Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Mikrotik - brak bramy na l2tp, brak dostępu po adresie WAN, rozłączanie się VPNa

12 Sty 2020 02:27 702 30
  • Poziom 20  
    Witam, potrzebuję pomocy w zakresie konfiguracji mikrotika: hAP ac2 (RBD52G-5HacD2HnD-TC)
    Po ustawieniu go na potrzeby domowe, napotkałem na trzy problemy:

    1. Mam NASa wystawionego na porcie 443 i będąc w LANie nie mam dostępu do jego www po adresie WANowym (ani po IP ani po nazwie).
    Mogę połączyć się do NASa po adresie LANowym (192.168.1.50) z LANu oraz mogę się połączyć do niego po adresie WANowym z WANu.
    Dziwne jest to że będąc w LAN bez problemu mogę połączyć laptopa do VPNa (na mikrotiku) używając publicznego IP lub nazwy, ale używając tego samego adresu czy nazwy nie mogę już wejść na stronę www NASa.


    2. Po połączeniu do VPNa na l2tp na Windowsie 10, dostaję IP ale bez bramy.

    Dostaję tylko tyle:
    --------------------------------------------------------------
    PPP adapter mikrotik:

    Connection-specific DNS Suffix . :
    IPv4 Address. . . . . . . . . . . : 10.2.0.3
    Subnet Mask . . . . . . . . . . . : 255.255.255.255
    Default Gateway . . . . . . . . . : 0.0.0.0
    --------------------------------------------------------------

    3. Serwer NAS traci połączenie VPN co jakiś czas, długość połączenia nie jest powtarzalna, wygląda na losowość.


    Konfiguracja w skrócie:
    1. Internet od Netii po PPPoE
    2. Serwer l2tp na mikrotiku
    3. NAS QNAP wystawiony na www/443
    4. NAS Synology łączy się po VPNie do mikrotika
    5. QNAP na DDNSa i z niego mam w domenie myqnapcloud.com


    Poniżej dołączam skrypt konfiguracji mikrotika:
    Przy okazji proszę o weryfikację czy coś się jeszcze przyda dodać/zmienić/usunąć w konfiguracji na potrzeby domowej sieci.


    Code:
    /system clock
    
    set time-zone-name=Europe/Warsaw

    # ---------------------SERVICES---------------
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes



    # ----------------BASE CONFIG----------------
    /interface ethernet
    set [ find default-name=ether1 ] arp=proxy-arp

    /interface bridge
    add name=bridge1 protocol-mode=none

    /ip pool
    add name=lan ranges=192.168.1.100-192.168.1.254

    /ip address
    add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0

    /interface bridge port
    add bridge=bridge1 interface=ether2
    add bridge=bridge1 interface=ether3
    add bridge=bridge1 interface=ether4
    add bridge=bridge1 interface=ether5
    add bridge=bridge1 interface=wlan1
    add bridge=bridge1 interface=wlan2

    /ip dhcp-server
    add address-pool=lan disabled=no interface=bridge1 name=dhcp1

    /ip dhcp-server network
    add address=192.168.1.0/24 gateway=192.168.1.1


    # -----------------PPPoE-NETIA--------------------
    /interface pppoe-client
    add add-default-route=yes disabled=no interface=ether1 name=netia password=\
        xxxxxxx profile=default-encryption use-peer-dns=yes user=\
        xxxxxxx(malpa)xxxx.pl
       
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=netia
    add action=dst-nat chain=dstnat dst-port=443 in-interface=netia protocol=tcp \
        to-addresses=192.168.1.50 to-ports=443

    # ----------------DHCP static------------
    /ip dhcp-server lease
    add address=192.168.1.50 client-id=1:24:5e:be:1:46:54 mac-address=\
        24:5E:BE:01:46:54 server=dhcp1
       
    /interface detect-internet
    set detect-interface-list=all

    # -----------------VPN--------------------
    /ppp secret
    add local-address=10.2.0.1 name=synology password=xxxxxxxxxxxxxxxxxx profile=\
        default-encryption remote-address=10.2.0.2 service=l2tp
    add local-address=10.2.0.1 name=hp password=xxxxxxxxxxxxxxxxxx profile=\
        default-encryption remote-address=10.2.0.3 service=l2tp
    add local-address=10.2.0.1 name=iPhone password=xxxxxxxxxxxxxxxxxx profile=\
        default-encryption remote-address=10.2.0.2 service=l2tp
    add local-address=10.2.0.1 name=qnap password=xxxxxxxxxxxxxxxxxx profile=\
        default-encryption remote-address=10.2.0.5 service=l2tp
       
