Само "gw" или "123" в(ъв) WEB

[lz3ai]

Рутерът сега е Mikrotik RB2011UAS-2HnD-IN.

Преди него беше WRT160NL с DD-WRT.

Доставчикът ми е с PPPoE с MTU 1460. Проверка с ping -f -l показва, че MTU толкова трябва и да бъде.

При смяна на рутера и бърза настройка (само данни за ppp-връзката, интерфейсите (Всички интерфейси без Eth1 са в един бридж) и за lan при мен) почти всичко тръгва нормално, си изключение на това, че не мога да отварям web-страници - при http в браузъра ми се появяват само буквите "gw", а при https се появяват само цифрите "123". Така е и през локалниябридж, и през wlan.

Интересното е, че като свържа на единия от LAN-портовете на Микротик-а едно старо рутерче DLink DI-524, през него върви всичко нормално и на кабел, и на WiFi (вкл. и web). Ако свържа на някой от портовете (вкл. wlan) лаптопа си (MAC) също всичко работи нормално. Обаче ако е свързан някой от десктопите или лаптоп с Windows (които с предишния рутер си работеха пълноценно), работят повечето услуги без Web.

 

За LAN ползвам DHCP на Микротик-а, който изпраща правилно към клиентите IP, GW и DNS. Таблицата с маршрутите ми изглежда нормална. DNS ми е на Микротик-а, а той получава записите от DNS-ите на доставчика, единият от които е гугълския 8.8.8.8, а другият си е от неговата мрежа.

Не съм правил нищо, касаещо TTL.

 

Четох много, сменях много, започвах няколко пъти от нулата...

И така повече от седмица. ;-))

Настроих повече от услугите при предното рутерче - порт-форвардинги, статични адреси за постоянните клиенти на DHCP, smb и др., но web така и не тръгна.

Някакви идеи къде да човъркам или чета? Насочил съм се към firewall или mtu, но всичките ми експерименти досега са неуспешни, вкл. и чист firewall с един единствен NAT маскарадинг и никакви правила и мангъли ;-).

 

Не пращам никакви експорти от firewall и др., защото в момента точно са наблъскани с всякакви правила, за които съм чел от wiki на Микротик и няма да допринесат за изясняване на проблема, пък и най-вероятно ще ги махна - предпочитам простотата, която върши работа достатъчно и оптимално.

 

Разчитам на конструктивни предложения, не на такива от сорта да сменя всички компютри в LAN с MAC и други подбни ;-).

Предварително благодаря за отделеното време!

 

[111111]

Да нямаш заключване по мак адрес.

Това с бриджа не е нужно има суич опция на борда, доста по не-ресурсоемка.

Един трацерт от къде минава 

[lz3ai]

Нямам заключване, само съм задал DHCP да раздава статични адреси според MAC-адресите на постоянните устройства в LAN-а. На случайно появилите се адресите са си динамични. Но и в двата случая няма разлика относно проблема.

 

Като тръгнат нещата ще мисля за оптимизация, притесни ме за да включа всичките локални етернет портове (да ги направя подчинени на един мастър порт), защото половината са 1 GB, другата половина 100 MB и машините, свързани с тях са със съответно същите скорости. Може би по-удачно решение беше за всяка скорост да имаше по един мастър и останалите със същата скорост да ги пусна като в сиучи към тях, но така или иначе са в една мрежа и пак щях да "бриджна" тези два суича плюс wlan-а заедно накрая.

 

А трацертът си върви нормално (според мен). Ето пример към дир.бг:

 

Tracing route to dir.bg [194.145.63.12]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  genadi [192.168.22.141] - адрес на локалния бридж
  2     1 ms    <1 ms    <1 ms  82.146.22.4 - отсамния край на PPP тунела към доставчика
  3     1 ms    <1 ms    <1 ms 82.146.22.1 - гейтуея на доставчика

и т.н.

 

Изобщо пингове, скайп, дропбокс и т.н. си вървят нормално, само вместо съответната страница в браузъра виждам gw или 123. Нямам никъде нещо, което да манипулира по някакъв начин порт 80.

 

Ако това има някакво значение, понякога вместо gw получавам грешка 404 (Page not found), от сървера, на който фактически съществува тази страница (по същото време през 3G връзката на телефона си я виждам).

 

MTU-то го избрах с пингове (ping -f -l 1500 <интернет адрес>):

 

Pinging galanto.com [46.19.35.177] with 1500 bytes of data:
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.

