Nefunkčné niektore webstránky

[Dzambor]

Idem si po radu skúsenejším. Na firme je optika od T-comu, pustený passthrought do Mikrotiku CRS326-24G-2S ten vytáča PPPoE (do optiky) a celú sieť riadi Mikrotik. A teraz ten problém. Niektoré stránky nejdú napr. idem na stránku slsp.sk tú mi načíta a keď chcem dať internetbanking tak mi oznámi po chvíli error connection timed out. To isté aj so stránkou minv.sk. Všetky ostatné stránky idú s týmito dvomi býva problém. Pred mesiacom som spravil update na betu 7.20.rc1 zrazu sa stránky rozbehli. Z ničoho nič po asi dvoch týždňoch prestali ísť samé do seba. Skúšal som vypnúť firewall, skúšal som aj stránky keď bol mikrotik po SW resete (len default nastavenia) a taktiež stránky nešli. Menil som aj DNS servery a stále bez výsledku. Ak nechám t-komacky konvertor ako hlavný prístup a router do bridge módu ide všetko. Vzhľadom na to, že je tam verejná IP adresa  a potrebujem riešiť veci cez vzdialený prístup nerád by som nechával mikrotik v bridge a všetko na Tkomáckom zariadení. Skúšal som aj zmeny MTU ale bezvýsledne. Skúšal som aj iné tipy, čo som našiel na nete no všetko bez výsledne. Včera som ešte spravil jeden pokus a to že som vypol peer dns aby mi časť nešla cez DNS telekomu ale len cez googlovské DNS (skúšal som aj DNS cloudflare) a stále tá istá chyba. SW 7.20.rc5 FW na routerborde ten istý.

Ďakujem za každú odpoveď. Hádam na niečo prídeme.

[Reklama]

[McFly]

Vyšla verze ROS 7.20, nepomohlo by aktualizovat?

[Michal Šmucr]

Občas jsem někde zažíval podobně divné problémy s připojováním, když nebyl nastavený MSS clamping.
https://support.ispsupplies.com/portal/en/kb/articles/pmtu-and-mss-discovery-issues-resolved-with-mikrotik
Ten bývá v dost domácích zařízeních nastavený rovnou.

Např. pro PPPoE je to 1492 - 40 (TCP+IP headery) = 1452, tzn. u všech SYN paketů s MSS > 1452 se to nastavuje na 1452.

/ip firewall mangle
add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface=pppoe-interface tcp-mss=1453-65535 log=no log-prefix=""

(pak upravit pppoe-interface podle vašeho, podobně pak u ipv6, jestli používáte)

Možná už to takhle máte nastavené, nebo to nezabere, ale jen, že je mi fakt divné, že by se na dva konkrétní servery náhodně nedalo připojit podle verzí ROSu.

[Dzambor]

Čo sa týka aktualizácie, tá nepomohla. Zmena PMTU v rámci mangle nepomohla. Je úplne zvláštne, že nejdú len tieto dve stránky. minv.sk nejde vôbec, a slsp.sk načíta úvodnú stránku ale internetbanking vôbec....ako ja som už zúfalý.

[mark42]

Skus si wiresharkom na koncovej stanici odchytit nacitanie stranky cez Mikrotik a cez T-kom a hladaj rozdiely v tom, co ti pride resp. v komunikacii.

[Reklama]

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

fun fact: chrome  (a možná i další)píše connection timeout nebo problém s dns i pro více různých problémů:
-nepodaří se DNS resolve
-vrátí se NODATA
-vrátí se ICMP non reachable
-vrátí se tcp reset  (to dělá idos.cz, nevím proč takhle častuje surfaře)


takže to chce odchytit si wiresharkem a sledovat checklist chain, které kroky se podaří a kdy se stane problém. Může to být třeba úplně triviální problém za který nemůžeš, , že třeba nějaký chytrolín dal iptables -J DROP ( -d nebo -s ) a zrovna to zablokovalo 4 konkrétní stránky


ale není se čemu divit, například https://portaldopravy.cz/ hlásí "http  403 request blocked" - což už je jen detail implementace, kde to schválně rozbijou