
Изображение
Изображение
Промаркеровал пакеты для двух машин-думал поможет делу!....но увы нет.


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Спасибо за информацию...
1) Удалите правила в mangle для маркировки пакетов.
2) Удалите маршруты 1 и 2 с маркерами, а также 4 не нужен.
3) Добавьте правило /ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1200 в самый конец
таблицы.
4) Уберите свои правила в mangle для работы с mss.

Если не поможет, то когда проблема вновь проявится, советую попинговать проблемный ресурс следующим образом:
1. Со своего пк в командной строке ping доменное_имя_сайта или ip -t -f -l значение_mtu_pptp-out1
2. В результате увидите сообщение о невозможности фрагментации пакета.
3. Уменьшаете на 10 параметр -l
4. в командной строке ping доменное_имя_сайта или ip -t -f -l новое_значение
Если видите сообщение о невозможности фрагментации пакета, то шаг 3
Иначе ставите в правиле 3) в new-mss значение на 40 меньше полученного или ставите в mtu и mru pptp-out1 полученное значение и деактивируете правило 3)
Короче поработаете эдаким механизмом PMTUD :)

Поскольку мне кажется, что ваша проблем в том, что трафик в инет гоняется вашим провайдером по разным путям в различное время. Поэтому иногда Инет работает, а иногда нет. Пинги всегда работают, так как размер пакетов мал. А вот http трафик будет поболее.
Хотя заметил, что Вы уже уменьшали значения mtu и mru в интерфейсе, а также в mangle с mss работали :) .


Sergey-K
Сообщения: 15
Зарегистрирован: 10 июл 2012, 07:21

Спасибо за советы antkamidiv !
Сейчас сделал как вы описалм в первом варианте!
Но есть одно НО!
2) Удалите маршруты 1 и 2 с маркерами, а также 4 не нужен.

4й маршрут появляется когда подымается pptp out1 (как бы динамически).
Интересно влияет ли это?
Сейчас потестирую думаю если выявит глюк себя.....так в течении 2-3часов увижу!
Огромное спасибо!
Поже отпишусь!


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Кстати так же можно указанный алгоритм применить и к роутеру. Т.е. попинговать можно и с него.
Рад буду, если вам поможет.


Ответить