Проблема с пробросом.

Тема в разделе "Вопросы начинающих", создана пользователем Nickolass, 27 июл 2017.

  1. Nickolass

    Nickolass Новый участник

    Добрый день.
    Есть небольшая сетка, в ней есть инет от провайдера и все работает. (шлюз на керио). В той же конторе в той же сети есть еще один канал в инет специально для хостинга (структура подключения: оптика от провайдера - медиаконвертер - PPPoE на микротике +4 белых статик IP от прова) В сети поднят LAMP сервер нем развернут сайт(Joomla). В локалке сайт летает как реактивный. Если же на микротике делаем проброс 80 порта - начинаются пердомонокли.
    Что бы не быть голословным - прикладываю лог с сервиса.
    Разлет на время загрузки страничики от 2 до 30 секунд.
    Как не изаглялся над микротиком проблему найти не могу. С чем связаны долгие загрузки сайта найти не удается, если кинуть проброс 80 порта на первый интернет каналто все работает идеально. Куда копать господа ?

    Оборудование RB2011iL (v6.40)


    Вот конфиг
    Код:
    /interface ethernet
    
    set [ find default-name=ether1 ] comment=PPPoE
    
    set [ find default-name=ether2 ] comment=NotUsed disabled=yes
    
    set [ find default-name=ether3 ] disabled=yes
    
    set [ find default-name=ether4 ] disabled=yes
    
    set [ find default-name=ether5 ] comment=LAN
    
    set [ find default-name=ether6 ] comment=NotUsed disabled=yes
    
    set [ find default-name=ether7 ] comment="vlan for CRS [3]"
    
    set [ find default-name=ether8 ] disabled=yes
    
    set [ find default-name=ether9 ] disabled=yes
    
    set [ find default-name=ether10 ] disabled=yes
    
    /interface pppoe-client
    
    add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=60 name=PPPoE password=********* use-peer-dns=yes user=*******
    
    /interface vlan
    
    add interface=ether7 loop-protect-disable-time=0s loop-protect-send-interval=0s name=CRS vlan-id=3
    
    /interface ethernet switch port
    
    set 5 vlan-mode=fallback
    
    set 6 vlan-mode=fallback
    
    set 7 vlan-mode=fallback
    
    set 8 vlan-mode=fallback
    
    set 9 vlan-mode=fallback
    
    set 11 vlan-mode=fallback
    
    /interface wireless security-profiles
    
    set [ find default=yes ] supplicant-identity=MikroTik
    
    /system logging action
    
    set 0 memory-lines=250
    
    set 3 remote=**************
    
    /ip address
    
    add address=192.168.*.24/24 comment=LAN_ADr interface=ether5 network=192.168.*.0
    
    add address=*.*.*.153 comment="HOSTING sait" interface=ether1 network=*.*.*.153
    
    /ip firewall filter
    
    add action=accept chain=forward dst-port=80 in-interface=PPPoE log=yes log-prefix="PORT 80" protocol=tcp
    
    add action=accept chain=input comment="Allow ICMP" protocol=icmp
    
    add action=accept chain=forward protocol=icmp
    
    add action=accept chain=input comment="Allow establish connection" connection-state=established
    
    add action=accept chain=forward connection-state=established
    
    add action=accept chain=input comment="Allow realted connection" connection-state=related
    
    add action=accept chain=forward connection-state=related
    
    add action=drop chain=input comment="Drop invalid connection " connection-state=invalid log=yes log-prefix=DRP_inp
    
    add action=drop chain=forward connection-state=invalid log=yes log-prefix=DRP_forw
    
    /ip firewall nat
    
    add action=dst-nat chain=dstnat comment=GosUslugi dst-address=*.*.*.* dst-port=80 in-interface=PPPoE log=yes log-prefix=GoUsLuGi protocol=tcp src-port="" to-addresses=192.168.*.55 to-ports=80
    
    add action=dst-nat chain=dstnat comment=GosUslugi disabled=yes dst-address=*.*.*.* dst-port=80 in-interface=PPPoE log=yes log-prefix=GoUsLuGi protocol=tcp src-port="" to-addresses=192.168.*.55 to-ports=80
    
