В чем может быть проблема с работой части протоколов?
Добрый день.
Сразу извиняюсь за "много букв" дальше - для полноты картины, надеюсь помогут)
Сначала немного о топологии имеющейся сети:
Имеется центральный маршрутизатор Cisco 2921, он поднимает IPSec туннель с удаленным офисом. На удаленной точке используется Mikrotik RB750, подключение через провайдера А. За Cisco используем прокси TMG2010 - он вынесен в DMZ, как и внутренний интерфейс Cisco. Компьютеры с удаленной точки в браузерах используют прокси - Kerio Control 9 (так же в DMZ).
Проблема вот в чем: туннель поднимается корректно, доступ по Radmin, рдп, корпоративная почта, обновление антивируса с корпоративного сервера - работают, а вот http/https - "залипает" и висит на открытии страницы, хотя пинги ходят без проблем и имена разрешаются корректно. Подключение по фтп работает, но файлы не передаются, так же не работает передача файлов средствами Radmin. Если отключаю прокси в браузере/системе - http/https начинают работать, но ,соответственно, офисные сервисы, работающие через эти протоколы недоступны. С фтп проблема остается.
Есть в резерве 3g модем (Провайдер B) - когда перенастраиваю IPSec через него - все работает отлично.
Закуплены новые модели Mikrotik (ранее не использовались, были устаревшие модели, тоже 750) и установлены уже в 2 удаленных точках. В первом случае соединение с интернетом поднимает сам Mikrotik по PPPoE, во втором случае уже модем провайдера поднимает PPPoE, Mikrotik находится за ним, и поднимает VPN туннель. Симптомы одинаковые в обоих случаях.
PS при настройке на провайдера А первые минут 5-7 http/https работают корректно, потом залипают, передача файлов не работает сразу. Имеется еще около 50 удаленных точек настроенных по такой же схеме (маршики Dlink DI800, Zyxel Zywall 200, Mikrotik 750 более старые версии) - проблем нет.
Может кто подсказать, в чем может быть проблемка, или в какую сторону смотреть, в поисках проблемы? Сам уже голову сломал - пока безрезультатно)
Заранее спасибо.
Видимо у вас проблема с MTU. На туннельных интерфейсах:
ip mtu 1400
ip tcp adjust-mss 1360
Значение подберете согласно того, какой MTU пропускает провайдер от точки до точки
Уменьшал mtu до 1400, мсс делал меньше на 44 (почему то в wiki.mikrotik.com/wiki/Russian/FAQ написано уменьшать на 40 - но в примере уменьшают на 44 байта мсс, я взял эти 44). Затем уменьшил еще на 100 байт оба параметра - проблема осталась.
)) проблема с MTU видно когда "чтото работает, а чтото нет, или сайт на половину открывается" в вашем случае чтото другое.
Если по FTP не передаются файлы, то попробуйте пассивный режим, если он заработает, то скорее всего проблема в NAT-helper, если мне память не изменят то в cisco называется alg а в микротке /ip firewall service-port
также покажите трассировку с хоста до прокси сервера.
и покажите трассировку с прокси сервера в инет
и покажите трассировку с прокси сервера до хоста
Трасировка с хоста:
C:\Users\tisuser>tracert 192.168.100.95
Трассировка маршрута к testboxsrv.tuvia.telecom.by [192.168.100.95]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 192.168.69.1
2 * * * Превышен интервал ожидания для запроса.
3 10 ms 9 ms 9 ms testboxsrv.tuvia.telecom.by [192.168.100.95]
Трассировка завершена.
C:\Users\tisuser>tracert tut.by
Трассировка маршрута к tut.by [178.172.160.2]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 192.168.69.1
2 * * * Превышен интервал ожидания для запроса.
3 5 ms 3 ms 3 ms core1.grodno.belpak.by [93.85.81.121]
4 11 ms 11 ms 11 ms core2.net.belpak.by [93.85.253.73]
5 7 ms 9 ms 9 ms gw3.datacenter.beltelecom.by [93.84.125.169]
6 7 ms 8 ms 7 ms 178.124.134.214
7 8 ms 8 ms 7 ms 178-172-160-2.hosterby.com [178.172.160.2]
Трассировка завершена.
С прокси с прокси:
traceroute to 192.168.69.22 (192.168.69.22), 30 hops max, 60 byte packets
1 192.168.100.50 1.086 ms 2.164 ms 2.120 ms
2 * * *
3 192.168.69.22 10.764 ms * *
traceroute to tut.by (178.172.160.3), 30 hops max, 60 byte packets
1 192.168.100.50 4.922 ms 5.124 ms 6.409 ms
2 x.x.x.x 6.503 ms 6.547 ms 6.596 ms (x.x.x.x - наш публичный адрес)
3 86.57.200.33 6.645 ms 6.694 ms 6.746 ms
4 93.85.80.161 9.759 ms 11.416 ms 9.918 ms
5 93.85.80.45 11.004 ms 11.338 ms 11.273 ms
6 93.84.125.189 16.220 ms 11.375 ms 11.236 ms
7 178.124.134.214 5.038 ms 4.838 ms 7.005 ms
8 178.172.160.3 7.144 ms 7.155 ms 7.196 ms
Вот трассировки - проблему пока решить самостоятельно не удается((
Все таки в MTU проблема была:
понизил скорость MTU до 1000 и MSS до 960, соответственно - полет нормальный, немного помониторю, но пока проблем не увидел ни с хттп, ни с фтп.
Средний
