Добрый день. Есть небольшая сетка, в ней есть инет от провайдера и все работает. (шлюз на керио). В той же конторе в той же сети есть еще один канал в инет специально для хостинга (структура подключения: оптика от провайдера - медиаконвертер - PPPoE на микротике +4 белых статик IP от прова) В сети поднят LAMP сервер нем развернут сайт(Joomla). В локалке сайт летает как реактивный. Если же на микротике делаем проброс 80 порта - начинаются пердомонокли. Что бы не быть голословным - прикладываю лог с сервиса. Разлет на время загрузки страничики от 2 до 30 секунд. Как не изаглялся над микротиком проблему найти не могу. С чем связаны долгие загрузки сайта найти не удается, если кинуть проброс 80 порта на первый интернет каналто все работает идеально. Куда копать господа ? Оборудование RB2011iL (v6.40) Вот конфиг Code: /interface ethernet set [ find default-name=ether1 ] comment=PPPoE set [ find default-name=ether2 ] comment=NotUsed disabled=yes set [ find default-name=ether3 ] disabled=yes set [ find default-name=ether4 ] disabled=yes set [ find default-name=ether5 ] comment=LAN set [ find default-name=ether6 ] comment=NotUsed disabled=yes set [ find default-name=ether7 ] comment="vlan for CRS [3]" set [ find default-name=ether8 ] disabled=yes set [ find default-name=ether9 ] disabled=yes set [ find default-name=ether10 ] disabled=yes /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=60 name=PPPoE password=********* use-peer-dns=yes user=******* /interface vlan add interface=ether7 loop-protect-disable-time=0s loop-protect-send-interval=0s name=CRS vlan-id=3 /interface ethernet switch port set 5 vlan-mode=fallback set 6 vlan-mode=fallback set 7 vlan-mode=fallback set 8 vlan-mode=fallback set 9 vlan-mode=fallback set 11 vlan-mode=fallback /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /system logging action set 0 memory-lines=250 set 3 remote=************** /ip address add address=192.168.*.24/24 comment=LAN_ADr interface=ether5 network=192.168.*.0 add address=*.*.*.153 comment="HOSTING sait" interface=ether1 network=*.*.*.153 /ip firewall filter add action=accept chain=forward dst-port=80 in-interface=PPPoE log=yes log-prefix="PORT 80" protocol=tcp add action=accept chain=input comment="Allow ICMP" protocol=icmp add action=accept chain=forward protocol=icmp add action=accept chain=input comment="Allow establish connection" connection-state=established add action=accept chain=forward connection-state=established add action=accept chain=input comment="Allow realted connection" connection-state=related add action=accept chain=forward connection-state=related add action=drop chain=input comment="Drop invalid connection " connection-state=invalid log=yes log-prefix=DRP_inp add action=drop chain=forward connection-state=invalid log=yes log-prefix=DRP_forw /ip firewall nat add action=dst-nat chain=dstnat comment=GosUslugi dst-address=*.*.*.* dst-port=80 in-interface=PPPoE log=yes log-prefix=GoUsLuGi protocol=tcp src-port="" to-addresses=192.168.*.55 to-ports=80 add action=dst-nat chain=dstnat comment=GosUslugi disabled=yes dst-address=*.*.*.* dst-port=80 in-interface=PPPoE log=yes log-prefix=GoUsLuGi protocol=tcp src-port="" to-addresses=192.168.*.55 to-ports=80 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes port=10011 set ssh disabled=yes set api disabled=yes set winbox address=0.0.0.0/0 set api-ssl disabled=yes /system clock set time-zone-name=Europe/Chisinau /system identity set name=Rebeka /system logging add action=remote topics=critical add action=remote topics=error add action=remote topics=info add action=remote topics=warning add action=remote topics=firewall add action=remote topics=system /system ntp client set enabled=yes primary-ntp=192.168.*.5 /tool sniffer set file-name=smod_3.cap filter-interface=ether5
попробуйте убрать этот пункт add action=drop chain=forward connection-state=invalid log=yes log-prefix=DRP_forw
Самый простой способ это посмотреть как идут tcp-сессии (tcpdump-ом или wireshark-ом). ПС. А где у Вас доступ к интернету на устройствах за микротиком? Если закконектится к порту микрота, то исходя из Вашего конфига - интернета не будет( не вижу никаких настроек НАТ). Вы уверены, что у машины за микротик есть доступ в интернет? Мне почему то кажется, что она пытается выдать серые адреса вашей сети. Должно быть, что то вроде такого /ip firewall nat add action=src-nat chain=srcnat out-interface=PPPoE src-address="ваш адрес локальной сети - пример, 192.168.1.0/24" to-addresses="внешний ай-пи"
Так, вопрос маленький. ГИДЭ эти адреса? Ибо, был момент, что 4 виртуальных хостинга вылазили в сеть прова под одним mac адресом, и была похожая катавасия, потери-задержки. Потеряли почти часа, пока не изменили последние октеты в маке виртуалок. А NAT мне думается где то за керио. З.Ы. а скажите, что за керио то такое? ))) вот хоть убейте, не видел в глаза. Так, и тут бы dst-address ф бы убрал, поскольку у Вас на PPPoe идет внешний ip, то другого быть не могет.
