Russian Users MikroTik | Форум пользователей MikroTik

Добрый день!

Столкнулся со следующей проблемой:

Инет получаю от вышестоящего провайдера во влане(vlan2325)
Имеется 1036 в качестве пограничника
внутри сети свои вланы(vlan20, vlan11 и т.д) + pppoe сервер

машина находиться в vlan20 - инет видит(все хорошо) - за исключением части сайтов
на пример https://www.polaroidrussia.com , так же не грузится social club

наткнулся на так называемый fix mss - но насколько я понял это больше для pppoe
пробовал прикрутить такое правило

;;; new mss
chain=forward action=change-mss new-mss=1320 passthrough=no tcp-flags=syn protocol=tcp tcp-mss=1453-65535 log=no log-prefix=""

не помогло, куда еще копнуть???

Заранее спасибо!

Пинги до проблемных сайтов идут? (хотя может быть выключено)
Имя сайта успешно разрешается через dns?
Надо попробовать уменьшить mtu на вашем wan интерфейсе.

Обмен пакетами с polaroidrussia.com [104.27.155.18] с 32 байтами данных:
Ответ от 104.27.155.18: число байт=32 время=111мс TTL=54
Ответ от 104.27.155.18: число байт=32 время=124мс TTL=54
Ответ от 104.27.155.18: число байт=32 время=119мс TTL=54
Ответ от 104.27.155.18: число байт=32 время=110мс TTL=54

Статистика Ping для 104.27.155.18:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 110мсек, Максимальное = 124 мсек, Среднее = 116 мсек

>nslookup polaroidrussia.com
╤хЁтхЁ: dns.google
Address: 8.8.8.8

Не заслуживающий доверия ответ:
╚ь : polaroidrussia.com
Addresses: 2606:4700:3032::681b:9b12
2606:4700:3036::ac43:8972
2606:4700:3036::681b:9a12
104.27.154.18
104.27.155.18
172.67.137.114

Осталось подобрать mtu...

Коллеги, здравствуйте. Помогите, пожалуйста, советом.
НЕ ОТКРЫВАЮТСЯ НЕКОТОРЫЕ САЙТЫ, типа Яндекса. Прочитал десятки статей, перепробовал всё что мог, полностью проблему не решил.

У меня имеется Mikrotik cAP ac ( RBcAPGi-5acD2nD ), version 6.47.1 Stable. В СПб микротик работал прекрасно, проблем не было, только сокращал MTU.
В Крыму в Алуште есть любопытный оператор проводного интернета АМОС, а они соединяются через Miranda-Media с Москвой, хотя иностранные сайты говорят, что якобы IP находится в Нью-Йорке :)
Раздача интернета у него по мак-адресу порта ether , DHCP автоматически раздается. Оборудование у оператора управляемый D-Link на 24 порта.

Если включаем напрямую ноутбук Windows -- проблем никаких нет, все сайты грузятся нормально.
Когда включаем Микротик, то при раздаче интернета хоть по ether, хоть по Wi-Fi некоторые (много) сайтов не грузятся, многие простые по дизайну сайты грузятся без проблем. При этом пинги до сайтов проходят. Конкретно данный форум прекрасно открывается и доступен без проблем.

При уменьшении MTU часть сайтов из тех, что не работали, начинают работать, но Яндекс не работает.
Провайдер утверждает, что проблем нет. MTU 1500 не рекомендуют уменьшать.
Вернул MTU обратно на 1500.

Настраивал в мангле замену MSS на меньшие значения, некоторые сайты начинают открываться, но Yandex никак не открывается. Браузер пишет:
Соединение прервано Похоже, вы подключились к другой сети. ERR_NETWORK_CHANGED

Приходится пользоваться костылём: поверх интернет-подключения через Wi-Fi микротика поднимаю VPN соединение до питерского микротика по PPTP. Все сайты тут же начинают работать без проблем, при любых настройках крымского микротика.
Но "костыль" не применить к смартфонам, которые подключены через вай-фай микротика.

Если подключаюсь по вай-фай (с ноутбука или других мобильников) к другому смартфону, в который вставлена местная карточка мобильного оператора код (918) и смартфон настроен на раздачу интернета, то сайты грузятся без проблем.

Подскажите, куда смотреть, в чём может быть загвоздка? Может есть утилита какая то, которая может диагностировать что такого хитрого делает провайдер проводного интернета, что при соединении через мой микротик не все сайты загружаются?

У вас icmp на вход разрешен?

А так, чтобы не разбираться и не искать в чем проблема - поднимите на микротике постоянный впн до Питера и ходите через него.

xvo писал(а): ↑30 июл 2020, 12:25 У вас icmp на вход разрешен?

А так, чтобы не разбираться и не искать в чем проблема - поднимите на микротике постоянный впн до Питера и ходите через него.

Да, в файрволе input icmp accept .
В принципе я согласен, что "проще" настроить роутинг через питерский микротик, чем разбираться с ситуацией. Просто решил докопаться до истины и разобраться, что "не так" с микротиками по сравнению с виндосом. Никак не пойму, почему виндос умеет договариваться с сайтами когда кабель воткнут в компьютер напрямую, а после прохождения через микротик - сайты некоторые никак не грузятся.

Настройки DNS ещё можно посмотреть: какие DNS получает комп, когда подключен напрямую, какие - когда через микротик, что на самом микротике.

xvo писал(а): ↑30 июл 2020, 14:22 Настройки DNS ещё можно посмотреть: какие DNS получает комп, когда подключен напрямую, какие - когда через микротик, что на самом микротике.

Может быть важно: провайдер предоставляет "серый" IP, выделенный IP не приобретал.
При подключении напрямую виндос видит два DNS, которые присылает провайдер, оба весьма "подозрительные":
Primary DNS 172.16.0.1 - пингутся нормально, 1мс
Secondary DNS 185.64.46.254 пингуется нормально 3 мс, по информации 2ip.ru это миранда-медиа ns1.miranda-media.ru

Отличия в том, что при подключении через микротик появляется первый DNS 192.168.88.1

Alex_2019 писал(а): ↑30 июл 2020, 15:25 Отличия в том, что при подключении через микротик появляется первый DNS 192.168.88.1

Это нормально.
Главное при этом сам микротик использует те же провайдерские сервера, что и комп при подключении напрямую?
Или в микротике руками вбиты какие-то другие?