MikroTik.by

здравствуйте - прошу помощи решить проблему

есть основной роутер (не микротик) к нему подключен микротик (vm в proxmox) никакого фейрвола нет в проксмокс

есть ipsec туннель который я хочу передвинуть с основного роутера 192.168.1.1 на микротик 192.168.1.4

на 192.168.1.1 статический маршрут на 192.168.1.4 для сети 54.192.176.0/22

туннель работает но на клиенте ничего не открывается (192.168.1.8 и на всех клиентах в сети) но сайт пингуются от клиентов и траффик идет в туннель

подсеть
54.192.176.0/22 взял для примера это подсеть expressvpn просто то что можно открыть в браузере - не работает страница

и еще скриншоты

Здравствуйте. Уменьшать MSS пробовали правилом Firewall Mangle?

З.Ы. "TTL exceeded in transit" как будто на петлю какую-то похоже...

Chupaka писал(а): ↑27 янв 2023, 00:54 Здравствуйте. Уменьшать MSS пробовали правилом Firewall Mangle?

З.Ы. "TTL exceeded in transit" как будто на петлю какую-то похоже...

здравствуйте на фейрволе вообще нет никаких правил

тоже думаю что похоже на петлю так как маршрут по умолчанию для 192.168.1.4 это 192.168.1.1

непонятно

ps а как настроить Mangle для моего случая?

[admin@MikroTik] /ip/firewall/mangle> print
Flags: X - disabled, I - invalid; D - dynamic
0 chain=forward action=change-mss new-mss=1100 passthrough=yes
tcp-flags=syn protocol=tcp out-interface=Upstream-Link
tcp-mss=1301-65535 log=no log-prefix=""

настроил так, но по-прежнему не открывается

А есть возможность трассировку со стороны сервера сделать?

Chupaka писал(а): ↑27 янв 2023, 12:40 А есть возможность трассировку со стороны сервера сделать?

к сожалению нет, если хотите могу указать ip вашего сервера 104.21.3.173 и попробовать

Это IP-адрес Cloudflare, вряд ли он с вами будет IPSec поднимать

Я что-то перечитал - и не понял, зачем у 1.1 маршрут к 54.192.176.0/22 через 1.4... Что именно вы хотите реализовать?

Chupaka писал(а): ↑27 янв 2023, 18:04 Это IP-адрес Cloudflare, вряд ли он с вами будет IPSec поднимать

Я что-то перечитал - и не понял, зачем у 1.1 маршрут к 54.192.176.0/22 через 1.4... Что именно вы хотите реализовать?

хочу перенести ipsec на mikrotik который 192.168.1.4 с телтоники, который 192.168.1.1

И вы хотите, чтобы от 1.1 к 54.192.176.0/22 трафик шёл через 1.4, где бы он заворачивался в ipsec-тоннель?..

А если у клиента (1.8) шлюзом прописать 1.4 - та же картина?

Chupaka писал(а): ↑28 янв 2023, 02:24 И вы хотите, чтобы от 1.1 к 54.192.176.0/22 трафик шёл через 1.4, где бы он заворачивался в ipsec-тоннель?..

да все верно

Chupaka писал(а): ↑28 янв 2023, 02:26 А если у клиента (1.8) шлюзом прописать 1.4 - та же картина?

о, так кстати все работает, если шлюз у клиента 192.168.1.4

значит проблема действительно в петле

временно удалил статический маршрут к 54.192.176.0/22 через 192.168.1.4 с 192.168.1.1, трафик идет как и должен в туннель с 192.168.1.4 (это и ожидаемо) так же открываются и другие сайты значит остальной трафик идет по умолчанию от 192.168.1.4 к 192.168.1.1 так как 192.168.1.4 dchp клиент 192.168.1.1 и микротик маршрутизирует как и должен и в туннель и в обход

вопрос только как это все дело пофиксить без бубна, я могу конечно 192.168.1.4 через dchp
опцию распространить клиентам с телтоники, но хотелось бы что бы оставался 192.168.1.1

здравствуйте, проблема решена, спасибо за совет и была связана с телтоникой...что ожидаемо учитывая какое это уг, отключил drop invalid packets

Ну, тут как раз она себя нормально повела с её настройками Рад, что всё решилось. Я, честно говоря, думал, что проблема была в NAT'е на Телтонике. Не угадал =)