Лично я предпологаю, что структура сети примерно такая : 1) медиаконвертер(4 адреса) - микрот - лок. сеть 2) шлюз керио(другой ай-пи) - другая лок. сеть. И коннект из сети с шлюзом керио в сеть с шлюзом микротик происходит между несколькими разными белыми адресами. Но предположение и есть предположение И да - настроек с адресами тоже нигде не видно
Согласен. Кофейная гуща. ))) Думаю, надо требовать: 1) /ip address print (внешние нужно скрывать) 2) /ip route print Как минимум. Не факт. Как-то прилетают локальные юзеры до хостинга. И еще вопрос. Простите лузера в плане хостинга , НО. Разве размещают хостинг с "серым" адресом, пусть и через проброс портов? Вы представьте нагрузку на проброс, это кошмар. На мой взгляд схема должны быть такова: 1. На хостинге 2 физ. сетевых 2. Пусть будет eth0 - внешний адрес ( внешняя сеть) eth1 внутренний интерфейс. Ну и настроить ДНС правильно.
1) Вот это то и интерестно - как ))) 2) Велика и извлисиста мысля рядового русского сисадмина - всегда думаешь, что ничего нового не увидишь, но не перестают люди удивлять... Богатыри, не мы...
Был у нас новичок один... Лешей звать.. Все пытался новый стандарт сети придумать... Что бы все по мак-адресам работало ))))))))
Spoiler: ip adress # ADDRESS NETWORK INTERFACE 0 ;;; LAN_ADr 192.168.*.24/24 192.168.*.0 ether5 1 ;;; HOSTING smod probros 217.*.*.*/32 217.*.*.0 ether1 2 ;;; HOSTING usluigi sait 217.*.*.*/32 217.*.*.153 ether1 3 X 192.168.*.90/24 192.168.*.0 CRS 4 ;;; DNS HOSTING 217.*.*.*/32 217.*.*.0 ether1 5 192.168.*.24/24 192.168.*.0 ether5 6 D 217.*.*.*/32 10.*.*.76 PPPoE Spoiler: ip route # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 PPPoE 0 1 ADC 10.*.**76/32 217.*.*.235 PPPoE 0 2 ADC 192.*.*.0/24 192.168.*.24 ether5 0 3 ADC 192.168.*.0/24 192.*.*.24 ether5 0 4 ADC 217.*.*.0/32 217.*.*.152 ether1 0 5 ADC 217.*.*.*/32 217.*.*.153 ether1 0
правило есть почему то не сколпировалось или я когда "лишнее" и его прибил. add action=src-nat chain=srcnat log=yes log-prefix="Uslugi SRC" src-address=192.168.*.55 to-addresses=217.*.*.*
Вот как то так. Статистику на микротике и на самой машине с "хостингом" собирал в wiresharke смотрел вроде ничего аномального не обнаружил.
В общем так и не удалось разобраться в чем беда. в логах тспдампа и очень много Destination Inreacheable и куча TCp ретрансмишенов почему они там непонятно вроде ничего сложного нет. Прошу помощи может кто знает откуда ноги растут ( TCP MSS пробовал менять)
/ip firewall mangle add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=PPPoE passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1300-65535 add action=change-mss chain=forward in-interface=PPPoE new-mss=clamp-to-pmtu passthrough=no protocol=tcp tcp-flags=syn tcp-mss=1301-65535 add action=change-mss chain=forward disabled=yes new-mss=1480 out-interface=ether5 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1401-65535 add action=change-mss chain=forward disabled=yes in-interface=ether5 new-mss=1480 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1401-65535 пробовал и так и так менять. (и на pppoe интерфейсе и на лан интерфейсе) ну и значения менял от 1480 до 1300 с разными вариациями.