Ping statistics for 46.19.35.177:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
 

и намалях числото 1500 докато започнат да не се фрагментират пакетите:

 

Pinging galanto.com [46.19.35.177] with 1432 bytes of data:
Reply from 46.19.35.177: bytes=1432 time=44ms TTL=54
Reply from 46.19.35.177: bytes=1432 time=44ms TTL=54
Reply from 46.19.35.177: bytes=1432 time=44ms TTL=54
Reply from 46.19.35.177: bytes=1432 time=44ms TTL=54

Ping statistics for 46.19.35.177:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 44ms, Maximum = 44ms, Average = 44ms
 

Добавих към 1432 още 28 (IP и ICMP хедърите) и се получи 1460. Това е стойността за PPP-тунела (и за мен гейтуей). За всеки случай зададох същата стойност и за LAN-интерфейсите, не знам дали е необходимо. Не знам също какво точно значи L2 MTU и по-точно дали има смисъл да си играя с него, все ще намеря къде да разбера какво точно значи ;-).

 

Друг интересен факт е, че при смяна на MTU-то за момент започват да се отварят страници на устройствата в LAN-а (компютри и мобилни телефони), но само за минутка или няколко.. след това започват да се появяват отново gw и 123 в браузърите.

[krustanovs]

/ip firewall mangle

add action=change-mss chain=forward new-mss=1440 out-interface=pppoe-out1

    protocol=tcp tcp-flags=syn tcp-mss=1441-65535

пробвай с това за in-interface сложи същото правило 

[lz3ai]

за krustanovs:

Пробвах, без ефект.

 

Между другото се бяха създали автоматично подобни правила (динамични), само че за 'all ppp" и с "new-mss=1420'.

 

Като пуснах процедурата за отстраняване на мрежови проблеми на едно PC с Windows, ми даде съобщение, че "доставчикът изисквал допълнителен log-in за да получи достъп до интернет" ;-). И ме праща да се логна, но в браузъра отново виждам само gw....

[Mupo neTkoB]

я провери тогава /ip webproxy или /ip hotspot

да нямаш там пуснато нещо

[lz3ai]

Не, нямам пуснато там засега нищо.

 

Оправи се (мисля) проблемът, като смених DNS - сега е само 8.8.8.8 и само той се раздава и от DHCP, но в къщи в момента имам само един компютър пуснат в LAN-а, довечера ще го тествам пълноценно и ще споделя резултатите.

[krustanovs]

значи не си бил чекнал allow remote requests

[lz3ai]

Чекнал бях опцията allow remote requests.

 

Вече всичко си работи. Промените, които направих, са две: оставих за единствен DNS гугълския 8.8.8.8 и зададох на DHCP да разпространява само и единствено него.

 

Сега остана да разбера защо това е било причината.

 

Явно не в доставчика, защото с предишния рутер (с dd-wrt) всичко си работеше, като бяха зададени три DNS-a - първи на рутера, втори на доставчика и трети 8.8.8.8. Ще трябва да разбера ничина, по който се разпределят заявките към DNS-ите, ако са повече - по равно, случайно, не следващите само ако не работят предишните или друг начин. Вероятно ще си го изяснявам заедно с доставчика, при мен слава Богу е винаги добронамерен и се опитва да подобрява нещата и угажда на клиентите, доколкото може ;-).

 

Като разбера нещо, ще споделя, ако ви е интересно. Хубав и успешен ден и благодаря на тези, които отделиха от времето си!

[111111]

Най-елементарно е да споделиш правилата от защитната стена

[lz3ai]

Ето ги правилата.

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=yes out-interface=sfp1-gateway
add action=masquerade chain=srcnat comment="default configuration" out-interface=bridge1-local to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=pppoe-out1

Редактирано 17 Септември, 2013 от 111111
лични данни премахнати

[111111]

да ти прави впечатление че имаш две правила за маскарадинг?

[lz3ai]

Едното е остатък от конфигурацията по подразбиране и е за оптичен порт, какъвто няма и по тая причина го забраних. Може и да съм направил нещо неправилно, сега се уча...

[111111]

То се вижда че първото е спряно 

но второто и третото са също маскарадинг правила 

при едното има и опит за рутиране само че рутирането се прави на друго място

[lz3ai]

Забраних и това с опита за рутиране. Също е остатък от конфигурацията по подразбиране.

 

Да ми препоръчаш някакъв линк, където на сравнително достъпен език и с прости примери, да се образовам за firewall / filters, nat, magle, address lists? Четох wiki на Микротик, но там уж ми е ясно, пък като стигна до примерите като че ли повече се обърквам.

 

А разбирам за себе си, че за да задълбавам нататък трябва всичко за защитната стена да ми стане, дет' се вика, "ясно като 100 грама водка" ;-)

Редактирано 18 Септември, 2013 от lz3ai

[Mupo neTkoB]

най-добрия начин да се научиш си го почнал вече - браво

четеш във Вики-то на микротик и се мъчиш. няма иначе кой да ти ги обясни нещата на проЗ бъларски език