Страница 1 из 1
и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 10:18
Pcrepair
Добрый день. есть следующая ситуация :
- микротик 2011
- отключены УЖЕ все правила в файрволе
- большинство сайтов открывается в том числе по https
- такие сайты habrahabr toster sysadmin (http - https) почемуто не открывются, хотя видно что браузер(всякие) подключается к сайту но ничего не получает
- ping на сайты по имени домена проходит, но : если задать команду (ping -f -l 1492 имя сайта) то нужно уменьшать 1492 на выше перечисленных сайтах иногда до 1360 чтобы пинг прошел. если в РРР(interface) уменьшить MAX MTU(MRU) до выше названных значений все равно сайты не грузятся
- и тут засада : если переключить все взад на ДЛИНК-615 то никаких проблем НЕТ! значит провайдЫр(билайн) тут совершенно не причем.
Вопрос : где еще копать?
Re: и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 11:46
Vlad-2
Копать надо не только в глубь, но и в ширь! 
Вы описали проблему, а где выкладка?
Конфиг роутера?/версия прошивки?, как соединяетесь(рррое/статик?), какие значения МТУ стоят и/или дефолтные, МТУ меняли/меняется?
При подключении Вашего другого роутера, какой МТУ получается при тестировании командой пинг?
Больше данных...
Re: и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 11:53
Pcrepair
вот и конфиг,
используется L2PT beeline
интерфейс ВАН РРРоЕ не используется, включил два правила "запретить все и всем" + "разрешить все и всем из группы ФУУЛ" впрочем ничего не поменялось
Код: Выделить всё
/export compact
# feb/24/2017 10:51:38 by RouterOS 6.35.1
# software id = TJYX-SUFJ
#
/interface ethernet
set [ find default-name=ether6 ] name=ether6-LAN
set [ find default-name=ether9 ] name=ether9-PPPoE
set [ find default-name=ether10 ] name=ether10-L2TP
/interface pppoe-client
add add-default-route=yes allow=mschap2 interface=ether9-PPPoE name=TELEMAX-pppoe password=hgghghgv user=kjnkjnkjnkjn
/ip pool
add name=dhcp_pool1 ranges=192.168.0.1,192.168.0.20-192.168.0.30
add name=dhcp_pool2 ranges=192.168.0.160-192.168.0.165
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=ether6-LAN name=dhcp1
/ppp profile
add name=L2TP_profile remote-address=192.168.255.254 use-compression=no use-encryption=no
/interface l2tp-client
add add-default-route=yes allow=mschap1 connect-to=tp.internet.beeline.ru disabled=no max-mru=1420 max-mtu=1420 mrru=1600 name=BEEline-L2tp password=kkknklnkl profile=\
L2TP_profile user=klkkllkmlk
/ip address
add address=192.168.0.1/24 interface=ether6-LAN network=192.168.0.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether10-L2TP
add default-route-distance=0 dhcp-options=hostname,clientid interface=ether9-PPPoE
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8,77.88.8.1
/ip firewall address-list
add address=192.168.0.3 comment=MainPC list=Full
add address=192.168.0.10 comment=TorrentPC list=Limited
add address=192.168.0.2 comment="LocalPC #1" list=Restricted
add address=192.168.0.21 comment="LocalPC #2" list=Restricted
add address=192.168.0.4 comment="LocalPC #3" list=Restricted
/ip firewall filter
add chain=forward comment="Allow RDP for group Restricted (out)" disabled=yes dst-port=3389 protocol=tcp src-address-list=Restricted
add chain=forward comment="Allow RDP for group Restricted (in)" disabled=yes dst-address-list=Restricted protocol=tcp src-port=3389
add chain=forward comment="Allow Z for group Limited (out)" disabled=yes dst-port=21,80,443,3389,25,110,995,465,5000-65000 protocol=tcp src-address-list=Limited
add chain=forward comment="Allow Z for group Limited (in)" disabled=yes dst-address-list=Limited protocol=tcp src-port=21,80,443,3389,25,110,995,465,5000-65000
add chain=forward comment="Allow ALL for group Full (in)" dst-address-list=Full protocol=tcp src-port=0-65000
add chain=forward comment="Allow ALL for group Full (out)" dst-port=0-65000 protocol=tcp src-address-list=Full
add chain=input comment="Allow DNS request" disabled=yes in-interface=ether10-L2TP protocol=udp src-port=53
