Странное поведение VPN-тунеля в зависимости от провайдера

[Vini]

Добрый день!
Имеется Микротик 10.10.10.1, он обслуживает сеть 10.10.10.0.
В сети есть SIP-сервер 10.10.10.10.
На Микротике поднят L2TP-сервер с адресами клиентов из 10.10.7.x.
Есть мобильный телефон, который подключается по L2TP к этому Микротику и получает адрес 10.10.7.113.
С телефона через мобильную сеть доступны все ресурсы внутренней сети 10.10.10.0, SIP-сервер пингуется, доступна его web-админка. но софтовый SIP-телефон не может зарегистрироваться, но через сканер портов 5060-й порт доступен.
НО стоит телефон подключить к любому Wi-Fi (кроме внутреннего), даже если раздать Wi-Fi c другого мобильника, то всё начинает работать.
Не может же оператор сотовой связи блокировать часть VPN?
Помогите разобраться, пожалуйста.
Спасибо заранее!

[Chupaka]

Приветствую.

Я бы для начала посмотрел, есть ли обращение от телефона к сип-серверу через VPN по порту 5060. Ну, или вообще заснифал весь трафик телефона через VPN на стороне сервера и смотрел, в какой момент что идёт не так...

[Vini]

SIP не "видит" обращений от телефона.
с SIP пингуется телефон и обратно.
traceroute с телефона до SIP:
traceroute to 10.10.10.10 (10.10.10.10) , 5 relative hops max, 52 byte packets
1 10.10.10.1 (10.10.10.1) 66.360 ms 71.312 ms 75.902 ms
2 10.10.10.10 (10.10.10.10) 45.733 ms 91.202 ms 93.151 ms

traceroute номер 1 с SIP до телефона:
traceroute 10.10.7.113
traceroute to 10.10.7.113 (10.10.7.113), 30 hops max, 38 byte packets
1 router.lan (10.10.10.1) 0.206 ms 0.160 ms 0.146 ms
2 msk-b21-e3.ti.ru (212.1.254.199) 1.129 ms 1.224 ms 1.263 ms
3 * 10.10.7.113 (10.10.7.113) 1182.174 ms 1214.986 ms

Вот пункт 2 мне непонятен!!! этот IP принадлежит провайдеру интернета снаружи Микротика

traceroute номер 2 с SIP до телефона (через полминуты после первого):
traceroute 10.10.7.113
traceroute to 10.10.7.113 (10.10.7.113), 30 hops max, 38 byte packets
1 router.lan (10.10.10.1) 0.370 ms 0.197 ms 0.150 ms
2 10.10.7.113 (10.10.7.113) 63.909 ms 428.818 ms 507.988 ms

[Chupaka]

Такое чувство, что почему-то не все пакеты попадают в VPN... В логе роутера чисто?

[Vini]

в логе только коннект клиента ВПН и всё

[Chupaka]

Маркировка роутинга не используется?

[Vini]

нет, ничего такого нету

[Vini]

что из конфигурации Вам показать?

[Sir_Prikol]

/ip route export

А то такое чуство, что у вас нет маршрута или задвоен.

[Vini]

# sep/11/2020 10:39:59 by RouterOS 6.47.3
# software id =
#
# model = RB4011iGS+
# serial number =
/ip route
add distance=1 dst-address=172.16.255.0/24 gateway=172.16.255.1

Это маршрут до домашней сети.
Динамические маршруты не отобразились, это нормально?

[Sir_Prikol]

это нормально, что с маршрутом на 10.10.7.0/24? Куда он идёт?

[Chupaka]

Да, экспорт только статику показывает. /ip route print detail покажет всё.

[Vini]

0 ADS dst-address=0.0.0.0/0 gateway=79.120.126.253 gateway-status=79.120.126.253 reachable via ether1WAN distance=1 scope=30
target-scope=10 vrf-interface=ether1WAN

1 ADC dst-address=10.10.7.113/32 pref-src=10.10.10.1 gateway=l2tp-in-Phone gateway-status=l2tp-in-Phone reachable distance=0
scope=10

2 ADC dst-address=10.10.8.0/22 pref-src=10.10.10.1 gateway=bridgeLAN gateway-status=bridgeLAN reachable distance=0 scope=10

3 ADC dst-address=79.120.0.0/17 pref-src=ВнешIP gateway=ether1WAN gateway-status=ether1WAN reachable distance=0 scope=10

4 A S dst-address=172.16.255.0/24 gateway=172.16.255.1 gateway-status=172.16.255.1 reachable via l2tp-in-Home distance=1 scope=30
target-scope=10

5 ADC dst-address=172.16.255.1/32 pref-src=10.10.10.1 gateway=l2tp-in-Home gateway-status=l2tp-in-Home reachable distance=0 scope=10

[Vini]

что с маршрутом на 10.10.7.0/24? Куда он идёт?

у меня нет такого маршрута

[Sir_Prikol]

Так, SIP сервер имеет подсеть 10.10.10.x? Где описание маршрута на него?

У вас вообще в маршрутах нет этой сети

[Vini]

Как это нету такой сети? 10.10.8.0/22 вот она