и опять микротик не пропускает отдельные сайты

Добрый день. есть следующая ситуация :
- микротик 2011
- отключены УЖЕ все правила в файрволе
- большинство сайтов открывается в том числе по https
- такие сайты habrahabr toster sysadmin (http - https) почемуто не открывются, хотя видно что браузер(всякие) подключается к сайту но ничего не получает
- ping на сайты по имени домена проходит, но : если задать команду (ping -f -l 1492 имя сайта) то нужно уменьшать 1492 на выше перечисленных сайтах иногда до 1360 чтобы пинг прошел. если в РРР(interface) уменьшить MAX MTU(MRU) до выше названных значений все равно сайты не грузятся
- и тут засада : если переключить все взад на ДЛИНК-615 то никаких проблем НЕТ! значит провайдЫр(билайн) тут совершенно не причем.

Вопрос : где еще копать?

 

ну начните, с того, что покажите, что вы там наворотили, т.е. конфиг

 

вот и конфиг, интерфейс ВАН РРРоЕ не используется, включил два правила "запретить все и всем" + "разрешить все и всем из группы ФУУЛ" впрочем ничего не поменялось

/export compact
# feb/24/2017 10:51:38 by RouterOS 6.35.1
# software id = TJYX-SUFJ
#
/interface ethernet
set [ find default-name=ether6 ] name=ether6-LAN
set [ find default-name=ether9 ] name=ether9-PPPoE
set [ find default-name=ether10 ] name=ether10-L2TP
/interface pppoe-client
add add-default-route=yes allow=mschap2 interface=ether9-PPPoE name=TELEMAX-pppoe password=ннннннн user=лоллтлтт
/ip pool
add name=dhcp_pool1 ranges=192.168.0.1,192.168.0.20-192.168.0.30
add name=dhcp_pool2 ranges=192.168.0.160-192.168.0.165
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=ether6-LAN name=dhcp1
/ppp profile
add name=L2TP_profile remote-address=192.168.255.254 use-compression=no use-encryption=no
/interface l2tp-client
add add-default-route=yes allow=mschap1 connect-to=tp.internet.beeline.ru disabled=no max-mru=1420 max-mtu=1420 mrru=1600 name=BEEline-L2tp password=рироиормиорим profile=\
L2TP_profile user=длодлдлдлдл
/ip address
add address=192.168.0.1/24 interface=ether6-LAN network=192.168.0.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether10-L2TP
add default-route-distance=0 dhcp-options=hostname,clientid interface=ether9-PPPoE
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8,77.88.8.1
/ip firewall address-list
add address=192.168.0.3 comment=MainPC list=Full
add address=192.168.0.10 comment=TorrentPC list=Limited
add address=192.168.0.2 comment="LocalPC #1" list=Restricted
add address=192.168.0.21 comment="LocalPC #2" list=Restricted
add address=192.168.0.4 comment="LocalPC #3" list=Restricted
/ip firewall filter
add chain=forward comment="Allow RDP for group Restricted (out)" disabled=yes dst-port=3389 protocol=tcp src-address-list=Restricted
add chain=forward comment="Allow RDP for group Restricted (in)" disabled=yes dst-address-list=Restricted protocol=tcp src-port=3389
add chain=forward comment="Allow Z for group Limited (out)" disabled=yes dst-port=21,80,443,3389,25,110,995,465,5000-65000 protocol=tcp src-address-list=Limited
add chain=forward comment="Allow Z for group Limited (in)" disabled=yes dst-address-list=Limited protocol=tcp src-port=21,80,443,3389,25,110,995,465,5000-65000
add chain=forward comment="Allow ALL for group Full (in)" dst-address-list=Full protocol=tcp src-port=0-65000
add chain=forward comment="Allow ALL for group Full (out)" dst-port=0-65000 protocol=tcp src-address-list=Full
add chain=input comment="Allow DNS request" disabled=yes in-interface=ether10-L2TP protocol=udp src-port=53
add chain=input comment="Allow DNS request" disabled=yes in-interface=ether9-PPPoE protocol=udp src-port=53
add action=drop chain=input comment="Drop DNS from !ether6-LAN" disabled=yes dst-port=53 in-interface=!ether6-LAN protocol=udp
add action=drop chain=input disabled=yes in-interface=TELEMAX-pppoe
add action=drop chain=input disabled=yes in-interface=BEEline-L2tp
add action=drop chain=forward comment="Restrict ALL for ALL" protocol=tcp src-address=192.168.0.0/24 src-port=0-65000
add action=drop chain=input disabled=yes dst-port=53 in-interface=ether10-L2TP protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10-L2TP src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=BEEline-L2tp src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether9-PPPoE src-address=192.168.0.0/24
# TELEMAX-pppoe not ready
add action=masquerade chain=srcnat out-interface=TELEMAX-pppoe src-address=192.168.0.0/24
/ip route
add distance=1 dst-address=194.186.70.218/32 gateway=10.4.184.1
add distance=1 dst-address=194.186.70.222/32 gateway=10.4.184.1
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set protected-routerboot=disabled

 

настройки MTU на PPPoE интерфейсе

 

второй ВАН РРРоЕ пока не используется, вообще отключен

 

а, у вас Билайн? попробуйте убрать mrru, оставьте только max-mru=1420 и max-mtu=1420

 

нет, ни сисадмин ни хабра не грузяттса а вот яндекс все нормально.

 

ну вот и все :

MTU менял на разные значения и TCP MSS (он должен быть на 40 байт меньше MTU)
IP->FireWall->Mangle Rule->New TCP MMS=1400
PPP->Interface(BEEline-L2TP) :
Max MTU=1440
Max MRU=1440
MRRU=

всего навсего