Провайдер блокирует порты?

Question

[astill33]

В офисе есть MikroTik, поднят l2tp/ipsec, с телефона подключаюсь без проблем, а из дома не хочет, в логах MikroTik ничего нет, пакеты не идут. Дома интернет с белым ip, но за NAT провайдера. Так же пров дал dns имя 3 уровня (моёимя.провайдер.ру) для подключений к моим домашним ресурсам, напрямую по ip с пробросом не работает.
1)Почему не могу подключиться напрямую по ip если у меня не серый ip?
2)Может быть, что провайдер блочит входящие порты поэтому не могу подключиться к офисному MikroTik?
/Nslookup из вне по моему домашнему домену 3 уровня дал ip который я и вижу у себя дома на wan порту.

spoiler

Answer 1

[Drno]

Провайдер просто может блокировать l2tp.. это уже к сожалению вполне распространнено...

Comments

[astill33]

Да я знаю, что многие сейчас блочат vpn соединения.
Но почему я не могу подключиться по ip к дому если он белый? а только по домену.

[Drno]

astill33, значит у прова какой то балансировщик стоит, который на 1 внещний IP посадил несколько юзеров.
и рулит их по домена видимо...
ну либо что то в таком духе

[astill33]

Drno, получается, что если 2 юзера пробросят один и тот же порт висящие на одном ip, то у кого-то одного проброс не будет работать?

[Руслан Федосеев]

задайте эти вопросы техподдержке провайдера

[astill33]

Руслан Федосеев, ответ ТП как обычно, -мы ничего не блокируем, все нормально работает.

[Руслан Федосеев]

мы не знаем, что и как настроил провайдер, что вы коннектитесь только по доменному имени. Непонятно, куда коннектитесь, что пробрасываете и т.п.
Добивайтесь ответов от ТП провайдера, лично я не вижу разницы между коннектом по имени и коннектом по ип...

[Drno]

astill33, незнаю. может будет, может не будет. зависит от настроек провайдера.
в любом случае Вам не НУЖЕН внешний IP, чтобы работало l2tp... как клиент

Answer 2

[CityCat4]

Дома интернет с белым ip но за натом провайдера

Так не бывает. Белый IP - сейчас достаточно ценная вещь, чтобы ее раздавать всем, кто за натом. У Вас либо он не белый, либо не за натом.

)Может быть, что провайдер блочит входящие порты

Запросто. Причем он может не блочить, а просто допустим ставить в очередь с длинным ожиданием.

Comments

[nApoBo3]

зануда моде он.
"белый ip" вполне может быть за натом провайдера, хотя конечно это будет весьма странная конфигурация.

[d-stream]

В общем-то после NAT'а провайдера (в сторону интернета) и будет белый ip (или пул белых ip) )
Его обычно юзер и видит на всяких myip/2ip и т.п.)

зануда офф)

[CityCat4]

nApoBo3, Ну, теоретически да. Но это будет бессмысленная конфигурация. Мы применяли такое когда переходили с IP одного прова на IP другого - чтобы запросы, сделанные на старый IP, шли на сервер по новому IP

[astill33]

d-stream, да это понятно, но почему на моем интерфейсе wan тот же ip что и на myip/2ip и т.п.

[CityCat4]

astill33, А подключение случайно не PPPoE? Если PPPoE, то IP будет белый просто по определению. Но пров все равно запросто может порты блокировать.

[astill33]

CityCat4, нет не PPPoE, авторизация просто по ip автоматически на wan

[CityCat4]

astill33, Странно, какой-то то ли глупый, то ли щедрый провайдер... Проверь еще проброс портов на самом роутере - как правило, автоматом не настраивается

[d-stream]

astill33, ну и что что? а какие acl у него настроены - хорошо если он сам знает)

К слову у меня правильный/честный белый ip, но вот исходящие на 25 порт дропается с древних времён

[CityCat4]

d-stream, Оооо, это заморочка "чрезмерно умных" провайдеров! Из-за нее приходится 587 порт держать открытым, а то почта с телефоноы не отправляется, когда кто-то на выезде.

[d-stream]

CityCat4, не умных, а старых)
году этак в 2000 ещё как заблочили от нахватавшихся троянов юзверей - так и оставили)

Answer 3

[AUser0]

На Mikrotik отслеживайте трафик например на порту 1234, дома запустите telnet 5.6.7.8 1234, соответственно вместо 5.6.7.8 укажите белый IP Mikrotik. Если нет трафика - значит один из провайдеров блокирует. Если с телефона трафик на 1234 есть - значит виноват домашний пров. Всё!

Answer 4

[d-stream]

Зачастую в l2tp/ipsec, да и вообще народ забывает что помимо tcp/ip протоколов ещё существуют ip UDP, AH, ESP, IKE, [GRE]
Сотрудники провайдера - это тоже забывают и в итоге какой-нибудь http/https долетит норм, а вот забытые AH и ESP - нет и l2tp/ipsec не поднимется...

p.s. штука распространенная и даже с "волками" облачных сервисов приходилось бодаться на эту тему - как-то они забывают или "забывают" что ip - это не только tcp )