Почему некоторые сайты открываются по 15-20 минут Mikrotik?

Question

[Артем]

Суть такая: заменили старенький керио на новенький RB2011UiAS-RM.
Конфиг фаера у микрота стандартный.
Сеть доменная, ДНС используется на DC.

Некоторые сайты (например rbc.ru www.delikateska.ru) стали открываться по 40 минут.

Что делалось:
1. "Игрался с настройками браузеров" (т.к. код страницы скачивается, отображение происходит через 15 минут, думал дело в одной машинке, но нет, весь офис)
2. Отключал антивирус (каспер 6.0 WS)
3. Подставлялись гугловские DNS
4. VPN-ился снаружи на микрот, на домашнем компе через VPN всё открывалось нормально.

Answer 1

[Владимир Дубровин]

Установите правильные значения MTU (скорее всего они сейчас установлены выше реальных) на линке с провайдером и на интерфейсе в локальную сеть + проверьте, не режутся ли пакеты ICMP fragmentation needed.

Comments

[Артем]

Спасибо, кто бы мог подумать!)))
Выставил вместо 1458 1500 и всё взлетело, провайдер в Мск - редиска)

Answer 2

[Walt Disney]

Сайт не может открываться столько времени, браузер кинет окно, что сайт не доступен.
Значит браузер считает, что он показывает сайт. Соответственно предположим, что сайт блочит асинхроная загрузка какого то внешнего ресурса в цикле, соответственно можно предположить, что это какие то кнопки/плагины соц сетей или какие то рекламные сети или блокировщики рекламных серей или счётчики и т.п.

Попробуйте по f12 в хроме на вкладке networks посмотреть на чём виснет процесс.

p.s. Давно правда, при сдаче проекта в офисе заказчика, имел опыт, что фильтрацию контента в браузере в касперском отключить нельзя, он резал js код в админке сайта, и при отключении или закрытии модуль фильтрующий инет оставался активным.

Comments

[Артем]

Ну так страница-то загружается, т.е. есть серый фон, при клике правой клавишей мыши -> показать код, код там вполне показывается.

Само отображение происходит через 15-20 минут...

Каспер удаляли целиком с компа, результата нет.

Про f12 проверю чуть позже, но логично, что дело не в сайте, ибо с домашнего компа через VPN всё ок.

[Walt Disney]

gangz: да я понял что она загружается, но рендеринг может блочить или падающий js, или какая то надстройка над браузером реагирующая на, что то из содержимого страницы. Но это как бы или следствие, или совпадение времени обнаружения проблемы с временем смены роутера.

отключите фаервол и проверьте без него, уже гадать будет проще.

Из экзотического, давно давно ловил глюки в стиле хочу открываю, хочу нет, для ssl соединений при низком mtu, подробностей уже не помню.

p.s. в той истории насколько помню (но не уверен) удаление каспера не удаляло этот модуль.

[Артем]

Walt Disney: надстроек нет никаких, вариант с модулем для сайтов - проверю.

[Артем]

действительно 2 скрипта не грузились

Answer 3

[oldbro]

Я бы начал с того, что обновил прошивку, удалил стандартный конфиг микрота. С нуля настроил лишь минимум (свитч, локальную сеть и нат). Без файрвола и днс (прописать руками на машине).
Если не зафиксируется, то:
Проверил бы, нет ли двух DHCP-серверов (на микротике и в АД, например, вдруг забыли и нет ли от провайдера dhcp-сервера). Проверил бы трассировку до проблемных сайтов, сравнив с трассировкой нормально работающих сайтов. Настроил бы файрвол с запретом всей LAN, кроме своего компа, выходить в инет (более жесткий вариант - отключил бы все физические свитчи от микротика, оставив прямой кабель до своего компа). Ну а там, уже дальше плясать.

Comments

[Артем]

1, 2, 3 делалось.
Второго DHCP нету, трассировка в норме.

Совета в файером - не понял, зачем?

[oldbro]

Чтобы исключить возможный "фонящий" трафик от хостов (зараженных) или свитчей в локальной сети. Или как-то очень давно сталкивался с тем, что сотрудник воткнул один патч-корд в две розетки, в сети творились в прямом смысле "чудеса".

[Артем]

oldbro: ок, проверю, но, по ходу, петель нет.

[Maksim]

gangz: Проделайте то что вам посоветовал Дисней... (с F12 в хроме)

Answer 4

[alexxandr]

Так как их писали косые веб-макаки. JS на 15 мегабайт - норма жизни. А лучше всего - если на шаред хостинге.