add chain=input comment="Allow DNS request" disabled=yes in-interface=ether9-PPPoE protocol=udp src-port=53
add action=drop chain=input comment="Drop DNS from !ether6-LAN" disabled=yes dst-port=53 in-interface=!ether6-LAN protocol=udp
add action=drop chain=input disabled=yes in-interface=TELEMAX-pppoe
add action=drop chain=input disabled=yes in-interface=BEEline-L2tp
add action=drop chain=forward comment="Restrict ALL for ALL" protocol=tcp src-address=192.168.0.0/24 src-port=0-65000
add action=drop chain=input disabled=yes dst-port=53 in-interface=ether10-L2TP protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10-L2TP src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=BEEline-L2tp src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether9-PPPoE src-address=192.168.0.0/24
# TELEMAX-pppoe not ready
add action=masquerade chain=srcnat out-interface=TELEMAX-pppoe src-address=192.168.0.0/24
/ip route
add distance=1 dst-address=194.186.70.218/32 gateway=10.4.184.1
add distance=1 dst-address=194.186.70.222/32 gateway=10.4.184.1
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set protected-routerboot=disabled
Re: и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 12:03
Pcrepair
Vlad-2 писал(а):Конфиг роутера?/версия прошивки?, как соединяетесь(рррое/статик?), какие значения МТУ стоят и/или дефолтные, МТУ меняли/меняется?
При подключении Вашего другого роутера, какой МТУ получается при тестировании командой пинг?
Больше данных...
MTU - сейчас дефолт 1420, но уменьшал, ничего не дало
тестировать пингом ping -f -l 1492 на 615 все прходило
Re: и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 12:25
Vlad-2
Ну:
1) давайте обновимся хотя бы до 6.37.4 или даже 6.38.3, а то Ваша текущая версия (RouterOS 6.35.1) уж через чур стара (Винбокс тоже, имейте ввиду надо обновить).
2) У Вас в настройках файрволла, в закладке Мангл есть два динамических правила, которые регулируют MSS размер? (не удалили случайно?)
3) С Билайном по его L2TP вплотную не работал, но уточнить хотел - Вы настраивали подключения по какому то точному мануалу или сами?
просто там много своих подводных камней!?
Re: и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 14:55
Pcrepair
System -> Routerboard -> Upgrade ? оно спрашивает, обновить и после ДА-ДА-ДА ничего не происходит. все равно перезагружаю и все равно 6.35.1
что бы это значило?
а если
«System» => «Packages» => кнопка «Check For Updates». то все равно еррор канекшин тайм аут - не может подключится почемуто
есть у меня файл routeros-mipsbe-6.38.1.npk но не уверен (был тут уже косячок с поделкой одной конторки когда после апгрейда стало только хуже а взад уже было не вернуть)
ВЫньБокс3.9 - новее некуда?
в закладке Мангл - пусто. как все и советуют, для начала полностью сбросил конфиг. а что там должно быть?
былайн настраивал по бесплатным советам с разных форумов(просто читал), там все булыжнички описаны, и вроде все работает, но... отдельные косяки
Re: и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 15:20
Vlad-2
Pcrepair писал(а):System -> Routerboard -> Upgrade ? оно спрашивает, обновить и после ДА-ДА-ДА ничего не происходит. все равно перезагружаю и все равно 6.35.1
что бы это значило?
а если
«System» => «Packages» => кнопка «Check For Updates». то все равно еррор канекшин тайм аут - не может подключится почемуто
есть у меня файл routeros-mipsbe-6.38.1.npk но не уверен (был тут уже косячок с поделкой одной конторки когда после апгрейда стало только хуже а взад уже было не вернуть)
ВЫньБокс3.9 - новее некуда?
в закладке Мангл - пусто. как все и советуют, для начала полностью сбросил конфиг. а что там должно быть?
былайн настраивал по бесплатным советам с разных форумов(просто читал), там все булыжнички описаны, и вроде все работает, но... отдельные косяки
Бардак у Вас, и с роутером и с пониманием.
1) если при нажатии кнопки Чек - ошибка, значит на самом роутере нет или прямого доступа к Интернету или перемудрили с настройками,
отсюда и всё остальное..в том числе и http(s). Проверить шлюз, ДНСы, настройка ДНСов в микротике (галка) и другое.
