Update 6.46.1 - problem pptp

[Ceyzer]

Здравствуйте,

Сегодня обновились до 6.46.1 (RB1100AHx2) и перестал работать pptp клиент. Начали разбираться и пока не выключили или не опустили правило Drop invalid pptp туннель не поднимался.

ip-firewall.png

Хотя Дефолтный Фаервол RouterOS рекомендует правила established, related и invalid пускай последовательно.
/ip firewall filter
#Разрешает входящий трафик от уже установленных(established, related) соединений и неотслеживаемые(untracked) пакеты
add action=accept chain=input connection-state=established,related,untracked

#Отбрасываем входящие пакеты от неизвестных(invalid) соединений
add action=drop chain=input connection-state=invalid

Что я делаю не так, т.к. на версии RouterOS 6.42 такой проблемы не было.

[Корпич]

А где же правило разрешающее входящие на порт 1723 для работы PPTP, которое должно стоять выше дроп?

[Ceyzer]

А где же правило разрешающее входящие на порт 1723 для работы PPTP, которое должно стоять выше дроп?

Это правило есть, но оно ниже правила drop invalid
Ссылая на статью по ссылке http://mikrotik.vetriks.ru/wiki/%D0%9C% ... BC.D0.B5_2
Где описывают, что: Правило, блокирующее invalid-трафик обязательно должно идти вторым сразу за правилом, которое разрешает established и related трафик.
Сделал как указано в рекомендация и до обновления на 6.46.1 оно работало, после обновления пришлось правило drop invalid опустить ниже разрешающего правило для 1723 порта и GRE

[monteg179]

Может быть было бы лучше
1. добавить в raw правила для prerouting и output: action=no track для protocol=gre
2. исправить правила в filter для input и output: action=accept connection state=established,related,untracked
И оставить drop invalid перед accept established,related