    /interface l2tp-server server
    set authentication=mschap2 enabled=yes ipsec-secret=mikrotikvpn max-mru=1400 \
        max-mtu=1400 use-ipsec=yes


    # -----------------WLAN-----------------
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    add authentication-types=wpa-psk,wpa2-psk disable-pmkid=yes eap-methods="" \
        management-protection=allowed mode=dynamic-keys name=wlan_dom \
        supplicant-identity="" wpa-pre-shared-key=xxxxxxxxx! \
        wpa2-pre-shared-key=xxxxxxxxx!
    add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=\
        wlan1-profile supplicant-identity=MikroTik wpa-pre-shared-key=\
        xxxxxxxxx! wpa2-pre-shared-key=xxxxxxxxx!
    /interface wireless
    set [ find default-name=wlan1 ] antenna-gain=6 country=poland disabled=no \
        frequency=auto installation=indoor mode=ap-bridge security-profile=\
        wlan1-profile ssid=MikroTik
    set [ find default-name=wlan2 ] antenna-gain=6 disabled=no mode=ap-bridge \
        security-profile=wlan_dom ssid="MikroTik 5G"

       
    # -----------------Firewall-----------------   
    /ip firewall filter
    add action=accept chain=forward connection-state=established,related
    add action=accept chain=forward in-interface=bridge1 out-interface=ether1 src-address=192.168.1.0/24
    #add action=drop chain=forward
    add action=accept chain=output
    add action=accept chain=input connection-state=established,related
    add action=accept chain=input icmp-options=8:0 protocol=icmp
    add action=accept chain=input icmp-options=3:4 protocol=icmp
    #add action=drop chain=input
    Darmowe szkolenie: Ethernet w przemyśle dziś i jutro. Zarejestruj się za darmo.
  • Pomocny post
    Specjalista Sieci, Internet
    karolczyzycki napisał:
    1. Mam NASa wystawionego na porcie 443 i będąc w LANie nie mam dostępu do jego www po adresie WANowym (ani po IP ani po nazwie).
    Mogę połączyć się do NASa po adresie LANowym (192.168.1.50) z LANu oraz mogę się połączyć do niego po adresie WANowym z WANu.
    Dziwne jest to że będąc w LAN bez problemu mogę połączyć laptopa do VPNa (na mikrotiku) używając publicznego IP lub nazwy, ale używając tego samego adresu czy nazwy nie mogę już wejść na stronę www NASa.

    Jeżeli masz wystawionego NASa na świat na porcie 443, to gdzie jest reguła dst-nat, że ruch kierowany na port 443, do Twojego publiocznego adresu IP ma byś dst-nat'owana na adres lokalny Twojego NASa na port 443? Gdy to tak ustawisz, to zrobisz także Hairpin NAT i powinieneś zacząć mieć możliwość dostawania się do swojego NASa z lokalnej sieci LAN po publicznym adresie WAN.

    Dodano po 5 [minuty]:

    karolczyzycki napisał:
    2. Po połączeniu do VPNa na l2tp na Windowsie 10, dostaję IP ale bez bramy.

    A jakie trasy się Tobie pojawiają po połączeniu się do serwer VPN?
    route print (chyba tak to szlo z CMD)
  • Poziom 20  
    1.
    przeqpiciel napisał:
    Jeżeli masz wystawionego NASa na świat na porcie 443, to gdzie jest reguła dst-nat, że ruch kierowany na port 443, do Twojego publiocznego adresu IP ma byś dst-nat'owana na adres lokalny Twojego NASa na port 443? Gdy to tak ustawisz, to zrobisz także Hairpin NAT i powinieneś zacząć mieć możliwość dostawania się do swojego NASa z lokalnej sieci LAN po publicznym adresie WAN.


    Znalazłem taką regułę:

    Code:
    /ip firewall nat
    
    add chain=dstnat dst-address=xxxxxxxxx.myqnapcloud.com protocol=tcp dst-port=443 \
      action=dst-nat to-address=192.168.1.50
    add chain=srcnat out-interface=netia action=masquerade


    Ale składnia musi zawierać adres IP a nie nazwę domenową, a ja mam zmienne IP i ratuję się DDNSem. MT w/w konfiguracji nie przyjmuje. Nawet jeśli wpiszę moje tymczasowe IP to też nie mam połączenia.


