Jump to content
  • 0

Само "gw" или "123" в(ъв) WEB


lz3ai

Question

Рутерът сега е Mikrotik RB2011UAS-2HnD-IN.

Преди него беше WRT160NL с DD-WRT.

Доставчикът ми е с PPPoE с MTU 1460. Проверка с ping -f -l показва, че MTU толкова трябва и да бъде.

При смяна на рутера и бърза настройка (само данни за ppp-връзката, интерфейсите (Всички интерфейси без Eth1 са в един бридж) и за lan при мен) почти всичко тръгва нормално, си изключение на това, че не мога да отварям web-страници - при http в браузъра ми се появяват само буквите "gw", а при https се появяват само цифрите "123". Така е и през локалниябридж, и през wlan.

Интересното е, че като свържа на единия от LAN-портовете на Микротик-а едно старо рутерче DLink DI-524, през него върви всичко нормално и на кабел, и на WiFi (вкл. и web). Ако свържа на някой от портовете (вкл. wlan) лаптопа си (MAC) също всичко работи нормално. Обаче ако е свързан някой от десктопите или лаптоп с Windows (които с предишния рутер си работеха пълноценно), работят повечето услуги без Web.

 

За LAN ползвам DHCP на Микротик-а, който изпраща правилно към клиентите IP, GW и DNS. Таблицата с маршрутите ми изглежда нормална. DNS ми е на Микротик-а, а той получава записите от DNS-ите на доставчика, единият от които е гугълския 8.8.8.8, а другият си е от неговата мрежа.

Не съм правил нищо, касаещо TTL.

 

Четох много, сменях много, започвах няколко пъти от нулата...

И така повече от седмица. ;-))

Настроих повече от услугите при предното рутерче - порт-форвардинги, статични адреси за постоянните клиенти на DHCP, smb и др., но web така и не тръгна.

Някакви идеи къде да човъркам или чета? Насочил съм се към firewall или mtu, но всичките ми експерименти досега са неуспешни, вкл. и чист firewall с един единствен NAT маскарадинг и никакви правила и мангъли ;-).

 

Не пращам никакви експорти от firewall и др., защото в момента точно са наблъскани с всякакви правила, за които съм чел от wiki на Микротик и няма да допринесат за изясняване на проблема, пък и най-вероятно ще ги махна - предпочитам простотата, която върши работа достатъчно и оптимално.

 

Разчитам на конструктивни предложения, не на такива от сорта да сменя всички компютри в LAN с MAC и други подбни ;-).

Предварително благодаря за отделеното време!

 

Link to post
Share on other sites

Recommended Posts

  • 0
  • Administrator

Да нямаш заключване по мак адрес.

Това с бриджа не е нужно има суич опция на борда, доста по не-ресурсоемка.

Един трацерт от къде минава 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0

Нямам заключване, само съм задал DHCP да раздава статични адреси според MAC-адресите на постоянните устройства в LAN-а. На случайно появилите се адресите са си динамични. Но и в двата случая няма разлика относно проблема.

 

Като тръгнат нещата ще мисля за оптимизация, притесни ме за да включа всичките локални етернет портове (да ги направя подчинени на един мастър порт), защото половината са 1 GB, другата половина 100 MB и машините, свързани с тях са със съответно същите скорости. Може би по-удачно решение беше за всяка скорост да имаше по един мастър и останалите със същата скорост да ги пусна като в сиучи към тях, но така или иначе са в една мрежа и пак щях да "бриджна" тези два суича плюс wlan-а заедно накрая.

 

А трацертът си върви нормално (според мен). Ето пример към дир.бг:

 

Tracing route to dir.bg [194.145.63.12]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  genadi [192.168.22.141] - адрес на локалния бридж
  2     1 ms    <1 ms    <1 ms  82.146.22.4 - отсамния край на PPP тунела към доставчика
  3     1 ms    <1 ms    <1 ms 82.146.22.1 - гейтуея на доставчика

и т.н.

 

Изобщо пингове, скайп, дропбокс и т.н. си вървят нормално, само вместо съответната страница в браузъра виждам gw или 123. Нямам никъде нещо, което да манипулира по някакъв начин порт 80.

 

Ако това има някакво значение, понякога вместо gw получавам грешка 404 (Page not found), от сървера, на който фактически съществува тази страница (по същото време през 3G връзката на телефона си я виждам).

 

MTU-то го избрах с пингове (ping -f -l 1500 <интернет адрес>):

 

Pinging galanto.com [46.19.35.177] with 1500 bytes of data:
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.

