VladGousev Опубликовано 7 февраля, 2014 · Жалоба День добрый! Не удаётся подключиться по VNC к компьютеру за RB951Ui-2HnD c LTE-модемом от Yota. Соединение шифруется ipsec. Подключение инициируется, пароль запрашивается и дальше - долгое ожидание и обрыв по таймауту. Проходят только подключения в чёрно-белом режиме, но так работать невозможно. Если смотреть подключения, то соединение установлено: SA tcp 192.168.207.3:4979 10.202.60.2:5900 established 23h58m30s Сигнал у Йоты отличный. При подключении LTE-модема в ПК - всё летает. Такая проблема уже на двух RB951Ui-2HnD, а вот с RB750UP - проблема нет, хотя конфа - один в один. Конфигурацию прилагаю ниже. Документацию читал, конечно, но тут она не помощник. Есть подозрение, что дело в MTU. Пробовал играть его значениями на интерфейсе ПК, ether2 и lte1 - результат нулевой. Может быть у кого-нибудь появятся мысли, в чём может быть проблема, и почему на RD750UP рабоает, а на RB951Ui-2HnD - нет. На всех устройствах ROS 6.7 Заранее спасибо! Конфигурация: # feb/07/2014 00:00:00 by RouterOS 6.7 # software id = 3IUW-9XS2 # /interface lte set [ find ] mac-address=F8:35:DD:3C:44:A1 name=lte1 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=\ 20/40mhz-ht-above distance=indoors l2mtu=2290 mode=ap-bridge ssid=\ MikroTik-DA6C31 /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\ dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xxxxxxxxxxxx \ wpa2-pre-shared-key=xxxxxxxxxxxx /ip hotspot user profile set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \ mac-cookie-timeout=3d /ip ipsec proposal set [ find default=yes ] auth-algorithms=md5,sha1 enc-algorithms=3des \ lifetime=1h /system logging action set 0 memory-lines=100 set 1 disk-lines-per-file=100 /user group add name=ftp policy="ftp,sensitive,!local,!telnet,!ssh,!reboot,!read,!write,!p\ olicy,!test,!winbox,!password,!web,!sniff,!api" /ip address add address=10.202.60.1/30 interface=ether2 network=10.202.60.0 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=lte1 /ip dns set allow-remote-requests=yes /ip firewall filter add action=drop chain=forward comment="default configuration" \ connection-state=invalid add chain=input comment="ssh via severen" dst-port=22 in-interface=lte1 \ protocol=tcp src-address=xxx.xxx.xxx.xxx/30 add chain=input comment="ssh via rtk" dst-port=22 in-interface=lte1 protocol=\ tcp src-address=xxx.xxx.xxx.xxx/29 add chain=input comment=ftp dst-port=21 in-interface=lte1 protocol=tcp \ src-address=xxx.xxx.xxx.xxx/29 add chain=input comment=ftp dst-port=20 in-interface=lte1 protocol=tcp \ src-address=xxx.xxx.xxx.xxx/29 add chain=input comment=ping in-interface=lte1 protocol=icmp src-address=\ xxx.xxx.xxx.xxx/29 add chain=input comment=ping in-interface=lte1 protocol=icmp src-address=\ xxx.xxx.xxx.xxx add chain=input comment=ping in-interface=lte1 protocol=icmp src-address=\ 192.168.207.0/24 add chain=input comment="ipsec esp" in-interface=lte1 protocol=ipsec-esp \ src-address=xxx.xxx.xxx.xxx add chain=input comment="ipsec ah" in-interface=lte1 protocol=ipsec-ah \ src-address=xxx.xxx.xxx.xxx add chain=input comment="ipsec ike" dst-port=500 in-interface=lte1 protocol=\ udp src-address=xxx.xxx.xxx.xxx src-port=500 add chain=input comment="ipsec nat traversal" dst-port=4500 in-interface=lte1 \ protocol=udp src-address=xxx.xxx.xxx.xxx src-port=4500 add chain=input comment="time sync" dst-port=123 in-interface=lte1 protocol=\ udp src-address=xxx.xxx.xxx.xxx/29 add action=drop chain=input comment="deny all inbound" in-interface=lte1 add action=drop chain=forward