подключение снаружи через каскад двух Ultra

[Андрэ Палыч]

Ultra в квартире, подключен к провайдеру проводом. Для упрощения ситуации считаем что белый IP адрес - статический. Интернет дома работает без установки каких либо соединений. На клиентах, подключающиеся к этому роутеру (компьютеры, тв приставки, планшеты, телефоны - в общем любая техника) интернет работает идеально. Этот Ultra настроен как PPTP сервер. К нему подключается другой Ultra через сотовый модем, который стоит на даче (все сделано согласно инструкции). Устройства за двумя роутерами друг-друга видят. Если на Ultra на даче в настройках PPTP соединения в сторону Ultra в квартире не ставить галочку «Использовать для выхода в интернет» то клиенты подключающиеся к Ultra на даче работают с интернетом прекрасно. Стоит эту галочку поставить, интернет на клиентах начинает стабильно косячить. Все сайты начинают делиться условно на 3 категории: 1 категория открывается полностью без проблем, 2 категория - сайты открываются частично, 3 категория - сайты не открываются совсем. При чем наборы сайтов всегда одинаковые. Т.е. при включенной галке никогда не открывается speedtest.net, к примеру, и всегда открывается youtube.com.

Я бы не стал ставить эту несчастную галку но… На Ultra в квартире настроен проброс портов на устройство находящееся за Ultra на даче (видеонаблюдение) для того, что бы иметь возможность подключаться снаружи. Думаю, многие понимают, почему собрана такая схема но на всякий случай поясню, что у всех сотовых операторов белые адреса предлагаются на очень невыгодных условиях так что напрямую к роутеру на даче подключаться не вариант. Если галка не стоит то снаружи я до видеонаблюдения достучаться не могу. Плюс есть SIP сервер в домашней сети (3CX) к которому через VPN (между двумя роутерами) подключается трубка (в Ultra на даче торчит DECT Plus) и если галки нет то при вызовах в трубке тишина (т.е. звонки проходят но собеседников не слышно в обоих направлениях).

Это не DNS точно, т.к. пробовал клиентам прописывать вручную тот же 8.8.8.8. Недоступные сайты при всем при этом пингуются без потерь что с галкой что без галки.

В поддержке (help.keneetic.net) рекомендовали поиграться с MTU. Пробовал изменять опять-же по инструкции от 1500 до 800 - не помогло. no ppe - не помогло. Переходил на IPSec - проброс портов в таком виде как у меня перестает работать. Пытался совместно с поддержкой поднять GRE поверх IPSec (правда на прошивке еще 2.08) - не поднимается.

Может кто подскажет, как лучше все настроить что бы и интернет не глючил и снаружи можно было подключаться? 

Добавлю, что есть еще один практически такой-же "вынос", там GigaII, тоже видеонаблюдение и тоже SIP аппарат (SPA922) и там такая же ситуация, т.е. есть галка - глючит, нет галки - работает отлично.

Подключения снаружи к видеонаблюдению с мобильника, т.е. всегда с разного адреса (этот вопрос с поддержкой тоже обсуждался). Переходить на IPSec не очень желательно, т.к. уже есть одно IPSec соединение и если переделывать остальные два то в сумме будет уже три а Keneetic не поддерживает больше двух IPSec одновременно. Но если это единственный вариант то придется перейти, второй вынос менее важен, что нибудь придумаю.

Edited August 27, 2017 by Андрэ Палыч

[Андрэ Палыч]

Что, вообще никто ничего? Никаких мыслей/идей/предложений?

[arbayten]

В 27.08.2017 в 16:51, Андрэ Палыч сказал:

Пробовал изменять опять-же по инструкции от 1500 до 800

изменять пингом? для pptp зондирование icmp вроде как вопрос с подвохом  но все же - какие результаты?

[Le ecureuil]

Скоро (точнее уже сейчас есть в CLI) в Web появится L2TP/IPsec сервер, а клиент L2TP/IPsec есть уже кучу версий. Можете со временем попробовать на них.

[Андрэ Палыч]

3 часа назад, arbayten сказал:

изменять пингом? для pptp зондирование icmp вроде как вопрос с подвохом  но все же - какие результаты?

пинг шикарный что с галкой что без галки при любых MTU

[arbayten]

58 минут назад, Андрэ Палыч сказал:

пинг шикарный что с галкой что без галки при любых MTU

тогда точно справитесь с самым простым вариантом на дачной ультре из серии:
interface Home ip mtu <правильная_цифра>
(или как называется бридж);
на всякий случай перезапустите сетевые интерфейсы клиентов (чтобы скинуть старый mtu);
если будет под рукой, например, W, то проверите, чтобы от бриджа клиент получил переопределение mtu:
netsh interface ipv4 show subinterfaces
и при таком подходе при внешнем обращении к хосту камеры - L4 подстроится в т.ч. без лишних движений.