Ping statistics for 46.19.35.177:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
 

и намалях числото 1500 докато започнат да не се фрагментират пакетите:

 

Pinging galanto.com [46.19.35.177] with 1432 bytes of data:
Reply from 46.19.35.177: bytes=1432 time=44ms TTL=54
Reply from 46.19.35.177: bytes=1432 time=44ms TTL=54
Reply from 46.19.35.177: bytes=1432 time=44ms TTL=54
Reply from 46.19.35.177: bytes=1432 time=44ms TTL=54

Ping statistics for 46.19.35.177:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 44ms, Maximum = 44ms, Average = 44ms
 

Добавих към 1432 още 28 (IP и ICMP хедърите) и се получи 1460. Това е стойността за PPP-тунела (и за мен гейтуей). За всеки случай зададох същата стойност и за LAN-интерфейсите, не знам дали е необходимо. Не знам също какво точно значи L2 MTU и по-точно дали има смисъл да си играя с него, все ще намеря къде да разбера какво точно значи ;-).

 

Друг интересен факт е, че при смяна на MTU-то за момент започват да се отварят страници на устройствата в LAN-а (компютри и мобилни телефони), но само за минутка или няколко.. след това започват да се появяват отново gw и 123 в браузърите.

Link to post
Share on other sites
  • 0
/ip firewall mangle
add action=change-mss chain=forward new-mss=1440 out-interface=pppoe-out1
    protocol=tcp tcp-flags=syn tcp-mss=1441-65535
пробвай с това за in-interface сложи същото правило 
Link to post
Share on other sites
  • 0
за krustanovs:

Пробвах, без ефект.

 

Между другото се бяха създали автоматично подобни правила (динамични), само че за 'all ppp" и с "new-mss=1420'.

 

Като пуснах процедурата за отстраняване на мрежови проблеми на едно PC с Windows, ми даде съобщение, че "доставчикът изисквал допълнителен log-in за да получи достъп до интернет" ;-). И ме праща да се логна, но в браузъра отново виждам само gw....

Link to post
Share on other sites
  • 0
Mupo neTkoB

я провери тогава /ip webproxy или /ip hotspot

да нямаш там пуснато нещо

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to post
Share on other sites
  • 0

Не, нямам пуснато там засега нищо.

 

Оправи се (мисля) проблемът, като смених DNS - сега е само 8.8.8.8 и само той се раздава и от DHCP, но в къщи в момента имам само един компютър пуснат в LAN-а, довечера ще го тествам пълноценно и ще споделя резултатите.

Link to post
Share on other sites
  • 0

Чекнал бях опцията allow remote requests.

 

Вече всичко си работи. Промените, които направих, са две: оставих за единствен DNS гугълския 8.8.8.8 и зададох на DHCP да разпространява само и единствено него.

 

Сега остана да разбера защо това е било причината.

 

Явно не в доставчика, защото с предишния рутер (с dd-wrt) всичко си работеше, като бяха зададени три DNS-a - първи на рутера, втори на доставчика и трети 8.8.8.8. Ще трябва да разбера ничина, по който се разпределят заявките към DNS-ите, ако са повече - по равно, случайно, не следващите само ако не работят предишните или друг начин. Вероятно ще си го изяснявам заедно с доставчика, при мен слава Богу е винаги добронамерен и се опитва да подобрява нещата и угажда на клиентите, доколкото може ;-).

 

Като разбера нещо, ще споделя, ако ви е интересно. Хубав и успешен ден и благодаря на тези, които отделиха от времето си!

Link to post
Share on other sites
  • 0
  • Administrator

Най-елементарно е да споделиш правилата от защитната стена

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0

Ето ги правилата.

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=yes out-interface=sfp1-gateway
add action=masquerade chain=srcnat comment="default configuration" out-interface=bridge1-local to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=pppoe-out1
Edited by 111111
лични данни премахнати
Link to post
Share on other sites
  • 0
  • Administrator

да ти прави впечатление че имаш две правила за маскарадинг?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0

Едното е остатък от конфигурацията по подразбиране и е за оптичен порт, какъвто няма и по тая причина го забраних. Може и да съм направил нещо неправилно, сега се уча...

Link to post
Share on other sites
  • 0
  • Administrator

То се вижда че първото е спряно 

но второто и третото са също маскарадинг правила 

при едното има и опит за рутиране само че рутирането се прави на друго място

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0

Забраних и това с опита за рутиране. Също е остатък от конфигурацията по подразбиране.

 

Да ми препоръчаш някакъв линк, където на сравнително достъпен език и с прости примери, да се образовам за firewall / filters, nat, magle, address lists? Четох wiki на Микротик, но там уж ми е ясно, пък като стигна до примерите като че ли повече се обърквам.

