Не обновляются приложения Android в сети настроенной на Mikrotik?

Question

[nuki4]

Доброго дня.
Имеем микротик. На нем все просто. 2 бриджа wan и lan. На wan придж всключен мультикаст. Настроен igmp-proxy.
Лан бридж-ничего не настроено, просто бридж.
Настроен клиент l2tp. И соответственно nat.
Базовые правила фаервола. Но и без них ничего не работает.

Не обновляет и не устанавливает приложения из Google Play. Зависает на этапе "Ожидает скачивания".
Сам гугл плей открывается и нормально работает.

Что может быть?

Comments

[Wexter]

а микротик тут при чём? если меняете его на циску/длинк начинает обновлять?
конфиги у вас под грифом совершенно секретно и выдаются только приближённым?
у вас впн часом не в диапазоне сети 172.217.0.0/16 живёт?

[nuki4]

Wexter, через любой другой маршрутизатор работает нормально.
Это домашний hap ac2.
Нет не в этой сети.

[Wexter]

nuki4, и самое главное проигнорил.
где конфиги лебовски?

[AkaZLOY]

зачем бридж на WAN интерфейсе?

[nuki4]

Wexter, я просто не понял этого вопроса и по написанию воспринял как стёб-издевку.
Выгрузить конфиг и приаттачить сюда?

AkaZLOY, затем что на 1 порту интернет, на 5-iptv. Если можно сделать по-другому - с радостью переделаю.

[Wexter]

nuki4, да

[AkaZLOY]

nuki4, и они объеденены в бридж? Зачем?

[nuki4]

AkaZLOY, потому что по дхцп получается Ip адрес от провайдера. Один айпи адрес. При попытке не объединять-просто не получает айпи адрес.

[nuki4]

Wexter, https://yadi.sk/d/nueOEJsdVrqVLA

Вот

[Ruslan-Strannik]

export .сделай экспорт.
и выложи сюда. может заменить свои айпишники, если страшно что их все узреют :)

[nuki4]

Ruslan-Strannik, как-то так получается

# dec/04/2019 09:37:11 by RouterOS 6.45.6
# software id = W3PE-YSAW
#
# model = RBD52G-5HacD2HnD
# serial number = BEEB0A0419C4
/interface bridge
add name=BRIDGE_WAN
add admin-mac=x auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether5 ] name=ether5_IPTV
/interface l2tp-client
add add-default-route=yes allow=chap connect-to=l2tp.freedom disabled=no name=\
L2TP_FREEDOM password=xxxxx user=xxxxxx
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=Home_2G wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
country=russia disabled=no distance=indoors frequency=auto installation=\
indoor mode=ap-bridge ssid=Home_5G wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xxxxx\
wpa2-pre-shared-key=xxxxx
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=BRIDGE_WAN comment=defconf interface=ether5_IPTV
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=BRIDGE_WAN interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=BRIDGE_WAN list=WAN
/ip address
add address=192.168.0.1/24 comment=defconf interface=ether2 network=192.168.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
BRIDGE_WAN
/ip dhcp-server network
add address=192.168.0.0/16 gateway=192.168.0.1 netmask=16
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=L2TP_FREEDOM
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add interface=BRIDGE_WAN upstream=yes
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Wexter]

nuki4, какие адреса выдаются провайдером по dhcp?

[nuki4]

Wexter, немного не понял.
Выдаётся адрес из 10.0.0.0/16 сети.

[AkaZLOY]

nuki4, а с чего вы взяли, что адрес по l2tp вы должны через dhcp-client получать? Поднимите просто l2tp без всяких бриджей и посмотрите в колонке Status интерфейса, строку Remote address.

[Ruslan-Strannik]

/ip address
add address=192.168.0.1/24 comment=defconf interface=ether2 network=192.168.0.0
интерфей бридж. для начала
скорей всего ошибка именно в этом кроется

/ip address
/ip dhcp-server network
выберите 1 маску сети. это не ошибка, так будет работать, но в дальнейшем можно запутаться

[Ruslan-Strannik]

/ip route print????

[nuki4]

Ruslan-Strannik, не могу сейчас посмотреть и проделать предложенные вами махинации.
Спасибо, проверю вечером и отпишусь о результате.

Спасибо.

[nuki4]

Ruslan-Strannik, попробовал проделать... посмотрел что там понанастраивал.

второй порт получил айпишник от дхцп сервера.
Порты с 2,3,4 входят в локальный бридж.
От консоли я пока что далек( в винбоксе вот такое

[Ruslan-Strannik]

чтото картинка не открывается.

второй порт получил айпишник от дхцп сервера.

все указывает на то, что эта запись статичная. либо она была динамической, а затем ты ее сделал статической. в любом случае это нужно исправить.
/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge

От консоли я пока что далек

вводишь команду и копипастером сюда :)
/ip route print

[Ruslan-Strannik]

nuki4, фото еще раз загрузи. а лучше
/ip route pri или
/ip route expo
если есть возможность

[nuki4]

Ruslan-Strannik, Да действительно, вчера открывал винбокс и показалось, что была буква Д у интерфейса ether2.
Добавил адрес на бридж, удалил для ether2

/ip route print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 L2TP_FREEDOM 1
1 DS 0.0.0.0/0 10.4.176.1 1
2 ADS 10.0.0.0/8 10.4.176.1 1
3 ADC 10.4.176.0/24 10.4.176.12 BRIDGE_WAN 0
4 ADS 92.244.237.0/26 10.4.176.1 1
5 ADS 94.141.32.14/32 10.4.176.1 1
6 ADC 192.168.0.0/16 192.168.0.1 bridge 0
7 ADS 192.168.149.0/24 10.4.176.1 1
8 ADS 192.168.149.176/32 10.4.176.1 0
9 ADS 195.98.64.65/32 10.4.176.1 1
10 ADS 195.98.64.66/32 10.4.176.1 1
11 ADS 195.98.64.84/32 10.4.176.1 1
12 ADS 195.98.65.128/26 10.4.176.1 1
13 ADC 195.98.65.197/32 217.25.238.134 L2TP_FREEDOM 0
[admin@MikroTik] >

[nuki4]

Ruslan-Strannik,
Попытка фото нумер 2.

[Ruslan-Strannik]

/ip dhcp-server network
add address=192.168.0.0/16 gateway=192.168.0.1
проглядел. ДНС сервер добавь. 192.168.0.1
а почему так много маршрутов? черт ногу сломит )

[nuki4]

Ruslan-Strannik, use default route или add default route стоит, они и подтянулись с вана и л2тп подключений. Как я понял.

Днс добавлены, вот текущая конфигурация.
Приложения не обновляются) Сам гугл плей работает отлично, сообщает какие приложения нужно обновить. Но, не обновляет(

[nuki4]

AkaZLOY, попробовал.
Если убрать бридж, то не подключается к этому адресу. Тк адрес внутренней сети.
Можно выделить один порт и он по дхцп получит адрес и тогда смогу подключиться к л2тп, но тогда не будет работать иптв.
Как я понял.

Answer 1

[Владимир Бобылев]

Тут два варианта:
1. Path MTU Discovery. Тогда вам нужно в фаервол добавлять что-то типа:
/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no
Но рекомендую почитать примерно тут: https://habr.com/ru/post/136871/

2. Попросите вашего топпровайдера выключить на вас GGC (Google Global Cache). А лучше правильно настроить его.
(https://habr.com/ru/post/93864/)