Добрый день. есть следующая ситуация : - микротик 2011 - отключены УЖЕ все правила в файрволе - большинство сайтов открывается в том числе по https - такие сайты habrahabr toster sysadmin (http - https) почемуто не открывются, хотя видно что браузер(всякие) подключается к сайту но ничего не получает - ping на сайты по имени домена проходит, но : если задать команду (ping -f -l 1492 имя сайта) то нужно уменьшать 1492 на выше перечисленных сайтах иногда до 1360 чтобы пинг прошел. если в РРР(interface) уменьшить MAX MTU(MRU) до выше названных значений все равно сайты не грузятся - и тут засада : если переключить все взад на ДЛИНК-615 то никаких проблем НЕТ! значит провайдЫр(билайн) тут совершенно не причем. Вопрос : где еще копать?
вот и конфиг, интерфейс ВАН РРРоЕ не используется, включил два правила "запретить все и всем" + "разрешить все и всем из группы ФУУЛ" впрочем ничего не поменялось /export compact # feb/24/2017 10:51:38 by RouterOS 6.35.1 # software id = TJYX-SUFJ # /interface ethernet set [ find default-name=ether6 ] name=ether6-LAN set [ find default-name=ether9 ] name=ether9-PPPoE set [ find default-name=ether10 ] name=ether10-L2TP /interface pppoe-client add add-default-route=yes allow=mschap2 interface=ether9-PPPoE name=TELEMAX-pppoe password=ннннннн user=лоллтлтт /ip pool add name=dhcp_pool1 ranges=192.168.0.1,192.168.0.20-192.168.0.30 add name=dhcp_pool2 ranges=192.168.0.160-192.168.0.165 /ip dhcp-server add address-pool=dhcp_pool2 disabled=no interface=ether6-LAN name=dhcp1 /ppp profile add name=L2TP_profile remote-address=192.168.255.254 use-compression=no use-encryption=no /interface l2tp-client add add-default-route=yes allow=mschap1 connect-to=tp.internet.beeline.ru disabled=no max-mru=1420 max-mtu=1420 mrru=1600 name=BEEline-L2tp password=рироиормиорим profile=\ L2TP_profile user=длодлдлдлдл /ip address add address=192.168.0.1/24 interface=ether6-LAN network=192.168.0.0 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether10-L2TP add default-route-distance=0 dhcp-options=hostname,clientid interface=ether9-PPPoE /ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8,77.88.8.1 /ip firewall address-list add address=192.168.0.3 comment=MainPC list=Full add address=192.168.0.10 comment=TorrentPC list=Limited add address=192.168.0.2 comment="LocalPC #1" list=Restricted add address=192.168.0.21 comment="LocalPC #2" list=Restricted add address=192.168.0.4 comment="LocalPC #3" list=Restricted /ip firewall filter add chain=forward comment="Allow RDP for group Restricted (out)" disabled=yes dst-port=3389 protocol=tcp src-address-list=Restricted add chain=forward comment="Allow RDP for group Restricted (in)" disabled=yes dst-address-list=Restricted protocol=tcp src-port=3389 add chain=forward comment="Allow Z for group Limited (out)" disabled=yes dst-port=21,80,443,3389,25,110,995,465,5000-65000 protocol=tcp src-address-list=Limited add chain=forward comment="Allow Z for group Limited (in)" disabled=yes dst-address-list=Limited protocol=tcp src-port=21,80,443,3389,25,110,995,465,5000-65000 add chain=forward comment="Allow ALL for group Full (in)" dst-address-list=Full protocol=tcp src-port=0-65000 add chain=forward comment="Allow ALL for group Full (out)" dst-port=0-65000 protocol=tcp src-address-list=Full add chain=input comment="Allow DNS request" disabled=yes in-interface=ether10-L2TP protocol=udp src-port=53 add chain=input comment="Allow DNS request" disabled=yes in-interface=ether9-PPPoE protocol=udp src-port=53 add action=drop chain=input comment="Drop DNS from !ether6-LAN" disabled=yes dst-port=53 in-interface=!ether6-LAN protocol=udp add action=drop chain=input disabled=yes in-interface=TELEMAX-pppoe add action=drop chain=input disabled=yes in-interface=BEEline-L2tp add action=drop chain=forward comment="Restrict ALL for ALL" protocol=tcp src-address=192.168.0.0/24 src-port=0-65000 add action=drop chain=input disabled=yes dst-port=53 in-interface=ether10-L2TP protocol=udp /ip firewall nat add action=masquerade chain=srcnat out-interface=ether10-L2TP src-address=192.168.0.0/24 add action=masquerade chain=srcnat out-interface=BEEline-L2tp src-address=192.168.0.0/24 add action=masquerade chain=srcnat out-interface=ether9-PPPoE src-address=192.168.0.0/24 # TELEMAX-pppoe not ready add action=masquerade chain=srcnat out-interface=TELEMAX-pppoe src-address=192.168.0.0/24 /ip route add distance=1 dst-address=194.186.70.218/32 gateway=10.4.184.1 add distance=1 dst-address=194.186.70.222/32 gateway=10.4.184.1 /system clock set time-zone-name=Europe/Moscow /system routerboard settings set protected-routerboot=disabled
ну вот и все : MTU менял на разные значения и TCP MSS (он должен быть на 40 байт меньше MTU) IP->FireWall->Mangle Rule->New TCP MMS=1400 PPP->Interface(BEEline-L2TP) : Max MTU=1440 Max MRU=1440 MRRU= всего навсего