Настройка L2TP соединения через NAT

Тема в разделе "Вопросы начинающих", создана пользователем regs2006, 18 ноя 2016.

  1. regs2006

    regs2006 Новый участник

    Подскажите пожалуйста, кто-нибудь сталкивался со следующим:
    Нужно настроить интернет на Mikrotik rb951
    Проводной интернет от билайна через lt2p, клиенты сидят через NAT.
    Не открываются или медленно открываются сайты.
    Если вместо микротика поставить длинк - все открывается быстро.
    Нашел в интернете, что проблема скорее всего в MTU/MRU
    Пробовал разные значения MTU от 1200 до 1460 - результата нет.

    Посмотрел сколько на длинке значение MTU - 1456.

    Ради эксперимента поднял web-proxy на микротике и выпустил компьютер через него. В этом случае сайты открываются быстро и все работает хорошо.
    Получается через NAT - сайты открываются медленно, а через прокси быстро.
    Подскажите куда копать?

    Сколько уже микротиков настраивал, в первый раз такое вижу. Правда билайн ни разу не настраивал.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Если в mangle нет, попробуйте
    Код:
    /ip firewall mangle
    add action=change-mss chain=forward new-mss=1410 out-interface=all-ppp passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1411-65535
    add action=change-mss chain=forward in-interface=all-pppnew-mss=1410 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1411-65535
    
     
  3. Dmitry_S

    Dmitry_S Участник

    У меня тоже дома Билайн. "Max MTU" и "Max MRU" на L2TP-интерфейсе стоят 1420 - все сайты нормально открываются.
    Основные настройки под Билайн сделаны по этой инструкции
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Начиная с 6.30 Билайн проще настраивается.
    Там надо только на dhcp-client поставить большую дистанцию для default-route и nat+файрвол прописать на l2tp.
     
  5. Dmitry_S

    Dmitry_S Участник

    не знаю не знаю... Когда я настраивал себе Билайн, версия была больше 6.30, но интернет нормально заработал только после настройки по данной инструкции
    Ну, как бы, это первое что приходит в голову и сразу было опробовано.
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    ОК... Вот билайн. Основные куски конфига
    Здесь 4-5 инерфейсы вход и iptv. У них надо поставить Master-port=none
    У интефейсов 2-3 у меня стоит master-port=ether1
    Код:
    /interface bridge
    add name=bridge-gateway
    add name=bridge-local
    /interface bridge port
    add bridge=bridge-local interface=wlan1
    add bridge=bridge-local interface=wlan3
    add bridge=bridge-gateway interface=ether4-gateway-slave
    add bridge=bridge-gateway interface=ether5-gateway-slave
    add bridge=bridge-local interface=ether1-local-master
    
    Далее dhcp-client
    Код:
    /ip dhcp-client
    add default-route-distance=20 dhcp-options=hostname,clientid disabled=no interface=bridge-gateway
    
    Теперь l2tp
    Код:
    /interface l2tp-client
    add add-default-route=yes allow-fast-path=yes connect-to=tp.internet.beeline.ru disabled=no max-mru=1500 max-mtu=1460 mrru=1600 name=\
        l2tp-beeline password=************ user=12345678234
    Теперь NAT
    Код:
    /ip firewall nat
    add action=masquerade chain=srcnat log-prefix="" out-interface=l2tp-beeline
    И файрволл до кучи
    Код:
    /ip firewall filter
    add action=accept chain=input connection-state=established,related log-prefix=""
    add action=accept chain=input log-prefix="" protocol=icmp
    add action=drop chain=input in-interface=bridge-gateway log-prefix=""
    add action=drop chain=input in-interface=l2tp-beeline log-prefix=""
    add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=l2tp-beeline log-prefix=""
    add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=bridge-gateway log-prefix=""
    add action=drop chain=forward connection-state=invalid log-prefix=""
    add action=fasttrack-connection chain=forward log-prefix=""
    
    В общем-то все. Остальное по вкусу.
     
  7. Dmitry_S

    Dmitry_S Участник

    Илья, да я разве спорю? Примерно так-же я и настраивал. Может я чего-то упустил. Надо будет попробовать еще раз
     
  8. Dmitry_S

    Dmitry_S Участник

    Наконец руки дошли проверить. В общем, можно сказать, что работает. Я имею ввиду, что заморачиваться с DHCP options теперь не нужно.
    Только в свойствах L2TP клиента нужно прописать max-mru=1450 max-mtu=1450 mrru=1600, иначе часть сайтов не открываются (speedtest.net, ulmart.ru)
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Работает и без этого. Правда сталкивался что иногда почему-то в mangle не создаются динамические правила с change-mss
     
  10. Dmitry_S

    Dmitry_S Участник

    Надо будет проверить
     
    dimbo нравится это.
  11. Andr.k83

    Andr.k83 Новый участник

    Илья Здравствуйте. подскажите пожалуйста. Туннель L2TP в него засунул EoIP. EoIP засунул в бридж. И пропал интернет на обоих концах туннеля. Читал про MTU. Нужно где то увеличить или уменьшить значение MTU. У меня на всех интерфейсах стоит 1500 и на брижде тоже 1500. Выше было написано про правило в Мангле . Так какое правило нужно записать ? Clamp to PMTU или указать цифрами 1201? Когда проходили тему про MTU меня выгнали из класса)))))) Теперь у меня сложности тут. Не понимаю я как и на что влияет MTU и MSS. Вот было бы хорошо видео урок про это сделать на русском.))))))
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

  13. Andr.k83

    Andr.k83 Новый участник

    Илья я сделал дома сеть 192,168,1,0 а дшсп раздал от 192,168,1,2-192,168,1,69, шлюз 192,168,1,1 на другом конце таже сеть 192,168,1,0 дшсп раздал от 192,168,1,71-192,168,1,254 шлюз 192,168,1,70. Теперь у меня в сетевои окружении все компы и рабочие и домашние.
     
  14. Andr.k83

    Andr.k83 Новый участник

    важно компы в сетевом окружении.
     
  15. Илья Князев

    Илья Князев Администратор Команда форума

    BCP тоже дат L2 между бриджами.
     
  16. Andr.k83

    Andr.k83 Новый участник

    Илья, последний вопрос. У меня уже существуют бридж а в нем все порты кроме первого и eoip
    ПО ссылке. который вы мне дали. мне нужно создать новый бридж и в него засунуть нужный мне порт. Если я на сущесвующем бридже изменю на rstp, ничего не случиться у меня с интернетом? так как я это проделываю в данный момент на работе. ругаться будут сотрудники если я сеть завалю))
     
  17. Andr.k83

    Andr.k83 Новый участник

    Илья, здравствуйте. Я сделал все как описано про BCP. в сетевом окружении копов нету удаленной сети, и начинает то появляться интернет то пропадать.