    /ip firewall service-port
    
    set ftp disabled=yes
    
    set tftp disabled=yes
    
    set irc disabled=yes
    
    set h323 disabled=yes
    
    set sip disabled=yes
    
    set pptp disabled=yes
    
    set udplite disabled=yes
    
    set dccp disabled=yes
    
    set sctp disabled=yes
    
    /ip service
    
    set telnet disabled=yes
    
    set ftp disabled=yes
    
    set www disabled=yes port=10011
    
    set ssh disabled=yes
    
    set api disabled=yes
    
    set winbox address=0.0.0.0/0
    
    set api-ssl disabled=yes
    
    /system clock
    
    set time-zone-name=Europe/Chisinau
    
    /system identity
    
    set name=Rebeka
    
    /system logging
    
    add action=remote topics=critical
    
    add action=remote topics=error
    
    add action=remote topics=info
    
    add action=remote topics=warning
    
    add action=remote topics=firewall
    
    add action=remote topics=system
    
    /system ntp client
    
    set enabled=yes primary-ntp=192.168.*.5
    
    /tool sniffer
    
    set file-name=smod_3.cap filter-interface=ether5
     

    Вложения:

    • sait.jpg
      sait.jpg
      Размер файла:
      112,6 КБ
      Просмотров:
      7
    Последнее редактирование: 28 июл 2017
  2. Macaroff

    Macaroff Участник

    попробуйте убрать этот пункт
    add action=drop chain=forward connection-state=invalid log=yes log-prefix=DRP_forw
     
  3. Nickolass

    Nickolass Новый участник

    Отключал как это так и все правила в фильтре вообще ничего не меняется ;(
     
  4. Macaroff

    Macaroff Участник

    Самый простой способ это посмотреть как идут tcp-сессии (tcpdump-ом или wireshark-ом).
    ПС. А где у Вас доступ к интернету на устройствах за микротиком? Если закконектится к порту микрота, то исходя из Вашего конфига - интернета не будет( не вижу никаких настроек НАТ). Вы уверены, что у машины за микротик есть доступ в интернет? Мне почему то кажется, что она пытается выдать серые адреса вашей сети.
    Должно быть, что то вроде такого
    /ip firewall nat
    add action=src-nat chain=srcnat out-interface=PPPoE src-address="ваш адрес локальной сети - пример, 192.168.1.0/24"
    to-addresses="внешний ай-пи"
     
  5. AlexShoroh

    AlexShoroh Участник

    Так, вопрос маленький.
    ГИДЭ эти адреса?
    Ибо, был момент, что 4 виртуальных хостинга вылазили в сеть прова под одним mac адресом, и была похожая катавасия, потери-задержки. Потеряли почти часа, пока не изменили последние октеты в маке виртуалок.
    А NAT мне думается где то за керио.
    З.Ы. а скажите, что за керио то такое? ))) вот хоть убейте, не видел в глаза.
    Так, и тут бы dst-address ф бы убрал, поскольку у Вас на PPPoe идет внешний ip, то другого быть не могет.
     
    Последнее редактирование: 28 июл 2017
  6. Macaroff

    Macaroff Участник

    Лично я предпологаю, что структура сети примерно такая :
    1) медиаконвертер(4 адреса) - микрот - лок. сеть
    2) шлюз керио(другой ай-пи) - другая лок. сеть.
    И коннект из сети с шлюзом керио в сеть с шлюзом микротик происходит между несколькими разными белыми адресами. Но предположение и есть предположение :)
    И да - настроек с адресами тоже нигде не видно
     
  7. AlexShoroh

    AlexShoroh Участник

    Согласен. Кофейная гуща. )))
    Думаю, надо требовать:
    1) /ip address print (внешние нужно скрывать)
    2) /ip route print
    Как минимум.
    Не факт. Как-то прилетают локальные юзеры до хостинга.
    И еще вопрос. Простите лузера в плане хостинга , НО. Разве размещают хостинг с "серым" адресом, пусть и через проброс портов? Вы представьте нагрузку на проброс, это кошмар. На мой взгляд схема должны быть такова:
    1. На хостинге 2 физ. сетевых
    2. Пусть будет eth0 - внешний адрес ( внешняя сеть) eth1 внутренний интерфейс. Ну и настроить ДНС правильно.
     
