Проблем с рутер. Не ми отваря някои сайтове.

[imperia]

Здравейте,

Взех си и аз един hap ac. Вчера всичко беше ок. (не съм го мъчил много)
Днес реших да го натоваря леко да видя как се държи. Пуснах да се сидват всички торенти които имам..
В един момент спря да ми отваря доста сайтове.
Реших че е от торентите и ги спрях. Но проблема остана.
Не ми се отварят доста сайтове.
Възможно ли това да е проблем с MTU? И как да го реша?

[111111]

1, не си барарай MTU на интерфейса от там още повече ще сбозиш нещата

2. Винаги добавяй на кой интерфейс да идват заявките, инак глобално пренасочваш.

пр.

Цитат

ако на интерфейс WAN и протокол TCP има заявка към :80
то заявката да се прехвърли на адрес 192.168.0.63 с :80

 

за да може от останалите интерфейси да се игнорира.

[111111]

Приятно четене.

[imperia]

Докато чаках одобряване на темата, този съвет го намерих по надолу по темите и го пробвах. Не помага

Да попитам

!536-1460 това е удивителна а не 1 (единица)  нали?

Не знам точно какво означава тунелни. Интернета ми идва с Ethernet кабел и си взима IP по DHCP. Това е. Няма никакви други магии от типа на PPPoE или др.

 

/interface bridge
add fast-forward=no name=bridge2
/interface ethernet
set [ find default-name=ether1 ] mac-address=00:xx:xx:xx:xx:xx
/interface wireless
set [ find default-name=wlan1 ] country=bulgaria disabled=no mode=ap-bridge ssid=iMPERiA-2GHz \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n country=bulgaria disabled=no mode=ap-bridge ssid=iMPERiA-5GHz \
    wireless-protocol=802.11
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys wpa-pre-shared-key=parola \
    wpa2-pre-shared-key=parola
/ip dhcp-server option
add code=119 name=domain-search value=0x07696D7065726961036C616E00
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.0.2-192.168.0.199
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge2 lease-time=30m name=dhcp1
/interface bridge port
add bridge=bridge2 interface=ether2
add bridge=bridge2 interface=ether3
add bridge=bridge2 interface=ether4
add bridge=bridge2 interface=ether5
add bridge=bridge2 interface=sfp1
add bridge=bridge2 interface=wlan2
add bridge=bridge2 interface=wlan1
/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.0.2 client-id=1:10:bf:48:b7:85:30 mac-address=10:BF:48:B7:85:30 server=dhcp1
add address=192.168.0.30 client-id=1:0:16:b4:4:0:4c mac-address=00:16:B4:04:00:4C server=dhcp1
add address=192.168.0.40 client-id=1:84:38:38:36:ab:18 mac-address=84:38:38:36:AB:18 server=dhcp1
add address=192.168.0.20 client-id=1:b8:27:eb:b9:6c:c0 mac-address=B8:27:EB:B9:6C:C0 server=dhcp1
add address=192.168.0.31 client-id=1:3c:cd:93:b8:f3:bf mac-address=3C:CD:93:B8:F3:BF server=dhcp1
add address=192.168.0.61 mac-address=00:16:3E:07:6F:5C server=dhcp1
add address=192.168.0.62 mac-address=00:16:3E:E6:AF:D1 server=dhcp1
add address=192.168.0.63 mac-address=00:16:3E:FA:B6:2E server=dhcp1
add address=192.168.0.64 mac-address=00:16:3E:9B:7E:A2 server=dhcp1
add address=192.168.0.33 client-id=\
    49:6e:66:6f:6d:69:72:4d:41:47:32:35:34:2d:30:30:3a:31:61:3a:37:39:3a:33:65:3a:33:65:3a:36:66 mac-address=\
    00:1A:79:3E:3E:6F server=dhcp1
/ip dhcp-server network
add address=192.168.0.0/24 dhcp-option=domain-search dns-server=192.168.0.1 domain=imperia.lan gateway=\
    192.168.0.1 netmask=24 ntp-server=192.168.0.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 name=MikroTik.imperia.lan ttl=1w
add address=192.168.0.20 name=raspi.imperia.lan ttl=1w
add address=192.168.0.30 name=et6x00.imperia.lan ttl=1w
add address=192.168.0.61 name=fserver.imperia.lan ttl=1w
add address=192.168.0.62 name=rtorrent.imperia.lan ttl=1w
add address=192.168.0.63 name=wserver.imperia.lan ttl=1w
add address=192.168.0.64 name=streamrip.imperia.lan ttl=1w
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=ether1
/ip firewall mangle
add action=jump chain=forward comment="tcp, mss" jump-target=mss
add action=change-mss chain=mss comment="tcp, mss fixation" new-mss=1440 protocol=tcp tcp-flags=syn tcp-mss=\
    !536-1460
add action=change-mss chain=mss comment="tcp, mss 1440 for mtu 1492" new-mss=1440 protocol=tcp tcp-flags=syn \
    tcp-mss=1453-65535
add action=change-mss chain=mss comment="tcp,mss clamp-to-pmtu" new-mss=clamp-to-pmtu protocol=tcp tcp-flags=\
    syn
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=30002 protocol=tcp to-addresses=192.168.0.2 to-ports=3389
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=192.168.0.63 to-ports=80
add action=dst-nat chain=dstnat dst-port=60080 protocol=tcp to-addresses=192.168.0.30 to-ports=80
add action=dst-nat chain=dstnat dst-port=8001 protocol=tcp to-addresses=192.168.0.30 to-ports=8001
add action=dst-nat chain=dstnat dst-port=6881 protocol=udp to-addresses=192.168.0.62 to-ports=6881
add action=dst-nat chain=dstnat dst-port=6980 protocol=tcp to-addresses=192.168.0.62 to-ports=6980
add action=dst-nat chain=dstnat dst-port=55990-56000 protocol=tcp to-addresses=192.168.0.62 to-ports=\
    55990-56000
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge2 type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Sofia
/system leds
set 1 interface=wlan2
/system ntp client
set enabled=yes primary-ntp=212.70.148.17 secondary-ntp=87.97.157.120
/system ntp server
set enabled=yes
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=sfp1
add interface=wlan2
add interface=wlan1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=sfp1
add interface=wlan2
add interface=wlan1

