[7sergeynazarov7]

Добрый день подскажите пожалуйста имеется mikrotik x86, многие сайты https не загружаются при этом пинг и lookup днс все отражает и таких сайтов достаточно много, если подключаться напрямую к провайдеру без микротика то все нормально, подскажите пожалуйста в чем может быть предварительно проблема. Ниже пара сайтов.

https://ai.marketing/

https://www.polaroidrussia.com/

[fractal]

Tcp mss уменьшить попробуй

[7sergeynazarov7]

46 minutes ago, fractal said:

Tcp mss уменьшить попробуй

Спасибо за ответ пробывал вот так / ip firewall mangle add chain=forward protocol=tcp tcp-flags=sy
n tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no

Результата нету.

ping ai.marketing -f -l 1472

Обмен пакетами с ai.marketing [172.67.69.84] с 1472 байтами данных:
Ответ от 172.67.69.84: число байт=1472 время=51мс TTL=59
Ответ от 172.67.69.84: число байт=1472 время=44мс TTL=59
Ответ от 172.67.69.84: число байт=1472 время=45мс TTL=59

Статистика Ping для 172.67.69.84:
    Пакетов: отправлено = 3, получено = 3, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 44мсек, Максимальное = 51 мсек, Среднее = 46 мсек

Если пытаться зайти на сайт ai.marketing не заходит, при этом если отключить микротик и пробросить сеть выщестоящего оператора напрямую до компа и убрать прописав ип, шлюз, днс, тоже работает. Правил файрволла минимум. Где еще может быть проблема ?

[Jora_1]

Возможно трабла с l2mtu, а если так попробовать? https://forum.nag.ru/index.php?/topic/154694-rezultaty-testov-mikrotik-routeros-v-virtualnyh-sredah-x86-ccr1072-ccr1036/&do=findComment&comment=1637834

И как подключён клиент? Если через pppoe, то включить на pppoe сервере mss.

Изменено 1 мая, 2021 пользователем jora_1

[pingz]

@7sergeynazarov7 https://m.habr.com/ru/post/136871/

 

З.ы. хороший тон = выложенный конфиг 

[7sergeynazarov7]

15 minutes ago, pingz said:

@7sergeynazarov7 https://m.habr.com/ru/post/136871/

 

З.ы. хороший тон = выложенный конфиг 

Какая часть конфига интересует, бьюсь уже 4 день результата 0. Пробывал и МТУ менять и MSS но пока результата не добился.

[McSea]

14 hours ago, 7sergeynazarov7 said:

/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=sy
n tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no

Нелогично менять MSS на 1360, начиная с пакетов, у которых MSS=1453.

Если хотите, чтобы MSS был не более X, меняйте его на X, начиная с X+1.

 

При помощи пинга замену MSS не увидите, пинг использует протокол ICMP, а не TCP. 

 

[7sergeynazarov7]

1 hour ago, McSea said:

Нелогично менять MSS на 1360, начиная с пакетов, у которых MSS=1453.

Если хотите, чтобы MSS был не более X, меняйте его на X, начиная с X+1.

 

При помощи пинга замену MSS не увидите, пинг использует протокол ICMP, а не TCP. 

 

chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp tcp-mss=1361-65535 log=no log-prefix="" 

Сделал так, все равно не прогружается при этом пинги есть 80 порт telnet-ом видит. Сайт не загружается. Если гугл хром то выдает Сайт ai.marketing не позволяет установить соединение.

 

4 hours ago, Jora_1 said:

Возможно трабла с l2mtu, а если так попробовать? https://forum.nag.ru/index.php?/topic/154694-rezultaty-testov-mikrotik-routeros-v-virtualnyh-sredah-x86-ccr1072-ccr1036/&do=findComment&comment=1637834

И как подключён клиент? Если через pppoe, то включить на pppoe сервере mss.

 

vlan на абонента

Изменено 1 мая, 2021 пользователем 7sergeynazarov7

[7sergeynazarov7]

7 hours ago, Jora_1 said:

Возможно трабла с l2mtu, а если так попробовать? https://forum.nag.ru/index.php?/topic/154694-rezultaty-testov-mikrotik-routeros-v-virtualnyh-sredah-x86-ccr1072-ccr1036/&do=findComment&comment=1637834

И как подключён клиент? Если через pppoe, то включить на pppoe сервере mss.

 

К сожалению не помогло, навесил только на бридж на вланы смотрящие на провайдеров мту l2 появилось но сайты так и не грузятся

[7sergeynazarov7]

Почему-то именно на этих сайтах приходит пакет rst

[VolanD666]

А в снифере что?

[fractal]

Конфиг? Фаервол? Пробовали прошивку менять? 

[pingz]

В 01.05.2021 в 20:34, 7sergeynazarov7 сказал:

Какая часть конфига интересует, бьюсь уже 4 день результата 0. Пробывал и МТУ менять и MSS но пока результата не добился.

Центральная часть т.е. весь 100% если не хотите светить реальники то всегда есть x.x.x.x и y.y.y.y и т.д. 

 

В терминале export 

 

По симптомам у вас https://m.habr.com/ru/post/136871/ вот такая ситуация(но с конфигом было бы легче помочь) 

 

ИМХО дамп трафика то же стоит приложить.