Мистические проблемы микротика за микротиком.

Тема в разделе "Вопросы начинающих", создана пользователем Nickolass, 22 авг 2016.

  1. Nickolass

    Nickolass Новый участник

    Добрый день.
    Прошу не удивляться названию - именно так высказываются все мои знакомые.

    В упрощенном виде имеется вот такая сеть между организациями, но не могу настроить ее стабильную работу. Связано это с постоянными обрывами сессии Winbox/RDP/FTP клиентов. Пинг при этом как до удаленного микротика так и до серверов за ним идеальный без потерь.

    На обоих микротиках прописаны статические маршруты в соответсвующие сети:

    /ip address
    add address=172.20.0.1/24 comment=VLAN interface= ether1 network=172.20.0.0
    add address=192.168.200.51/24 comment=LAN_ADDRESS interface=ether5 network=192.168.200.0
    /
    /ip route add dst-address=192.168.5.0/24 gateway=172.20.0.2

    /ip address
    add address=172.20.0.2/24 comment=VLAN interface= ether1 network=172.20.0.0
    add address=192.168.5.1/24 comment=LAN_ADDRESS interface=ether5 network=192.168.5.0
    /
    /ip route add dst-address=192.168.200.0/24 gateway=172.20.0.1

    На машине 192,168,200,109 шлюзом прописан 192,168,200,1 (на нем поднят Kerio, через него идет выход в инет, на керио прописаны статические маршруты в сеть 192,168,5,0 через ип 192,168,200,51 принадлежащей микротику Prizma)

    Оба микротика были сброшены до заводских настроек, никаких бриджей или свитчей не поднято. Фаервол чист, как слеза младенца. При всем при этом происходит разрыв в сессиях винбокса илил рдп. (РДП к стати с фтп вместе с первого раза не конектятся только со 2-3го и в процессе могут просто зависнуть.

    2 недели бубнинга и гуглинга результатов не принесли. Прошу помощи знающих микротикоэкозрцистов.
     

    Вложения:

    • scheme.jpg
      scheme.jpg
      Размер файла:
      40,3 КБ
      Просмотров:
      15
  2. Nickolass

    Nickolass Новый участник

    Забыл добавить, железяки RB2011UiAS-RM
     
    Последнее редактирование: 24 авг 2016
  3. Илья Князев

    Илья Князев Администратор Команда форума

    Попробуйте на Prizma (это неправильно, но поможет понять проблему)
    /ip firefall nat
    add chain=srcnat action=masquarade.
     
  4. Nickolass

    Nickolass Новый участник

    Стало вообще выкидывать из винбокса и на призме.

    Вот собственно кусочек лога:
    Вот зашел со своего пк на Призму.
    Aug 25 09:32:06 192.168.200.51 system,info,account user pnn logged in from 192.168.200.209 via winbox

    Дальше непонятно почему то почти все пакеты из In NONE , идут что сие значит чет не понял.
    Aug 25 09:32:15 192.168.200.51 firewall,info MaS srcnat: in:(none) out:Vlan_54, proto UDP, 192.168.200.51:49720->255.255.255.255:5678, len 133
    Вот цепляюсь винбоксом к удаленному микротику
    Aug 25 09:32:21 192.168.200.51 firewall,info MaS srcnat: in:(none) out:Vlan_54, src-mac 00:03:47:32:2e:a4, proto TCP (SYN), 192.168.200.209:60117->172.20.0.3:8291, len 52

    меня почему то выкинуло снова зашел на Призму.
    Aug 25 09:32:22 192.168.200.51 system,info,account user pnn logged in from 172.20.0.1 via winbox

    Прошли пакеты на SYSlog сервер.
    Aug 25 09:32:22 192.168.200.51 firewall,info MaS srcnat: in:(none) out:Vlan_54, src-mac e4:8d:8c:3c:8a:32, proto UDP, 172.20.0.3:36624->192.168.200.66:514, len 93

    Запустил терминал и вышел из него.
    Aug 25 09:32:27 192.168.200.51 system,info,account user pnn logged in from 172.20.0.1 via telnet
    Aug 25 09:32:29 192.168.200.51 system,info,account user pnn logged out from 172.20.0.1 via telnet
    Вот меня выкинуло с Призмы.
    Aug 25 09:32:41 192.168.200.51 system,info,account user pnn logged out from 192.168.200.209 via winbox
    после чего меня выкинуло с удаленного микротика

    опять прошел пакет на сислог сервер.
    Aug 25 09:32:41 192.168.200.51 firewall,info MaS srcnat: in:(none) out:Vlan_54, proto UDP, 192.168.200.51:41939->192.168.200.66:514, len 99
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    Ага. Убирайте маскарад.
    Между микротиками что? VPN? Какого типа?
     
  6. Nickolass

    Nickolass Новый участник

    Впнов нет есть провайдерский один офис по сути тэгированный влан на одном конце подается тэгированным на другом растэгированный так там модем тупой.
    Схемка с аресами устройств в приложении
    у меня есть подозрение что это все связано с гейтвеями...
     

    Вложения:

    • scheme 2.jpg
      scheme 2.jpg
      Размер файла:
      55,7 КБ
      Просмотров:
      9
  7. Илья Князев

    Илья Князев Администратор Команда форума

    Проверьте MTU. Запускаете пинг с запретом фрагментации пакета между prisma и green и меняя размер узнаете свое MTU.
     
  8. Nickolass

    Nickolass Новый участник

    При размере пакета выше 1500 сразу пишет что package too large =) большой вообщем.
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Интересно. Проблема явно в фрагментации пакетов но 1500 при этом проходит.
    А до сервера 1500 проходит?
     
  10. Nickolass

    Nickolass Новый участник

    Пинг до сервера *,*,9,2
    Доходит при размере кадра 1500 отовсюду. С микротиков с запрещением фрагментации все работает до 1500 при увеличении размера to large
    С компьютера при пакете 1500 выдает ошибку что требуется фрагментация.
    Во вложения пинг с призмы и пинг с машины 192,168,200,209
     

    Вложения:

    • ping.png
      ping.png
      Размер файла:
      31,1 КБ
      Просмотров:
      9
    • ping 222.png
      ping 222.png
      Размер файла:
      36,1 КБ
      Просмотров:
      8
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Значится так. Попробуйте
    Попробуйте уменьшить окно TCP Начните с 1400 байт.
    Код:
    /ip firewall mangle
    add action=change-mss chain=forward new-mss=1400 out-interface=VLAN_TO PROVIDER\
      passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1401-65535
    add action=change-mss chain=forward in-interface=VLAN_FROM PROVIDER new-mss=\
        1400 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1401-65535 
    Если не поможет, так же попробуйте следующее правило:
    Код:
    /ip firewall mangle
    add chain=prerouting action=clear-df
     
  12. Nickolass

    Nickolass Новый участник

    Уменьшать размер кадра надо на обоих микротиках или достаточно на моем ( призма) ?
     
  13. Илья Князев

    Илья Князев Администратор Команда форума

    Лучше на обоих
     
  14. Nickolass

    Nickolass Новый участник

    Хм мистика.
    сделал - вроде как с моей машины заработало
    Вырубил на обоих правила. и все равно все работает.
    Перегрузил Мт и все равно все работает
     
  15. Илья Князев

    Илья Князев Администратор Команда форума

    Вот почему после перезагрузки работает я не знаю.
    А
    и иные TCP сервисы, это как правило MTU или фрагментация.
     
  16. Nickolass

    Nickolass Новый участник

    Увы и ах я рано обрадовался -- работает почему то только на моей машине ;(
    на других где работает а где не работает. Почему то со стороны дальнего микротика (не призмы) не резволвится часть адресов из 200 подсети... а часть резолвиться... магия блин мать ее...
     
  17. Nickolass

    Nickolass Новый участник

    непонятно такое впечатление что у МТ где-то спрятан ограничетель на количество сессий или ширину канала, или еще какой то ограничитель, то машина прекрасно коннектится и винбокосм и работает, то вооще ничем не зайти только пинги идут и радуют глаз.
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Тут вопрос канала ИМХО.
    Попробуйте поднять туннель какой-нибудь
     
  19. Nickolass

    Nickolass Новый участник

    В общем удалось решить проблему в том числе и с вашей помощью.
    Магия заключалась в том что когда в качестве шлюза использовался 192.168.200.1(kerio) то ответ пользователю приходил от 192,168,200,51 (prizma) и начинались глюки, на которые софт реагировал так как ему в голову взбредало, они же оба в 200.0 подсети ;(. Пришлось поменять на микротике адрес и изменить маршруты на керио и тогда все взлетело.

    Хотелось бы выразить Вам благодарность за помощь.
    А так же сказать спасибо Кирилу Васильеву за помощь.
    vasilevkirill.com

    С Уважением Nickolass.
     
  20. Илья Князев

    Илья Князев Администратор Команда форума

    Ответ должен был приходить от удаленного сервера. Если он приходил от 200.51 значит у вас в схеме где-то был лишний NAT.