Skynet+Mikrotik+часть сайтов

Тема в разделе "Вопросы начинающих", создана пользователем 1233, 11 июн 2017.

  1. 1233

    1233 Новый участник

    Всем здравствуйте!
    Проблема следующего толка:
    Есть роутер mikrotik hap ac
    Есть собственно куча устройств и на всех одна и та же проблема, не открывается часть сайтов, в частности nvidia.ru, при том что пинг до них проходит корректно и провайдер каких либо проблем со своей стороны не выявил, при подключении напрямую все проходит на ура, при использовании VPN или Proxy тоже соединение идет во всех других случаях(прямое подключение ERR CONN timed out и прочее)
    MTU менял - не помогло.
    По необходимости предоставлю любые настройки.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Конфиг покажите
     
  3. 1233

    1233 Новый участник

    Бэкапом?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Команда /export
     
  5. 1233

    1233 Новый участник

    # jun/13/2017 22:34:53 by RouterOS 6.39.2
    # software id = LVI4-TYI0
    #
    /caps-man channel
    add band=2ghz-onlyn control-channel-width=20mhz extension-channel=disabled name=24GHz tx-power=14
    add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=eCee name=5Ghz tx-power=18
    /interface bridge
    add fast-forward=no name=bridge1
    /interface ethernet
    set [ find default-name=ether1 ] arp=proxy-arp mtu=1492
    set [ find default-name=ether5 ] disabled=yes
    set [ find default-name=sfp1 ] disabled=yes
    /ip neighbor discovery
    set ether1 discover=no
    /caps-man datapath
    add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=pathwifi
    /caps-man security
    add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=secprofile2 passphrase=
    add authentication-types=wpa2-psk encryption=tkip group-encryption=tkip name=security5ghz passphrase=
    add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 passphrase=
    /caps-man configuration
    add channel=5Ghz country=germany datapath=pathwifi mode=ap name=cfg5Ghz rates.vht-basic-mcs="" rates.vht-supported-mcs="" rx-chains=0,1,2 \
    security=security5ghz ssid=WiFi5Ghz tx-chains=0,1,2
    add channel=24GHz country=russia datapath=pathwifi mode=ap name=cfg2 rx-chains=0,1 security=secprofile2 ssid=WiFi2Ghz tx-chains=0,1
    /interface wireless security-profiles
    set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
    wpa2-pre-shared-key=
    add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=WiFi5Ghz radius-mac-mode=\
    as-username-and-password supplicant-identity="" wpa2-pre-shared-key=
    add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=Wifi2ghz supplicant-identity="" \
    wpa2-pre-shared-key=
    /interface wireless
    # managed by CAPsMAN
    # channel: 2462/20/gn(14dBm), SSID: WiFi2Ghz, local forwarding
    set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-onlyn channel-width=20/40mhz-Ce country=russia \
    disabled=no frequency=auto hw-protection-mode=rts-cts mode=ap-bridge name=2GhzWfi preamble-mode=short rx-chains=0,1 security-profile=\
    Wifi2ghz ssid=FreeWiFi2 tx-chains=0,1 tx-power=14 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
    # managed by CAPsMAN
    # channel: 5280/20-eCee/ac(18dBm), SSID: WiFi5Ghz, local forwarding
    set [ find default-name=wlan2 ] band=5ghz-onlyac basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps channel-width=\
    20/40/80mhz-eeeC country=germany disabled=no distance=indoors frequency=auto hw-protection-mode=rts-cts mode=ap-bridge name=5ghzWifi \
    preamble-mode=short rx-chains=0,1 security-profile=WiFi5Ghz ssid=FreeWiFi5 tx-chains=0,1 tx-power=14 tx-power-mode=all-rates-fixed \
    wireless-protocol=802.11 wps-mode=disabled
    /interface wireless nstreme
    # managed by CAPsMAN
    # channel: 5280/20-eCee/ac(18dBm), SSID: WiFi5Ghz, local forwarding
    set "5ghzWifi" enable-nstreme=yes
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip pool
    add name=dhcp ranges=192.168.90.2-192.168.90.20
    /ip dhcp-server
    add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge1 name=dhcpLAN
    /caps-man manager
    set enabled=yes
    /caps-man provisioning