2) Роутер можно обновить скачав прошивку с Официального сайта выбрав вашу архитектуру, архитектура пишется в роутерборде окне.
3) Винбокс имеет встроенную кнопку обновить - нажимать не пробовали? Текущая версия винбокса 3.11
4) В закладке мангл есть два динамических правила которые оптимизируют стек для туннельных протоколов, вот они
Код: Выделить всё
сhain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1441-65535
chain=forward action=change-mss new-mss=1440 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1441-65535
5) После обновления на новую прошивку и перезагрузки, надо зайти в системс-роутерборд, проверить чтобы поле Каррент и Апгрейд были одинаковы,
если нет, нажать Апгрейд кнопку и снова ребут сделать, потом проверить снова.
ВЫ роутер вообще настроили ? основы изучили?...
Думаю что Билайн Вы не настроили корректно, а учесть что само подключение по протоколу Л2ТП у билайна не простое - ошибки уже видно по всему выше описанному Вами же.
Может быть подать заявку в Билайн и если Ваш район перешёл на EoIP, то попросить активировать для Вас эту услугу...(Л2ТП не нужен будет и настройки придут автоматом)
Или всё же убрать микротик и поработать на другом роутере и/или вызвать специалиста и до-настроить микротик.
Re: и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 16:00
Pcrepair
уже и 6.38.3 и 3.11
и мангл прописал
но нет, по прежнему тостер.ру и прочие не открываются
а доступ в интернет есть. к яндексу и прочим
пинг из термрнала роутера то же есть
роутер вообще Я настроил, но "мопед не мой", прибамбас для одной конторы нужОн, и там будет не Л2ПТ а РРРоЕ
только эта мысль, что на РРРоЕ не будет всех этих косяков, и утешает, хотя....
вообще некоторые сайты, в том числе этот, нужно несколько раз по Ф5 потыкать чтоб наконец то загрузилсо
Re: и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 16:30
Vlad-2
Pcrepair писал(а):уже и 6.38.3 и 3.11
и мангл прописал
но нет, по прежнему тостер.ру и прочие не открываются
а доступ в интернет есть. к яндексу и прочим
пинг из термрнала роутера то же есть
роутер вообще Я настроил, но "мопед не мой", прибамбас для одной конторы нужОн, и там будет не Л2ПТ а РРРоЕ
только эта мысль, что на РРРоЕ не будет всех этих косяков, и утешает, хотя....
вообще некоторые сайты, в том числе этот, нужно несколько раз по Ф5 потыкать чтоб наконец то загрузилсо
Отключаем всё в файрволле именно в закладке только ФиЛЬтрес!
Пробуем.
Нет, ....делаем бэкап кофига, очищаем роутер и с нуля на чистый роутер делаете только подключение (рррое или л2тп и только НАТ)
и снова проверяете, без всяких других моментов.
Второй момент (как говорят на курсах - "бест-практик") сделайте БРИДЖ (локальный он у нас будет), на бридже даёте адрес локальный роутера,
и уже в этот бридж подключаете локальные ether порт (порты). Да и DHCP-сервер работает на бридже очень хорошо.
Так же у Вас в конфиге заданы 2 пула адресов, зачем?
Если и после всех выше советов не работает, значит Вы где-то ошибаетесь, или копируете что-то то, что вредит.
Конфиг делается постепенно, от минимального до...и так потихоньку.
Файрволл (фильтрес) делаете уже на работающей схеме.
Аккуратно с лишними правилами. И особенно с теми,что всё режут, как это (и оно у Вас
НЕ выключено)
Код: Выделить всё
add action=drop chain=forward comment="Restrict ALL for ALL" protocol=tcp src-address=192.168.0.0/24 src-port=0-65000
И не забывайте, что порядок правил тоже Важен!
Re: и опять микротик не пропускает отдельные сайты
Добавлено: 24 фев 2017, 20:15
Pcrepair
ну вот и все :
MTU менял на разные значения и TCP MSS (он должен быть на 40 байт меньше MTU)
IP->FireWall->Mangle Rule->New TCP MMS=1400
PPP->Interface(BEEline-L2TP) :
Max MTU=1440
Max MRU=1440
MRRU=
всего навсего