 

[111111]

Проблема типично се среща при капсулиране на пакети през тунелни протоколи в твоя случай преди теб вероятно.

Правилата трябва да отчитат пакети.

[imperia]

Върнах на стария рутър - всичко си работи. 

Има ли какво друго да опитам за да диагностицирам проблема. Примерно пинг с големи пакети или друго.

Днес примерно не ми отваряше Facebook въобще а сега го отваря всеки път.

Не се отваря например data.bg въобще.

kaldata също не се отваряше - сега работи. 

Чудна работа.

[111111]

Сапунерките имат вградени тези правила.

[imperia]

Предишния ми рутър е Debian Linux виртуална машина под XEN с passthrough на две мрежови карти rtl8139. Firewall shorewall, isc-dhcp и bind за DNS server. Не съм му правил никакви настройки на MTU. Освен самия firewall да ги има вградени. Ще опитам утре да видя всички iptables правила за нещо да ми подскаже как да оправя този гаден проблем.

[111111]

Правилата отчитат ли преминаващи през тях пакети?

[imperia]

Да - примерно a*****g.com минава през правилото защото едно отваряне на сайта ми даде 24MiB източени. Но тези сайтове които не работят не качват трафика или го качват с много малко.

Опитвах с различни стойности. Опитвах да сложа малко MTU на ether1 и ether2 (1000). Общо взето - лутам се.

Пробвах различни правила които намирам по форумите. Сега бях тръгнал да свалям Wireshark ако може да видя нещо. 

Гледайки този сайт:

http://tldp.org/HOWTO/IP-Masquerade-HOWTO/mtu-issues.html

Се чудя да не би да трябва да пусна ICMP навън за да може да праща Fragmentation needed. 

Това са догатки от моя страна. Не съм много наясно.
 

 

[imperia]

Ето capture

Прави заявка.
После TCP Retransmission 
И накрая отговора е: ICMP Destination unreachable

1.pcap.gz

Ееее хванах го от какво е. Най-накрая.

chain=dstnat action=dst-nat to-addresses=192.168.0.63 to-ports=80 protocol=tcp dst-port=80 log=no log-prefix=""

Този port forward бъгва всички заявки от вътрешната мрежа към 80 порт(оказа се че ми са ми работили само страниците с https 443).
Отвън като се вържа с външното ми IP и ми излиза страницата от 192.168.0.63. Но вътрешната мрежа не отваря нищо от порт 80. Получава се някакъв LOOP?

Грешно ли съм го написал? Целта е всички заявки на външното IP да минат към вътрешен Web Server - 192.168.0.63 порт 80?

Значи ли това че правилата ми за port forward всичките са грешни и ще спират достъпа до съответните портове:
(иначе и 30002 порта си работи както трябва)
 

 1    chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=3389 protocol=tcp dst-port=30002 
 2 X  chain=dstnat action=dst-nat to-addresses=192.168.0.63 to-ports=80 protocol=tcp dst-port=80 log=no log-prefix="" 
 3 X  chain=dstnat action=dst-nat to-addresses=192.168.0.30 to-ports=80 protocol=tcp dst-port=60080 log=no log-prefix="" 
 4 X  chain=dstnat action=dst-nat to-addresses=192.168.0.30 to-ports=8001 protocol=tcp dst-port=8001 log=no log-prefix="" 
 5 X  chain=dstnat action=dst-nat to-addresses=192.168.0.62 to-ports=6881 protocol=udp dst-port=6881 log=no log-prefix=""
 6 X  chain=dstnat action=dst-nat to-addresses=192.168.0.62 to-ports=6980 protocol=tcp dst-port=6980 log=no log-prefix="" 
 7 X  chain=dstnat action=dst-nat to-addresses=192.168.0.62 to-ports=55990-56000 protocol=tcp dst-port=55990-56000 log=no log-prefix="" 
 

Какъв е правилния начин. Трябва да добавя dst-address външното IP  или in-interface трябва да го сложа ether1?

Редактирано 19 Септември, 2017 от imperia