    add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5Ghz
    add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg2
    /interface bridge port
    add bridge=bridge1 interface=ether2
    add bridge=bridge1 interface=ether3
    add bridge=bridge1 interface=ether4
    add bridge=bridge1 interface=ether5
    add bridge=bridge1 interface=sfp1
    add bridge=bridge1 interface=5ghzWifi
    add bridge=bridge1 interface=2GhzWfi
    /interface l2tp-server server
    set max-sessions=1
    /interface wireless access-list
    add authentication=no interface=5ghzWifi mac-address=74:A5:28:5E:0B:9D vlan-mode=no-tag
    /interface wireless cap
    #
    set bridge=bridge1 caps-man-addresses=192.168.90.1 enabled=yes interfaces=5ghzWifi,2GhzWfi
    /ip address
    add address=192.168.90.1/8 interface=ether2 network=192.0.0.0
    /ip dhcp-client
    add dhcp-options=hostname,clientid disabled=no interface=ether1
    /ip dhcp-server network
    add address=192.0.0.0/8 gateway=192.168.90.1 netmask=8
    /ip dns
    set allow-remote-requests=yes
    /ip firewall address-list
    add address=92.123.64.26 disabled=yes list=nvidia
    /ip firewall filter
    add action=accept chain=input comment=ping protocol=icmp
    add action=accept chain=forward comment=ping protocol=icmp
    add action=accept chain=input connection-state=established
    add action=accept chain=input connection-state=related
    add action=accept chain=forward connection-state=related
    add action=accept chain=forward connection-state=established
    add action=accept chain=input comment="input to LAN" in-interface=!ether1 src-address=192.168.1.0/24
    add action=drop chain=input comment="Invaders must die" connection-state=invalid
    add action=drop chain=forward connection-state=invalid
    add action=drop chain=input in-interface=ether1
    add action=accept chain=forward comment="from lan to web" in-interface=!ether1 out-interface=ether1
    add action=drop chain=forward comment="drop all others"
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=ether1
    /ip firewall service-port
    set ftp disabled=yes
    set tftp disabled=yes
    set irc disabled=yes
    set h323 disabled=yes
    set sip disabled=yes
    set pptp disabled=yes
    set udplite disabled=yes
    set dccp disabled=yes
    set sctp disabled=yes
    /ip proxy
    set anonymous=yes cache-administrator="" src-address=192.168.90.20
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ip upnp
    set enabled=yes
    /ip upnp interfaces
    add interface=bridge1 type=internal
    add interface=ether1 type=external
    /system clock
    set time-zone-name=Europe/Moscow
    /system identity
    set name="HAP AC"
    /system routerboard settings
    set cpu-frequency=600MHz silent-boot=yes
    /tool mac-server
    set [ find default=yes ] disabled=yes
    add interface=ether2
    add interface=ether3
    add interface=ether4
    add interface=ether5
    add interface=sfp1
    add interface=5ghzWifi
    add interface=2GhzWfi
    /tool mac-server mac-winbox
    set [ find default=yes ] disabled=yes
    add interface=ether2
    add interface=ether3
    add interface=ether4
    add interface=ether5
    add interface=sfp1
    add interface=5ghzWifi
    add interface=2GhzWfi
     
    Последнее редактирование: 14 июн 2017
  6. 1233

    1233 Новый участник

    Сделано, прислано
     
  7. 1233

    1233 Новый участник

    Проблема решена сбросом всего в нули, также предупреждаю заранее, после выкладывания сюда конфига, уж не знаю кто и откуда, но начали отчаянно перебирать пароли, ума не приложу зачем, но как факт :)
    Возможно просто совпало.
     
  8. 1233

    1233 Новый участник

    И снова здравствуйте!
    Не решена все же проблема, видимо все таки дело в MTU
    http://www.fotolink.su/v.php?id=ce6acc655c627436c2c6396bab216a7d
    Подскажите пожалуйста куда еще копать, правило для мангла / ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no
    Которым пестрит пол интернета создавал, не помогло к сожалению(хотя надо отметить ввиду подобных настроек скорость прогрузки стала гораздо бодрее)
     

    Вложения: