[РЕШЕНО] Это провайдерская блокировка или косяк в настройке микротика?

Question

[CityCat4]

Много лет стоит роутером RB450G с некоторым набором настроек. Провайдером при этом все время был крупный городской провайдер, совершенно беспроблемный. На микротике поднят IPSec туннель до работы (где тоже микротик) - к другому провайдеру, тоже не менее крупному, который вообще с физиками не работает.
Таким образом все работало почти десять лет.
Но тут черт меня дернул снять квартиру поближе к работе. И я оказался в доме, где монопольно РТК, другие провайдеры (даже не менее крупные типа МТС) - отказываются здесь предоставлять услуги (я знаю, что это у РТК в заводе - брать например крупные ТЦ на такой "иксклюзифф"). И все вроде бы ничего, ейный RT-GM6 перевели в режим моста оптики в eth, микротик включил после ихнего уродца, поднял pppoe, поправил имя интерфейса в своем наборе правил...
Странности начались сразу, но я дооооолго на них забивал и только сейчас решил спросить - а вдруг я не один такой?

Проблема выглядит так:
VPN до работы устанавливается (IPSec на сертификатах, микротик - микротик, работал до этого много лет), но... связи нет! Почти.
И вот это "почти" выглядит очень странно - работает SMB (удаленные шары на винде), работает RDP. SMB работает с нормальной скоростью, фильмы оттуда запросто смотреть без тормозов (как и раньше). RDP - без замечаний.
Все остальное не работает!
Почта - imap/smtp - не может подключиться к серверу
ssh (XShell на винде) - подключается, но через некоторое время (или сразу после запуска mc) - зависает

То же самое происходит на ноуте, включенном в локалку. Если ноут вывести в тырнет через телефон и подключиться к VPN - ничего не виснет, все подключается.

Собственно вопрос - это РТК каким-то образом различает протоколы (и зачем-то их банит) или есть какая-то не учтенная мной особенность настройки PPPoE?

UPD: Вопрос решен, за что большое спасибо ValdikSS за вовремя данный совет. Решение см. в комментариях к его ответу, в самом конце переписки.

Comments

[SunTechnik]

Странно, как провайдер может блокировать отдельные протоколы внутри шифрованного vpn...
Даже если использует DLP..

[CityCat4]

SunTechnik, Вот меня это тоже смущает и почему я до сих пор не начал на РТК наезжать - надо фактического материала набрать, чтобы не оказалось, что дело в какой-нибудь разнещастной галочке в микротике :D

Answer 1

[ValdikSS]

Похоже на проблему с MTU. Убедитесь, что у вас установлен правильный MTU туннеля (1400 должно хватить, инкапсуляция IPsec использует 60-80 байт).

Comments

[CityCat4]

Интерфейс pppoe-out1, actual MTU - 1480. Да там собственно и места нет, где его изменить можно.

[ValdikSS]

Речь про MTU IPsec-туннеля.

[CityCat4]

ValdikSS, Хм. Пардон, где его посмотреть на микротике? IPSec не создает отдельного интерфейса

[Drno]

CityCat4, поддержу про MTU. сделайте его меньше чем ppoe, возможно СИЛЬНО меньше.
что то типа 1350 к примеру.
если бы резали протокол, у Вас бы ничего не было доступно. для опенВПН это выглядит как ошибка хендшейка - он подключается и сразу отключается. вот так обычно РТ блокируется

[CityCat4]

Drno, Где? Туннель микротик - микротик. IPSec не создает отдельного интерфейса (только в случае микротик - линух он создается на линухе).

[ValdikSS]

CityCat4, уменьшайте TCP MSS инкапсулированных пакетов.

[CityCat4]

ValdikSS, Хм. Здравая мысль! Вот что значит утром почитать :) Как я сам-то не додумался. Вечером попробую.

[Keffer]

CityCat4, однозначно проблемы с MTU внутри туннеля.

[Drno]

CityCat4, без понятия где, я ipsec не пользовался никогда…
Слишком просто найти и заблоктровать)

[CityCat4]

Drno, Изначально VPN разрабатывался вовсе не как средство обхода блокировок - раньше и блокировок-то никаких не было :) Нормальный VPN - это средство обьединения в одну "локалку" нескольких точек, разнесенных географически. Тем более, что мне ни от кого прятаться не надо - один конец VPN - у меня дома, второй - на работе, все в пределах одного города (и даже одного микрорайона).

[CityCat4]

ValdikSS,

уменьшайте TCP MSS инкапсулированных пакетов.

Ай спасибо Сулейману - он помог советом мне!

И ведь сам мог бы догадаться - еще лет пятнадцать назад с такой фигней сталкивался!

В общем хватило одного (одного, Карл!) правила в микротике:

/ip firewall mangle
add action=change-mss chain=forward dst-address-list="Internal nets" new-mss=clamp-to-pmtu \
    out-interface=pppoe-out1 passthrough=no protocol=tcp tcp-flags=syn

где список Internal nets - подсети рабочей локалки.

И заработало. Сразу. Так что РТК конечно косячники - но в данном случае виноваты руки, скроенные по циркулю...

UPD: Даже ссылку нашел - но на сайт кошки, так что сейчас возможно без VPN не откроется - Статья про все это на английском

UPD2: Во время прошлого столкновения с проблемой мне помогла статья "Этот загадочный MTU" в журнале "Системный администратор" 03 - 2012 (онлайн найти не могу).

[CityCat4]

ValdikSS, еще два сопутствующих вопроса:
- chain=forward или chain=postrouting? Вроде как postrouting универсальней, но мне сложно представить - зачем я с микротика полезу к себе в локалку...
- нужно ли соответствюущее правило на вход? Логика подсказывает, что нет - mss поставил отправитель - но вот например я с winbox на работе полезу на микротик - не произойдет ли то же самое?

[ValdikSS]

CityCat4, я не уверен, как ipsec реализован на mikrotik. Обычно, если есть отдельный интерфейс, применять изменение TCP MSS требуется только для маршрутизируемого трафика.
Можно clamp-mss-to-pmtu применить ко всему маршрутизируемому трафику, вне завимости от интерфейса — хуже не будет.

Answer 2

[Юрий MikroTik]

Ростелеком главный пионер по блокировкам. Нужно звонить и капать на мозги, пока не доберетесь до сетевиков.

Comments

[CityCat4]

То, что РТК горазд заниматься х..ней и бежать поперед паровоза - это я знаю. Мне не совсем понятно - как такое можно реализовать?

[Юрий MikroTik]

CityCat4, тоже не понятно как это происходит внутри шифрованного туннеля.
Я бы попробовал sstp.
В моей ситуации ikev2 подключается отлично, но Rx трафика 0
OpenVPN подключается, но скорости хватает на открытие страниц внутренних ресурсов, rdp не может подгрузиться, будто скорость 1кбит
Из всего работает только l2tp IPsec и sstp

[CityCat4]

Юрий MikroTik, У меня все ровно наоборот - RDP работает как из пушки - зашел на свою рабочую виртуалку, запустил там KMPlayer, открыл видосик с сети (с рабочей локалки) - идет без задержек! SMB работает, как ему и положено - быстро, у меня документы/загрузки/прочая шляпа подмаплены туда :)

ssh/imap/smtp - хрен по колено
я пока обхожусь RDP и думаю, что может быть сьеду отсюда - но квартира расположена, щука, удачно!

Answer 3

[Daemon23RUS]

Вы не одиноки. Проблема решаема. Причина в том, что выше обозначенный "пионер" впереди планеты свей исполняет требования одной небезызвестной конторы, сильно себя не утруждая,по принципу "и все что на это похоже". От чего мы, честные граждане испытываем выше обозначенные страдания. Решение - читать договор, и требовать его исполнения от пионерской организации. Прецеденты есть.
P.S. Это конечно если нет технических проблем.

Comments

[CityCat4]

сильно себя не утруждая,по принципу "и все что на это похоже".

Да, очень похоже на это. Все время хочу набрать тестового материала и для контроля взять домой ноут, с которого выходить через телефон - чтобы иметь возможность наблюдать за второй стороной, а потом уже звонить в саппорт и капать на мозги. Но хочу точно убедиться в том, что это не я накосячил.