    2. Komenda 'route print' daje taki wynik:

    IPv4 Route Table
    Code:
    ===========================================================================
    
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.131   4250
              0.0.0.0          0.0.0.0         On-link          10.2.0.3     26
             10.2.0.3  255.255.255.255         On-link          10.2.0.3    281
         78.8.226.130  255.255.255.255      192.168.1.1    192.168.1.131   4251
            127.0.0.0        255.0.0.0         On-link         127.0.0.1   4556
            127.0.0.1  255.255.255.255         On-link         127.0.0.1   4556
      127.255.255.255  255.255.255.255         On-link         127.0.0.1   4556
          192.168.1.0    255.255.255.0         On-link     192.168.1.131   4506
        192.168.1.131  255.255.255.255         On-link     192.168.1.131   4506
        192.168.1.255  255.255.255.255         On-link     192.168.1.131   4506
         192.168.58.0  255.255.255.240         On-link      192.168.58.1   4496
         192.168.58.1  255.255.255.255         On-link      192.168.58.1   4496
        192.168.58.15  255.255.255.255         On-link      192.168.58.1   4496
            224.0.0.0        240.0.0.0         On-link         127.0.0.1   4556
            224.0.0.0        240.0.0.0         On-link     192.168.1.131   4506
            224.0.0.0        240.0.0.0         On-link      192.168.58.1   4496
            224.0.0.0        240.0.0.0         On-link          10.2.0.3     26
      255.255.255.255  255.255.255.255         On-link         127.0.0.1   4556
      255.255.255.255  255.255.255.255         On-link     192.168.1.131   4506
      255.255.255.255  255.255.255.255         On-link      192.168.58.1   4496
      255.255.255.255  255.255.255.255         On-link          10.2.0.3    281
    ===========================================================================
  • Pomocny post
    Specjalista Sieci, Internet
    1. Być może obejściem Twojego problemu z DDNS byłoby utworzenie 'address list', do której podasz adres FQDN, natomiast w dst-nat zamiast używać dst-addr użyć dst-address-list. Może przejść ale głowy za to nie daję.

    2.
    Code:

              0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.131   4250
              0.0.0.0          0.0.0.0         On-link          10.2.0.3     26

    wskazuje, że wszystko będzie pchane przez 10.2.0.3, tak nie jest ?
  • Poziom 20  
    1. Stworzenie 'address list' po FQDN spowodowało że pojawił się na liście mój tymczaosowy adres publiczny.
    Ale nazwy 'address list' nie mogę wpisać w pole 'Dst. Addresses', tam przyjmyje tylko IP: 'ip address expected!'

    Chyba powinienem zacząć od tego żeby to najpierw zadziałało nawet na tymczasowym adresie, tymczasem w tej chwili mimo że wpiszę na sztywno adres IP to nadal nie mogę się połączyć.

    Czy taka konfiguracja jest na pewno poprawna?

    Code:
    /ip firewall nat
    
    add chain=dstnat dst-address=78.8.226.130 protocol=tcp dst-port=443 \
      action=dst-nat to-address=192.168.1.50
    add chain=srcnat out-interface=netia action=masquerade


    2. Serwerem l2tp jest mikrotik. Klientami jest np.:
    Laptop: 10.2.0.3
    NAS: 10.2.0.2
    Telefon: 20.1.0.4

    Na laptopie HP dostaję adres 10.2.0.3, mam dostęp do sieci Internet i wszystko działa, ale martwi mnie brak bramy, a pewnie niedługo wyjdzie że to przyczyna jakiegoś problemu.
  • Pomocny post
    Specjalista Sieci, Internet
    to mialem na mysli:
    Code:

    /ip firewall address-list
    add address=elektroda.pl list=lista-elektrroda.pl
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address-list=lista-elektrroda.pl dst-port=80 \
        protocol=tcp to-addresses=1.1.1.1 to-ports=80
  • Poziom 20  
    Taka konfiguracja:

    Code:
    /ip firewall address-list 
    
    add address=xx.myqnapcloud.com list=lista

    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address-list=lista protocol=tcp dst-port=443 \
    to-addresses=192.168.1.50 to-ports=443



    Również nie działa, ale nie ma prawa skoro nawet na wpisanym na sztywno IP też nie działa.

    Z listą IP możemy testować jak zadziała z IP na sztywno, a w tej chwili pierwszy krok nie działa.
  • Pomocny post
    Poziom 37  
    karolczyzycki napisał:
    ... mam dostęp do sieci Internet i wszystko działa, ale martwi mnie brak bramy...