[vasek00]

Суть данной галки на клиенте PPTP просто установить маршрут по умолчанию на данный созданный интерфейс, для примера :

1. роутер в качестве сервера PPTP (белый IP)

2. роутер с выходом в интернет и поднятым клиентом PPTP

роутер1 на клиенте галки нет, ppp0 канал интернета, ppp1 канал PPTP
default dev ppp0  scope link

роутер1 на клиенте галка стоит для выхода в интернет, ppp0 канал интернета, ppp1 канал PPTP
default dev ppp1 scope link

При параметрах на клиенте при PPPoE - 1492

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:хх.хх.хх.хх  P-t-P:хх.хх.хх.хх  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1

ppp1      Link encap:Point-to-Point Protocol  
          inet addr:192.168.10.9  P-t-P:192.168.1.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1350  Metric:1

с ПК проверил speedtest.net открывается без проблем, по маршруту ПК->роутер1------(инет)-----роутер2---->----speedtest.

ПК----роутер1(PPTP-клиент)----------(PPTP-сервер)роутер2----сеть----камера

Клиент - доступ к локальной сети роутера2 есть там так же камеры и проброс портов на роутере2 (но выход на прямую - 192.168.1.1:порт с данного клиента и по данному VPN, прописан маршрут стат на роутере1 для сети роутера2), выход клиента в интернет так же есть через роутер2 = все работает.

Мне не понятен только вопрос если есть VPN канал, то можно сделать доступные лок.сети этих роутеров.

Отличие от той схемы по ссылке (инструкция) у меня стоит на сервере - Транслировать адреса клиентов (NAT)

[arbayten]

13 часа назад, vasek00 сказал:

MTU:1492
MTU:1350

по идее расчетный должен быть: 1492-16-4-20=1452

[vasek00]

5 минут назад, arbayten сказал:

по идее расчетный должен быть: 1492-16-4-20=1452

Это конечно хорошо - блок данных больше, вы знаете расчеты это хорошо, но за свою практику ими не пользовался, только автомат - "Автоподстройка TCP-MSS" на интерфейсах.

[arbayten]

4 минуты назад, vasek00 сказал:

Автоподстройка TCP-MSS

там вроде проблема в том, что pmtud на icmp внутри pptp будет ошибаться на 4, т.к. не учитывает seq. и ack. nmbrs на разгоне, поэтому автоподстройка ... ф.з., те же M$ решили не париться и ставят mtu на такие линки в 1400.

[vasek00]

1 час назад, arbayten сказал:

там вроде проблема в том, что pmtud на icmp внутри pptp будет ошибаться на 4, т.к. не учитывает seq. и ack. nmbrs на разгоне, поэтому автоподстройка ... ф.з., те же M$ решили не париться и ставят mtu на такие линки в 1400.

Ошибаться буду не я, а стандарты на каналы и настройки самого канала PT + Keenetic (канал PPPoE и в нем PPTP, так как повторюсь настройки те которые предлагает прошивка на роутере)

[arbayten]

15 минут назад, vasek00 сказал:

Ошибаться буду не я

я ведь не говорил, что Вы ошибаетесь.

pmtud упрется в mtu, выставленный по направлению на том же pptp0 (или как правильно), так что tcp клиента подстроится и выставит нужный mss ... udp обычно мелкие пакеты, так что с этим проблем чаще всего не бывает ... я имел ввиду, что автоматика pmtud, скорее всего, не спасет, если mtu на подобном интерфейсе (с плавающим оверхедом) будет завышен.

[vasek00]

2 минуты назад, arbayten сказал:

я ведь не говорил, что Вы ошибаетесь.

pmtud упрется в mtu, выставленный по направлению на том же pptp0 (или как правильно), так что tcp клиента подстроится и выставит нужный mss ... udp обычно мелкие пакеты, так что с этим проблем чаще всего не бывает ... я имел ввиду, что автоматика pmtud, скорее всего, не спасет, если mtu на подобном интерфейсе (с плавающим оверхедом) будет завышен.

 

Вы не учитываете то что роутер выполняет тут две функции - конечная точка туннеля раз и отправить пакет до нужной точки (страница в интернете) два.

На другой же стороне был роутер2 с чистым IP и поднятым PPTP сервером, через него и был выход на speedtest.

ПК----роутер1(PPTP-клиент)---Интернет---(PPTP-сервер)роутер2

 

[arbayten]

я учитываю, что роутер не предоставляет возможности фрагментировать и собирать ip в любых направлениях и вероятный mss в 1310 в обе стороны, что не должно быть проблемой для работы с указанным ресурсом.