 

А разбирам за себе си, че за да задълбавам нататък трябва всичко за защитната стена да ми стане, дет' се вика, "ясно като 100 грама водка" ;-)

Edited by lz3ai
Link to post
Share on other sites
  • 0
Mupo neTkoB

най-добрия начин да се научиш си го почнал вече - браво

четеш във Вики-то на микротик и се мъчиш. няма иначе кой да ти ги обясни нещата на проЗ бъларски език :)

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Similar Content

    • kokaracha
      By kokaracha
      Продавам няколко гигабитови рутери и защитни стени Juniper от серията J и SRX.
      Всички те са в много добро техническо състояние,без забележки.Всички интерфейси и портове са тествани и работят за което гарантирам.В случай на нужда мога да ви направя базова конфигурация или консултация.
      За връзка ЛС или 0885 90 85  осем  шест
       
      1 . J2350JH -  цена 350лв.  280лв.
      Перфектн за core/border рутер !  Възможен ъпгрейд на ОС . Идеално решение за средни и малки доставчици или фирми със специфични изисквания във сферата на сигурността.Към  рутера добавям 8 портов гигабитов модул (10/100/1000) с което портовете му стават 12 общо. Има 2 козметични драскотини на горния капак
      show version Hostname: j2350 Model: j2350 JUNOS Software Release [10.2R4.10] show chassis environment Class Item Status Measurement Temp Routing Engine OK 34 degrees C / 93 degrees F Routing Engine CPU OK 28 degrees C / 82 degrees F Fans Jseries CPU fan 0 OK Spinning at normal speed Jseries CPU fan 1 OK Spinning at normal speed Jseries IO fan Check Jseries Mem fan Check Power Power Supply 0 OK show chassis hardware detail Hardware inventory: Item Version Part number Serial number Description Chassis JN11039D1ADE J2350 Midplane REV 07 710-017556 PT9822 System IO REV 07 710-017562 PV6511 J23X0 System IO Crypto Module Crypto Acceleration Routing Engine REV 12 710-017560 PW4050 RE-J2350-2500 ad0 495 MB 512MB CKS 0116F008C16A00004008 Compact Flash FPC 0 FPC PIC 0 4x GE Base PIC Power Supply 0  
       

       

       
       
       
      2.  SRX240H - 650 лв.
      Много добра и функционална защитна стена със 16 гигабитови порта.Идеално решение за средни и малки доставчици или фирми със специфични изисквания във сферата на сигурността.Б
       


    • mikrostart
      By mikrostart
      Здравейте,
      искам да "заздравя бетона"
      по-долу са мойте правила, които са съвсем основни.
      Прегледах доста примери, включително и тези в сайта на МТ, но ми се иска някой да ми помогне (при достатъчно желание и време) да донадградя собсвеното ми творение. Рутерът се използва за домашни цели, има включен SSH само, всичко друго е стандартен интернет трафик, скайп, фейс, торрент, и т.н. Зад рутера има само компютри и телефони/таблети. За други идеи ще съм благодарен, добра ми се струва идеята за правила специално срещу дадени вируси, но е голям шансът да объркам нещо. Ако има готов пример, подобен на моя, моля посочете го. Благодаря предварително!
      add action=log chain=input comment="Log invalid connections" connection-state=invalid disabled=yes log-prefix=INVALID add action=drop chain=input comment="Drop invalid connections - input" connection-state=invalid add chain=input comment="Accept established connections" connection-state=established add chain=input comment="Accept related connections" connection-state=related add chain=input comment="Allow access from local network" src-address=192.168.1.0/24 add action=drop chain=input comment="Drop everything else" add action=drop chain=forward comment="Drop invalid connections - forward" connection-state=invalid add chain=forward comment="Accept established connections" connection-state=established add chain=forward comment="Accept related connections" connection-state=related add chain=forward comment="Allow traffic from local network" src-address=192.168.1.0/24 add action=drop chain=forward comment="Drop everything else" /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.1.0/24  
    • master
      By master
      Става въпрос за едно правило което ограничава определени сайтове. Дропва от адресс лист дадени IP адреси. Но искам и да ги логва обаче нещо не мога да се ориентирам как да прави и двете едновременно.

      Това е правилото: add action=reject chain=forward comment="Block WWW" disabled=no dst-address-list=DenyWWW reject-with=icmp-network-unreachable
      Искам просто да се вижда кое IP зад рутера към кое от ограничените прави заявка.
    • master
      By master
      - да се прави отделно правило за всеки
      - да се изредят със запетая

      Примерно искам да забраня 111 и 135 и си мисля, че ако изредя със запетая в едно правило би трябвало да е по-добре за рутера от колкото да правя 2 правила. Или греша?
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.