VPN сервера ломают онлайн видео

[evgeniy.siroshtan]

История: все было хорошо пока не надо был vpn. Сначала pptp потом l2tp/ipsec давали положительный результат. Но как выяснилось, после включения того или иного сервера в локалке за роутером отваливалось потоковое видео внутри плееров на страничках... При этом рекламко крутилось на ура! Вопрос: в какую сторону копать? ПыСы: прошу камнями сильно не кидать, опыта минимум, в сетях самоучка. RouterOS 6.43.8

[Vlad-2]

История: все было хорошо пока не надо был vpn. Сначала pptp потом l2tp/ipsec давали положительный результат. Но как выяснилось, после включения того или иного сервера в локалке за роутером отваливалось потоковое видео внутри плееров на страничках... При этом рекламко крутилось на ура! Вопрос: в какую сторону копать? ПыСы: прошу камнями сильно не кидать, опыта минимум, в сетях самоучка. RouterOS 6.43.8

Ну вот как не "кидать камни", когда я прочитал 3 строчки, и должен что-то придумать?
А вопросов у меня .......
Одно порадовало, хоть прошивка новая...

1) у Вас сеть локальная, да? Сколько клиентов/компьютеров всего ?
2) Интернет? как приходит, какой тип подключения, адресация, тариф/скорость ?
3) Роутер = какая модель именно?? (цифры,буквы), ибо про "тормоза" - сразу настораживает.
4) Теперь более подробно раскройте сущность этой фразы: "...после включения того или иного сервера в локалке..."
какой сервер и что где Вы включали?
5) ВПНы Вы как использовали и где они были подняты(активны)? (на клиентах и/или на самом роутере)

P.S.
Ваш рассказ можно сравнивать: это как к врачу прийти и сказать "болит у меня" и всё, молчать.
А у нас технический форум, стесняться не надо, надо рассказывать, ну и конечно,
пункт 5-й красным вверху будет очень к месту также.

[evgeniy.siroshtan]

1) Сеть локальная до 10 компов. Ходят в 10.10.10.0/24 на стандартных настройках с QoS.
2) Один провайдер приходит по кабелю в ether1 и по dhcp дает мне белый ip за который вяжется ddns. Скорость 100Мбит.
3) Виновник торжества RB941-2nD-TC (hAP lite). Процессор в среднем висит 2%, оперативки свободно 7МБ.
4,5) На роутере поднимал PPTP сервер (потом пробовал L2TP/IPSec), на который исправно подключались клиенты на винде и андроиде со стороны провайдера в 10.10.11.0/24. Все работает и чудно. Но как выяснилось у 10.10.10.0/24 в браузерах на видеоплеерах тайм-аут получения видеопотока. При отключении vpn сервера все начинало работать.

 

# jan/19/2019 09:10:04 by RouterOS 6.43.8
#
# model = RouterBOARD 941-2nD
/interface bridge
add admin-mac=CC:2D:E0:54:17:20 auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed name=free supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto mode=ap-bridge \
security-profile=free ssid="vsem bobra" wireless-protocol=802.11 \
wps-mode=disabled
/ip ipsec peer profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
/ip pool
add name=dhcp ranges=10.10.10.10-10.10.10.200
add name=vpn_pool ranges=10.10.11.10-10.10.11.200
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
add name=pptp remote-address=dhcp use-compression=yes use-encryption=yes
add change-tcp-mss=yes local-address=10.10.10.1 name=l2tp remote-address=\
vpn_pool
/queue tree
add max-limit=95M name=Internet parent=global priority=1
add name=MyDeviceInternet packet-mark=MyDevicePacket parent=Internet \
priority=2
add name=Other packet-mark=no-mark parent=Internet
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp ipsec-secret=q \
use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=10.10.10.1/24 comment=defconf interface=ether2 network=10.10.10.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1
/ip dhcp-server lease
add address=10.10.10.11 address-lists=MyDevice client-id=1:80:c5:f2:ee:96:5b \
mac-address=80:C5:F2:EE:96:5B server=defconf
add address=10.10.10.12 address-lists=MyDevice client-id=1:78:2:f8:78:d8:33 \
mac-address=78:02:F8:78:D8:33 server=defconf
add address=10.10.10.13 address-lists=MyDevice mac-address=00:08:22:D0:50:6C \
server=defconf
add address=10.10.10.10 address-lists=MyDevice client-id=1:0:1b:9e:1b:94:40 \
mac-address=00:1B:9E:1B:94:40 server=defconf
/ip dhcp-server network
add address=10.10.10.0/24 comment=defconf gateway=10.10.10.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.10.10.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input disabled=yes dst-port=1701 in-interface=ether1 \
protocol=udp
add action=accept chain=input disabled=yes dst-port=500 in-interface=ether1 \
protocol=udp
add action=accept chain=input disabled=yes dst-port=4500 in-interface=ether1 \
protocol=udp
add action=accept chain=input disabled=yes in-interface=ether1 protocol=\
ipsec-esp
add action=accept chain=forward disabled=yes in-interface=!ether1 \
out-interface=bridge src-address=10.10.11.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark \
new-connection-mark=MyDeviceConnection passthrough=yes src-address-list=\
MyDevice
add action=mark-connection chain=prerouting connection-mark=no-mark \
dst-address-list=MyDevice new-connection-mark=MyDeviceConnection \
passthrough=yes
add action=mark-packet chain=prerouting connection-mark=MyDeviceConnection \
new-packet-mark=MyDevicePacket passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=main-l2tp generate-policy=port-override \
passive=yes policy-template-group=group1 secret=qwweerrt
/ip ipsec policy
set 0 group=group1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
/ppp secret
add local-address=10.10.10.1 name=Vlan password=Vlan remote-address=\
10.10.10.201 service=pptp
add name=vpn_l2tp password=12233445 profile=l2tp service=l2tp
/system clock
set time-zone-name=Europe/Kiev
/system scheduler
add interval=5m name=ChangeIP on-event="/system scripts run ChangeIP" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
/system script
add dont-require-permissions=no name=ChangeIP owner=jk policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
\_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\
\n# EDIT YOUR DETAILS / CONFIGURATION HERE\
\n# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\
\n:global ddnsuser \"\"\
\n:global ddnspass \"\"\
\n:global ddnshost \"\"\
\n:global ddnsinterface \"\"\
\n# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\
\n# END OF USER DEFINED CONFIGURATION\
\n# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\
\n\
\n:global ddnssystem (\"mt-\" . [/system package get [/system package find\
\_name=system] version] )\
\n:global ddnsip [ /ip address get [/ip address find interface=\$ddnsinter\
face] address ]\
\n:global ddnslastip\
\n\
\n:if ([:len [/interface find name=\$ddnsinterface]] = 0 ) do={ :log info \
\"DDNS: No interface named \$ddnsinterface, please check configuration.\" \
}\
\n\
\n:if ([ :typeof \$ddnslastip ] = \"nothing\" ) do={ :global ddnslastip 0.\
0.0.0/0 }\
\n\
\n:if ([ :typeof \$ddnsip ] = \"nothing\" ) do={\
\n\
\n:log info (\"DDNS: No ip address present on \" . \$ddnsinterface . \", p\
lease check.\")\
\n\
\n} else={\
\n\
\n :if (\$ddnsip != \$ddnslastip) do={\
\n\
\n :log info \"DDNS: Sending UPDATE!\"\
\n :log info [ :put [/tool dns-update name=\$ddnshost address=[:pick \$\
ddnsip 0 [:find \$ddnsip \"/\"] ] key-name=\$ddnsuser key=\$ddnspass ] ]\
\n :global ddnslastip \$ddnsip\
\n\
\n } else={ \
\n\
\n :log info \"DDNS: No changes necessary.\"\
\n\
\n }\
\n\
\n}\
\n\
\n# END OF SCRIPT\
\n"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Vlad-2]

