Καλησπέρα σας,
Αντιμετωπίζω ένα πρόβλημα με το hAP ax lite LTE6, Router OS 7.14.3 όταν συνδέομαι μέσω lte cosmote. Για internet και απλή πλοήγη είναι μια χαρά δεν αντιμετωπίζω πρόβλημα.
Όταν πρέπει να συνδεθώ όμως σε κάποιους πελάτες μου με forticlient αρχίζουν τα ζόρια (no split tunnel vpn). Όταν πρέπει να συνδεθώ σε εσωτερικές σελίδες του πελάτη μου αργεί πάρα πολύ και παρατήρησα από wireshark ότι έχω πάρα πολλά retransmissions/ dup acks/ out of order packets και μάλλον εκεί οφείλεται.
Όταν πάλι μέσω mikrotik συνδεθώ στην ftth συνδεσή μου όλα πάνε σφαίρα.
Τελικά άρα είναι κάτι στο LTE που πρέπει να κοιτάξω.
Configuration είναι το default, σας το επισυνάπτω κιόλας.
Όποια βοήθεια ευπρόσδεκτη.
Κώδικας:/interface bridge add admin-mac=78:9A:18:77:35:CB auto-mac=no comment=defconf name=bridge \ protocol-mode=none /interface ethernet set [ find default-name=ether1 ] disabled=yes /interface wifi set [ find default-name=wifi1 ] channel.band=2ghz-ax .frequency=2437 \ .skip-dfs-channels=10min-cac .width=20/40mhz configuration.country=Greece \ .mode=ap .ssid=MikroTik-7735CF disabled=no l2mtu=1500 \ security.authentication-types=wpa2-psk,wpa3-psk .connect-priority=0 \ .disable-pmkid=yes .ft=no .ft-over-ds=no /interface lte set [ find default-name=lte1 ] allow-roaming=no band="" network-mode=lte \ sms-read=no /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface lte apn set [ find default=yes ] use-network-apn=no /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 add name=backupPool ranges=192.168.89.2-192.168.89.254 /ip dhcp-server add address-pool=default-dhcp interface=bridge lease-time=1d name=defconf add address-pool=backupPool interface=ether4 lease-time=1d name=backupPool /queue type set 2 sfq-allot=3000 sfq-perturb=10 add fq-codel-ecn=no kind=fq-codel name=fq-codel-ethernet-default /queue interface set ether1 queue=fq-codel-ethernet-default set ether2 queue=fq-codel-ethernet-default set ether3 queue=fq-codel-ethernet-default set ether4 queue=fq-codel-ethernet-default /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=wifi1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=lte1 list=WAN add comment=defconf disabled=yes interface=ether1 list=WAN add interface=ether4 list=LAN /ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=\ 192.168.88.0 add address=192.168.89.1/24 interface=ether4 network=192.168.89.0 /ip dhcp-client add interface=ether1 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\ 192.168.88.1 add address=192.168.89.0/24 dns-server=192.168.89.1 gateway=192.168.89.1 \ netmask=24 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment=\ "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related hw-offload=yes add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN /ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6 add address=::1/128 comment="defconf: lo" list=bad_ipv6 add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6 add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6 add address=100::/64 comment="defconf: discard only " list=bad_ipv6 add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6 add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6 /ipv6 firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\ icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" \ dst-port=33434-33534 protocol=udp add action=accept chain=input comment=\ "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\ udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \ protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\ ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\ ipsec-esp add action=accept chain=input comment=\ "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment=\ "defconf: drop everything else not coming from LAN" in-interface-list=\ !LAN add action=accept chain=forward comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment=\ "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \ hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\ icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=\ 500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\ ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\ ipsec-esp add action=accept chain=forward comment=\ "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment=\ "defconf: drop everything else not coming from LAN" in-interface-list=\ !LAN /system clock set time-zone-name=Europe/Athens /system logging add topics=wireless,debug /system note set show-at-login=no /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
Εμφάνιση 1-10 από 10
-
20-05-24, 09:35 mikrotik hap ax lte και VPN retransmissions/OoO packets #1
-
20-05-24, 14:03 Απάντηση: mikrotik hap ax lte και VPN retransmissions/OoO packets #2
Με κλειστο firewall πως συμπεριφερεται?
Άλλα Ντάλλα....
-
20-05-24, 14:20 Απάντηση: mikrotik hap ax lte και VPN retransmissions/OoO packets #3
Ακριβώς τα ίδια δυστυχώς.
-
20-05-24, 17:09 Απάντηση: mikrotik hap ax lte και VPN retransmissions/OoO packets #4
Περίεργο αλλα δοκιμασε με το παρακατω.
Κώδικας:/ip firewall mangle add action=change-mss chain=forward comment="Change MSS" new-mss=clamp-to-pmtu out-interface-list=WAN passthrough=no protocol=tcp tcp-flags=syn
-
20-05-24, 17:32 Απάντηση: mikrotik hap ax lte και VPN retransmissions/OoO packets #5
Τίποτα και αυτό, έχω ανοίξει και τικετ. Ευχαριστώ σε κάθε περιπτωση.
-
25-05-24, 15:25 Απάντηση: mikrotik hap ax lte και VPN retransmissions/OoO packets #6
Κάποιος τρόπος να αλλαχτεί σε μικρότερο MTU στο fortinet vpn client?
-
25-05-24, 18:20 Απάντηση: mikrotik hap ax lte και VPN retransmissions/OoO packets #7
Απο cmd αλλαζει on the fly το MTU χωρις ρεσταρτ. Στη registry θες ρεσταρτ.
Άλλα Ντάλλα....
-
27-05-24, 11:48 Απάντηση: mikrotik hap ax lte και VPN retransmissions/OoO packets #8
Αγαπητοί βρήκα το workaround που σώζει την κατάσταση προς το παρόν. Βρήκα και γύρισα το forticlient σε DTLS και φυσάει.
Συνεπώς το πρόβλημα είναι κάπου στο TCP του Mikrotik. Με hotspot από κινητό χωρίς την αλλαγή σε DTLS και έπαιζε τέλεια.
Με mangles έχω κατεβάσει το mss σε 1200 χωρίς αποτέλεσμα.
- - - Updated - - -
Τελικά σήμερα και όντως με αλλαγή του mtu από cmd του forticlient interface επαιξε και με TLS. Ευχαριστώ πολύ!
-
29-05-24, 11:06 Απάντηση: mikrotik hap ax lte και VPN retransmissions/OoO packets #9
Ποσο το εβαλες?
Άλλα Ντάλλα....
-
29-05-24, 14:47 Απάντηση: mikrotik hap ax lte και VPN retransmissions/OoO packets #10
Bookmarks