comment="deny all from lan to lte" dst-address=\ !192.168.207.0/24 in-interface=all-ethernet out-interface=lte1 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes /ip ipsec peer add address=xxx.xxx.xxx.xxx/32 enc-algorithm=3des hash-algorithm=md5 lifetime=\ 8h secret=test /ip ipsec policy add dst-address=192.168.207.0/24 sa-dst-address=xxx.xxx.xxx.xxx sa-src-address=\ 10.0.0.10 src-address=10.202.60.0/30 tunnel=yes /ip service set telnet disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow /system clock manual set time-zone=+04:00 /system identity set name=mt951 /system leds set 0 interface=wlan1 /system logging add topics=info add disabled=yes prefix=ipsec topics=ipsec /system ntp client set enabled=yes mode=unicast primary-ntp=xxx.xxx.xxx.xxx /system scheduler add interval=10m name=check_lte on-event=check_lte policy=\ reboot,read,write,policy,test,password,sniff,sensitive start-date=\ jan/01/1970 start-time=00:00:00 add interval=3m name=check_usb on-event=check_usb policy=\ reboot,read,write,policy,test,password,sniff,sensitive start-date=\ jan/01/1970 start-time=00:00:00 add interval=12h name=backup on-event=backup policy=\ ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \ start-date=jan/01/1970 start-time=00:00:00 /system script add name=check_lte policy=\ reboot,read,write,policy,test,password,sniff,sensitive source=":local PING\ COUNT 30;\r\ \n\ \n:local PINGIP \"xxx.xxx.xxx.xxx\";\ \n\r\ \n:log info message=\"START PING TO \$PINGIP\";\ \n\r\ \n:local PINGRESULT [/ping \$PINGIP count=\$PINGCOUNT];\ \n\r\ \n:if (\$PINGRESULT > 0) do={\ \n\r\ \n:log info message=\"PING TO \$PINGIP OK\";\r\ \n\ \n} else={\ \n\r\ \n:log info message=\"PINGTEST FAIL\";\ \n\r\ \n/system reboot;\r\ \n\ \n} \ \n" add name=check_usb policy=\ reboot,read,write,policy,test,password,sniff,sensitive source=":local PING\ COUNT 20;\r\ \n\ \n:local PINGIP \"xxx.xxx.xxx.xxx\";\r\ \n\ \n:log info message=\"START PING TO \$PINGIP\";\ \n\r\ \n:local PINGRESULT [/ping \$PINGIP count=\$PINGCOUNT];\ \n\r\ \n:if (\$PINGRESULT > 0) do={\ \n \r\ \n:log info message=\"PING TO \$PINGIP OK\";\r\ \n\ \n} else={\ \n \r\ \n:log info message=\"PINGTEST FAIL. RESETTING USB POWER\";\ \n \r\ \n/system routerboard usb power-reset duration=15s;\r\ \n\ \n} \ \n" add name=backup policy=\ ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \ source="{\ \n:local filename [/system identity get name];\ \n/system backup save name=\$filename;\ \n/export file=\$filename;\ \n}\ \n" /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether3 add interface=ether4 add interface=ether5 add interface=wlan1 add /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether3 add interface=ether4 add interface=ether5 add interface=wlan1 add Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VladGousev Опубликовано 13 февраля, 2014 · Жалоба Обнаружил, что мешает правило "add action=drop chain=input comment="deny all inbound" in-interface=lte1" Как только я его дизаблю, так VNC сразу начинает работать. Но при этом в "/ip fire conn pr" ничего не меняется. Никаких новых соединений. Поставил в этом правиле вместо drop действие log, чтобы проверить что же происходит. Результат нулевой. Кроме левых попыток соединений по всевозможным портам со всего мира, ничего не вижу. Единственное, что смущает, это входящие бродкасты с внешнего интерфейса (10.0.0.10) на порт 5678. Выяснил, что это какой-то микротиковский протокол обнаружения соседей. Так что - опять мимо. Больше умных мыслей не осталось... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...