Дробового времени суток. Столкнулся с проблемой при работе с x2go (ПО, которое дает удаленный доступ к графическому окружению Linux, по типу rdp в windows. Использует ssh для безопасного соединения) Начну из далека, после того, как сервер с x2go был настроен и протестирован у нас в офисе, мы установили его у клиента и в скором времени получили ошибку от x2go (failed to start x2go agent session with id agent terminated unexpectedly. aborting session startup). Подключится было не возможно, однако, по ssh подключение устанавливается. Сначала подумали на сервер, вернули в офис, но в офисе проблема не возникала. Позже выяснилось, что перезагрузка mikrotika (иногда не однократная) решает проблему и какое-то время x2go работает корректно. Случайным образом выяснилось, что если включить правило вида: add action=netmap chain=dstnat dst-port=53 log=yes log-prefix=nx protocol=udp to-addresses=192.198.0.238 (именно так. с внешним адресом) то, x2go подключается, однако, не работает dns внутри сети. После отключения правила, проблема сразу возвращалась. И так до нескольких ребутов роутера. Стал думать в сторону dns, оказалось mikrotik находился под dns-спам атакой. в списке кешированных записей dns постоянно появлялись левые сайты (1x1.cz, svist21.cz и много других). Выяснилось, что /ip dns cache flush (не всегда однократный) так же как и ребут роутера временно решает проблему. Было добавлено правило: add action=drop chain=input comment="drop dns spam" dst-port=53 in-interface=ether1 log=yes log-prefix=drop53 protocol=udp Левые сайты перестали кешироваться, но проблему это не решило. Если снять галочку Allow Remote Requests, то подключение по x2go так же пропадает. Стоит заметить, что для работы x2go за натом, не требуется ничего, кроме проброса ssh порта. На других точках никогда подобной проблемы не встречал. Подскажите, пожалуйста, в какую сторону копать? /ip firewall filter add action=accept chain=forward connection-nat-state=dstnat add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input dst-port=8292 protocol=tcp add action=accept chain=input dst-port=8999 protocol=tcp add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related add action=drop chain=input comment="drop dns spam" dst-port=53 in-interface=ether1 log=yes log-prefix=drop53 protocol=udp /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1 add action=netmap chain=dstnat comment="ssh Samson2" dst-port=9986 log=yes log-prefix=akron-2 protocol=tcp to-addresses=192.168.0.238 to-ports=22
прошивка 6.43.8. Ставил абсолютно новый такой же RB951G-2HnD, и с ним та же проблема. Мне кажется нужно просто какое-то правило хитрое добавить
Попробовал утром, закэшировалось за пару минут: dor864226978407185195imi.com unknown 0.0.0.0 stun.ipvideotalk.com A 173.254.235.85 stun.ipvideotalk.com A 173.254.235.79 stun.ipvideotalk.com A 173.254.235.84 stun.ipvideotalk.com A 173.254.235.86 stun.ipvideotalk.com A 216.93.246.18 на выходных могу подольше посмотреть что закэшируется