    Połączyłem się laptopem z systemem Windows z kilkoma, różnymi VPN. Na żadnym z połączeń VPN nie mam bramy w nawiązanym połączeniu, a do tego mam internet z sieci, z którą się połączyłem i oczywiście mam dostęp do połączonej sieci.

    Pracuję na takich połączeniach "spory czas" i nie zauważyłem problemów z tego wynikających.

    W każdej sieci może być jedna aktywna brama. Na logikę tą bramą jest "Twój internet" (a nie Twój VPN). Gdyby bramą nie był Twój internet to jak byś przesyłał pakiety do tamtej sieci? Którędy ?
  • Poziom 20  
    @Erbit

    Dzięki za sprawdzenie, początkowo na VPNie nie miałem dostępu do Internetu i na forach kilka osób wskazywało na brak bramy, może niesłusznie.
  • Poziom 37  
    karolczyzycki napisał:
    ... który dokładnie opisuje problem nr 1 wraz z jego rozwiązaniem, ale ta metoda w moim przypadku nie działa...


    Sprawdź

    Cytat:

    /ip firewall nat
    add chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=!192.168.1.1 log=no log-prefix=""

    Tam przed adresem bramy jest zaprzeczenie (!). Oczywiście reguła wysoko w NAT.
  • Poziom 20  
    Taki zapis:

    Code:
    /ip firewall nat
    
    add chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=!192.168.1.50 log=no log-prefix=""


    Gdzie mój NAS to adres .50 też nic nie daje:
    Mikrotik - brak bramy na l2tp, brak dostępu po adresie WAN, rozłączanie się VPNa
  • Pomocny post
    Poziom 37  
    Ta reguła wysoko
    Code:

    add chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=!192.168.1.1 log=no log-prefix=""



    Ta nisko
    Code:

    add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=443 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=443 log=no log-prefix="""


    Nie jestem pewien (bo nie jestem obecnie po stronie LAN tej sieci) ale te reguły chyba u mnie działają. Będę tam pewno w ciągu 2 tygodni to sprawdzę od strony LAN. Jedyne co zmieniłem to porty. U mnie to-ports i dst-port są różne.
  • Poziom 20  
    Sukces! (poza małą literówką z cudzysłowiem)

    Działa to:
    Code:
    /ip firewall nat 
    
    add chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=!192.168.1.1 log=no log-prefix=""
    add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=443 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=443 log=no log-prefix=""


    Kolejność wygląda tak:
    Mikrotik - brak bramy na l2tp, brak dostępu po adresie WAN, rozłączanie się VPNa

    Dziwne tylko dlaczego w artykule który przytoczyłem wpis wygląda inaczej? A autor wydaje się jakby wiedział o czym pisze.
  • Pomocny post
    Poziom 37  
    karolczyzycki napisał:
    ...
    Dziwne tylko dlaczego w artykule który przytoczyłem wpis wygląda inaczej? A autor wydaje się jakby wiedział o czym pisze.


    Nie wiem ale przypomniałem siebie, że kilka lat temu (2-3?) walczyłem z tym problemem i własnie takie rozwiązanie, które gdzieś znalazłem dało efekt. Tak więc nie jestem taki mądry :P tylko coś przeklepałem kiedyś z netu - nawet nie pamiętam skąd.

    Dodano po 13 [minuty]:

    karolczyzycki napisał:
    ...
    3. Serwer NAS traci połączenie VPN co jakiś czas, długość połączenia nie jest powtarzalna, wygląda na losowość.
    ...

    4. NAS Synology łączy się po VPNie do mikrotika


    Jak rozumiem chodzi o ten Synology. Łączyłeś się poprzez VPN innym urządzeniem - np. PC? Może warto sprawdzić.
  • Poziom 20  
    Jednak nie wydawało mi się i VPN raz działa poprawnie a raz nie.
    W niektórych sieciach pojawia się problem braku Internetu na VPN. Ale przypadek jest ciekawy:

    1. Połączenie po wbudowanym LTE/WiFi z hotspotu telefonu

    a. IP VPN: 10.2.0.3 / 255.255.255.255 / 0.0.0.0
    b. www wp.pl: działa
    c. ping na wp.pl: jest
    d. www do 192.168.1.50: działa
    e. ping do 192.168.1.50: jest
    f. www do 10.2.0.2: działa
    g: ping do 10.2.0.2: jest

    2. Połączenie po WiFi w hotelu/restauracji (sprawdzone w dwóch różnych miejscach)

    a. IP VPN: 10.2.0.3 / 255.255.255.255 / 0.0.0.0
    b. www wp.pl: działa
    c. ping na wp.pl: jest
    d. www do 192.168.1.50: nie działa
    e. ping do 192.168.1.50: jest
    f. www do 10.2.0.2: nie działa
    g: ping do 10.2.0.2: jest

    - Jedyną różnicą jest to że nie mam połączenia po www w przeglądarce do stron z poza sieci VPN, ale tylko przy połączeniu do publicznego WiFi.