    Последнее редактирование: 28 июл 2017
  8. Macaroff

    Macaroff Участник

    1) Вот это то и интерестно - как )))
    2) Велика и извлисиста мысля рядового русского сисадмина - всегда думаешь, что ничего нового не увидишь, но не перестают люди удивлять... Богатыри, не мы...
     
  9. AlexShoroh

    AlexShoroh Участник

    Был у нас новичок один... Лешей звать.. Все пытался новый стандарт сети придумать... Что бы все по мак-адресам работало ))))))))
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    Уже не удивительно удивляться.
     
  11. Nickolass

    Nickolass Новый участник

    # ADDRESS NETWORK INTERFACE

    0 ;;; LAN_ADr

    192.168.*.24/24 192.168.*.0 ether5

    1 ;;; HOSTING smod probros

    217.*.*.*/32 217.*.*.0 ether1

    2 ;;; HOSTING usluigi sait

    217.*.*.*/32 217.*.*.153 ether1

    3 X 192.168.*.90/24 192.168.*.0 CRS

    4 ;;; DNS HOSTING

    217.*.*.*/32 217.*.*.0 ether1

    5 192.168.*.24/24 192.168.*.0 ether5

    6 D 217.*.*.*/32 10.*.*.76 PPPoE


    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE

    0 ADS 0.0.0.0/0 PPPoE 0

    1 ADC 10.*.**76/32 217.*.*.235 PPPoE 0

    2 ADC 192.*.*.0/24 192.168.*.24 ether5 0

    3 ADC 192.168.*.0/24 192.*.*.24 ether5 0

    4 ADC 217.*.*.0/32 217.*.*.152 ether1 0

    5 ADC 217.*.*.*/32 217.*.*.153 ether1 0
     
  12. Nickolass

    Nickolass Новый участник

    правило есть почему то не сколпировалось или я когда "лишнее" и его прибил.
    add action=src-nat chain=srcnat log=yes log-prefix="Uslugi SRC" src-address=192.168.*.55 to-addresses=217.*.*.*
     
  13. Nickolass

    Nickolass Новый участник

    Вот как то так.
    Статистику на микротике и на самой машине с "хостингом" собирал в wiresharke смотрел вроде ничего аномального не обнаружил.
     
  14. Nickolass

    Nickolass Новый участник

    В общем так и не удалось разобраться в чем беда.
    в логах тспдампа и очень много Destination Inreacheable
    и куча TCp ретрансмишенов почему они там непонятно вроде ничего сложного нет. Прошу помощи может кто знает откуда ноги растут ( TCP MSS пробовал менять)
     
  15. Илья Князев

    Илья Князев Администратор Команда форума

    Так а у сервера шлюзом кто является?
     
  16. Nickolass

    Nickolass Новый участник

    Шлюзом является микротик
     
  17. Macaroff

    Macaroff Участник

    C MTU ничего не пробовали сделать(PPOE 1492... ethernet 1500)?
     
  18. Nickolass

    Nickolass Новый участник

    Пробовал менять в mangle TCP MSS до 1300
     
  19. Macaroff

    Macaroff Участник

    можно посмотреть как?
     
  20. Nickolass

    Nickolass Новый участник

    /ip firewall mangle
    add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=PPPoE passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535
    add action=change-mss chain=forward in-interface=PPPoE new-mss=clamp-to-pmtu passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1301-65535
    add action=change-mss chain=forward disabled=yes new-mss=1480 out-interface=ether5 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1401-65535
    add action=change-mss chain=forward disabled=yes in-interface=ether5 new-mss=1480 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1401-65535

    пробовал и так и так менять. (и на pppoe интерфейсе и на лан интерфейсе)
    ну и значения менял от 1480 до 1300 с разными вариациями.