При установленном туннеле L2TP+Ipsec между двумя роутерами mikrotik, почему-то падает подключение локальной машины к vpn PPtP во внешней сети?

Question

[Comte]

Есть два микротика, подключены между собой по L2TP+Ipsec и поднят туннель EoIP, EoIP туннель на обоих роутерах добавлен в бридж. Всё работает идеально.
Одной из машин внутри сети необходимо подключиться по VPN (PPtP) к удалённому серверу. Соединение происходит без ошибок. Но как только начинается обмен данными между этими машинами, vpn соединение рвётся с ошибкой:
Пользователь установил удаленное подключение которое было прекращено. При прекращении возвращен код причины 829. При отключении L2TP сервера на микротике всё работает без сбоев. Куда-в какую сторону смотреть?

Данные сети:
Офис 1:

Public IP: static - ip 31.211.xx.yy
Local IP: 192.168.1.0/24
Пул L2TP: 176.116.10.0/24
Адрес Mikrotik: 192.168.1.1
Адрес VPN PPtP: 88.204.102.194

ipconfig /all машины при подключенном vpn

Адаптер PPP :

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : 
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.10.10.184(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . :
   DNS-серверы. . . . . . . . . . . : 192.168.0.2
   NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)
   Физический адрес. . . . . . . . . : 
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.39(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 17 мая 2020 г. 11:51:38
   Срок аренды истекает. . . . . . . . . . : 17 мая 2020 г. 13:26:39
   Основной шлюз. . . . . . . . . : 192.168.1.1
   DHCP-сервер. . . . . . . . . . . : 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 192.168.1.1
   NetBios через TCP/IP. . . . . . . . : Включен

route print

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.39      5
         10.0.0.0        255.0.0.0     192.168.0.11     10.10.10.184     11
     10.10.10.184  255.255.255.255         On-link      10.10.10.184    266
   88.204.102.194  255.255.255.255      192.168.1.1     192.168.1.39      6
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link      10.10.10.184     11
    192.168.0.255  255.255.255.255         On-link      10.10.10.184    266
      192.168.1.0    255.255.255.0         On-link      192.168.1.39    261
     192.168.1.39  255.255.255.255         On-link      192.168.1.39    261
    192.168.1.255  255.255.255.255         On-link      192.168.1.39    261
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.39    261
        224.0.0.0        240.0.0.0         On-link      10.10.10.184    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.39    261
  255.255.255.255  255.255.255.255         On-link      10.10.10.184    266
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.0.0    255.255.255.0     10.10.10.184       1
===========================================================================

Офис 2:
Public IP: static - ip 83.172.xx.yy
Local IP: 192.168.0.0/24
Адрес Mikrotik: 192.168.0.1

Comments

[Sergey]

При поднятом туннеле трассировка до pptp сервера меняется?

[Comte]

Sergey, с отключенным туннелем

C:\Users\Comte>tracert 88.204.102.194

Трассировка маршрута к vpn.erkc.tomsk-7.ru [88.204.102.194]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.1.1
  2     4 ms     3 ms     3 ms  crt-c9006-vl400.nts.su [31.211.125.254]
  3     2 ms     1 ms     1 ms  sels.tskix.ru [82.117.167.30]
  4     1 ms     1 ms     1 ms  cc32x7.sels.ru [83.172.32.7]
  5     1 ms     1 ms     1 ms  vpn.erkc.tomsk-7.ru [88.204.102.194]

Трассировка завершена.

С включенным туннелем

C:\Users\Comte>tracert 88.204.102.194

Трассировка маршрута к vpn.erkc.tomsk-7.ru [88.204.102.194]
с максимальным числом прыжков 30:

  1     1 ms    <1 мс    <1 мс  192.168.1.1
  2     1 ms     3 ms     1 ms  crt-c9006-vl400.nts.su [31.211.125.254]
  3     1 ms     1 ms     1 ms  sels.tskix.ru [82.117.167.30]
  4     1 ms     1 ms     2 ms  cc32x7.sels.ru [83.172.32.7]
  5     1 ms     1 ms     1 ms  vpn.erkc.tomsk-7.ru [88.204.102.194]

Трассировка завершена.

[Comte]

Sergey, Тут выяснил, что всё вышеописанное не работает при включенном или pptp-туннеле, или L2TP-туннеле, при включенном OVPN-туннеле всё работает нормально, но скорость очень маленькая между микротиками

[korsar182]

Comte, выложите полный экспорт конфигурации микротиков.

[Sergey]

Comte, попробуйте настроить GRE туннель между микротиками. Если есть необходимость в pptp/l2tp туннеле, то может быть бридж на микротике виноват в обрыве впн клиента. Как вариант - попробуйте поменять местами роли микротиков, т.е. первый подключается ко второму и наоборот, если это возможно.

[Comte]

Sergey, Сергей, я тут проверил всякое...
При изменении max mtu у pptp-туннеля на 1500, всё работает стабильно, как только mtu меняю опять 1450(по-умолчанию) опять отваливается...

[Sergey]

Comte, оставьте mtu 1500 либо уменьшите до какого то значения, при котором не отваливается.
Пакет через pptp туннель идет размером 1474 байта, при значении мту в туннеле 1450, он не помещается, хотя странно, ведь впн соединение не идет через туннель.
Есть возможность задать правила в микротике, для изменения мту пакетам, но сейчас я не могу вам сказать как сделать это

[Sergey]

Comte, посмотрите какой mtu на бридже, возможно он уменьшается до минимального из значений мту интерфейсов в мосту.
Так и есть: Maximum transmission unit, by default, the bridge will set MTU automatically and it will use the lowest MTU value of any associated bridge port.

[Comte]

Sergey, это и была затычка, спасибо большое!

Answer 1

[Sergey]

Задать значение MTU в бридже в 1500.

Maximum transmission unit, by default, the bridge will set MTU automatically and it will use the lowest MTU value of any associated bridge port.