    - Nie są to DNSy bo po IP Wirtualnej Polski które pinguję: 212.77.98.9, też nie działa.
    - Oczywiście sieć w hotelu nie jest zablokowana jakimś kodem na www, normalnie zaraz po rozłączeniu VPNa wraca Internet w przeglądarce

    Dołączam route print:
    IPv4 Route Table
    Code:
    ===========================================================================
    
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.210   4260
              0.0.0.0          0.0.0.0         On-link          10.2.0.3     36
             10.2.0.3  255.255.255.255         On-link          10.2.0.3    291
            127.0.0.0        255.0.0.0         On-link         127.0.0.1   4556
            127.0.0.1  255.255.255.255         On-link         127.0.0.1   4556
      127.255.255.255  255.255.255.255         On-link         127.0.0.1   4556
          192.168.1.0    255.255.255.0         On-link     192.168.1.210   4516
        192.168.1.210  255.255.255.255         On-link     192.168.1.210   4516
        192.168.1.255  255.255.255.255         On-link     192.168.1.210   4516
       192.168.120.96  255.255.255.240         On-link    192.168.120.97   4496
       192.168.120.97  255.255.255.255         On-link    192.168.120.97   4496
      192.168.120.111  255.255.255.255         On-link    192.168.120.97   4496
       212.106.20.255  255.255.255.255      192.168.1.1    192.168.1.210   4261
            224.0.0.0        240.0.0.0         On-link         127.0.0.1   4556
            224.0.0.0        240.0.0.0         On-link     192.168.1.210   4516
            224.0.0.0        240.0.0.0         On-link    192.168.120.97   4496
            224.0.0.0        240.0.0.0         On-link          10.2.0.3     36
      255.255.255.255  255.255.255.255         On-link         127.0.0.1   4556
      255.255.255.255  255.255.255.255         On-link     192.168.1.210   4516
      255.255.255.255  255.255.255.255         On-link    192.168.120.97   4496
      255.255.255.255  255.255.255.255         On-link          10.2.0.3    291
    ===========================================================================
  • Poziom 37  
    karolczyzycki napisał:
    ...
    2. Połączenie po WiFi w hotelu/restauracji (sprawdzone w dwóch różnych miejscach)
    ...


    Wystaw sobie coś na porcie 80 na tym samym IP. Coś mnie się wydaje, że opisywany przypadek będzie tyczył się problemu certyfikatu (SSL) a nie samego VPN, dlatego sugeruję na próbę wystawić coś bez SSL i to najlepiej na tej samej maszynie (na Synology).
  • Poziom 20  
    Masz rację.
    Wystawiłem NASa na 8080 i połączenie po www mam. Co dalej? :)
  • Poziom 37  
    karolczyzycki napisał:
    Masz rację.
    Wystawiłem NASa na 8080 i połączenie po www mam. Co dalej? :)


    Hmmm... uściślijmy.

    Na porcie 8080 na Synology uruchomiłeś usługę www. Ten sam port pojawił się w zapisach Hairpin NAT. Tak?
  • Poziom 20  
    Konfiguracja jest taka:

    1. QNAP - 192.168.1.50 (w domu w LAN)
    2. Synology - 10.2.0.2 (zdalnie po VPN)

    Zgodnie z sugestią wystawiłem na 8080 coś z sieci LAN czyli QNAPa robiąc Hairpin NAT.
    Ale zauważyłem że ten QNAP czy mam VPNa czy nie, działa na https po adresie WAN, ale niektóre inne strony nie.

    Na VPN wygląda to tak:

    1. Nie działa www: https://www.centrum24.pl/ czy https://www.wp.pl/
    2. Działa https dla https://10.2.0.2:5001
    3. Działa adres WAN https dla QNAPa - dlaczego skoro wp.pl nie działa?
    4. Działa https emika.com.pl - dlaczego? ta stronka też ma wymuszone https
  • Poziom 20  
    centrum24.pl i wp.pl nie działa na komputerze HP z włączonym VPNem (na połączeniu do publicznego WiFi), na Chrome i Edge.
  • Poziom 37  
    karolczyzycki napisał:
    centrum24.pl i wp.pl nie działa na komputerze HP z włączonym VPNem (na połączeniu do publicznego WiFi), na Chrome i Edge.


    Czy ja dobrze Ciebie zrozumiałem, że na hotspot z telefonu (LTE) ten sam HP połączony przez ten sam VPN czyta te obydwie strony ?
  • Poziom 20  
    Właśnie tak, w/w strony na VPN:

    Na wbudowanym LTE oraz na Hotspot z telefonu po WiFi - działają
    Na Wifi w Hotelu i McDonaldzie - nie działają - jak wiele innych (a pingi do nich mam)
  • Poziom 37  
    karolczyzycki napisał:
    ...
    Na Wifi w Hotelu i McDonaldzie - nie działają - jak wiele innych (a pingi do nich mam)


    Moim zdaniem nie masz co szukać problemów po swojej stronie. To "coś" w ich konfiguracji. Czy potrafisz sprawdzić czy przeglądarka otrzymuje jakąkolwiek odpowiedź z serwera?
    Może wystarczy "HTTP Header Life" do Firefoxa (takiego dodatku używam).

    [edyta]
    Coś mi dzwoni ale nie pamiętam teraz o co chodziło ale generalnie ponieważ HTTPS jest szyfrowany to usługodawcy udostępniający sieć publicznie chcąc rejestrować ruch HTTPS dla późniejszych celów dowodowych (bo ktoś dokonał nadinterpretacji przepisów) coś z tym ruchem HTTPS robią (nie pamiętam co) i skutki tego mogą być właśnie takie, że są problemy.
    inny ślad to jakiś rodzaj cache na ich routerach w celu odciążenia sprzętu i łącza.

    No.. ale to tylko takie gdybanie.
  • Poziom 20  
    Też tak myślałem ale jeśli uruchomię serwer VPNa na QNAPie (on ma wbudowaną aplikację do tego) to połączenie mam do każdej strony.
  • Poziom 37  
    karolczyzycki napisał:
    ... jeśli uruchomię serwer VPNa na QNAPie... to połączenie mam do każdej strony.


    Hmmm..

    Wyłącz te dwa wpisy do NAT na Mikrotiku (dotyczące 443), które podałem i sprawdź wtedy czy po połączeniu z VPN dostaniesz się na wp.pl i tamto coś24.pl
  • Poziom 20  
    Nie pomogło, nawet strona elektrody nie wchodzi.

    Dodano po 3 [minuty]:

    Są nowe fakty.
    Połączyłem się telefonem do tego samego publicznego WiFi i podłączyłem się do VPNa na mikrotiku (czyli tak samo jak na laptopie).
    Na telefonie strony wp.pl itd. się ładują...
  • Poziom 37  
    karolczyzycki napisał:
    Nie pomogło, ...


    W takim razie zrób tak:
    - włącz te reguły
    - połącz się z LTE i pokaż mi

    Code:

     /ppp active> print
    Flags: R - radius
     #   NAME         SERVICE CALLER-ID         ADDRESS         UPTIME   ENCODING                                                                                                         
     0   xxx    l2tp    xx.xx.xx.xx              192.168.89.254  16m32s   cbc(aes) + hmac(sha1) 


    To samo zrób dla połączenia z hotelu lub Macdonalds.
  • Poziom 20  
    dla LTE i WiFi jest tak samo:

    Code:
    [karol@MikroTik] /ppp> active print 
    
    Flags: R - radius
     #   NAME         SERVICE CALLER-ID         ADDRESS         UPTIME   ENCODING                                   
     0   synology     l2tp    91.218.70.124     10.2.0.2        2m43s    cbc(aes) + hmac(sha1)                     
     1   qnap         l2tp    192.168.1.50      10.2.0.5        2m38s    cbc(aes) + hmac(sha1)                     
     2   hp           l2tp    5.173.246.99      10.2.0.3        1m53s    cbc(aes) + hmac(sha1)                     
     3   hp           l2tp    89.228.192.23     10.2.0.3        25s      cbc(aes) + hmac(sha1)


    Przed WiFi odłączyłem się od LTE, ale akurat na MT jeszcze wisi połączenie. Ale w obu przypadkach było tak samo.

    A na telefonie jest OK.