1) Сеть локальная до 10 компов. Ходят в 10.10.10.0/24 на стандартных настройках с QoS.

На счёт QoS не понял: используете виндовый/дополнительный софт или ещё какой-то?
(аа, увидел потом в конфиге про лимит)

2) Один провайдер приходит по кабелю в ether1 и по dhcp дает мне белый ip за который вяжется ddns. Скорость 100Мбит.

Хороший провайдер, и 100мбит и белый IP. А в микротике своя есть реализация DynDNS - Cloud называется,
включаете, получаете уникальное постоянное доменное имя, а дальше его (имя это) используете,
или можете внутрь своего зоны интегрировать.

3) Виновник торжества RB941-2nD-TC (hAP lite). Процессор в среднем висит 2%, оперативки свободно 7МБ.

Ну разве он виновник? Формально и официально это даже не роутер, а точка доступа.
А Вы хотите 100мбит и чтобы всё было. У него архитектура процессора такая слабая,
что даже дополнительные пакеты не все есть, вот сервер времени нету на архитектуру
smips. Этот роутер обычно в подарок идёт, а Вы 10 компов, потоки онлайн, ВПН,
и 100мбит по WAN-интерфейсу. Как-то даже поспешно, хоть бы даташит почитали на него:
https://mikrotik.com/product/RB941-2nD- ... estresults
(начальная линейка в линейке SOHO)

4,5) На роутере поднимал PPTP сервер (потом пробовал L2TP/IPSec), на который исправно подключались клиенты на винде и андроиде со стороны провайдера в 10.10.11.0/24. Все работает и чудно. Но как выяснилось у 10.10.10.0/24 в браузерах на видеоплеерах тайм-аут получения видеопотока. При отключении vpn сервера все начинало работать.

Описывают, что на очень сложных инженерных курсах по маршрутизации даже BGP на нём пытаются ворочить,
для тестов, так что как видите он теоритически может, но лишь в теории.

(КАК временное решение и оно опасное:) = Отключите шифрование, и попробуйте.
На Вашем месте, я бы вообще купил ещё (вторую) отдельную железку,
взял у провайдера отдельный адрес, и сделал выделенный ВПН сервер.
А 941 для тестов и прочего. Не для работы 10х компов с потоками, хотя как видите, Интернет
он тянет, но как идёт работа связана с "математикой", а шифрование и есть нагрузка такая,
то всё.
Смотрите роутеры RB750/760 (минимум), а то и RB4011(с запасом), для организации + ВПН можно
и купить.

По конфигу, дам мои стандартные советы:
1) не использовать пре-заводской конфиг
2) на чистый роутер с нуля, также не используя веб-админку, и уж тем более глючный визард QuickSetup
руками сделать конфигурацию.
3) Если используется бридж(и), то адресация задаётся на бридже, а порт включённый в состав бриджа,
перестаёт быть самостоятельным (становится подчинённым) и на него адрес устанавливать - как бы
не оказывает должного эффекта. Почему так делают в пре-конфиге не знаю. На курсах учили так, как
я описал.
4) Файрвол можно иногда меньше написать, не забыв отключить лишнее на роутере(порты/сервисы) +
закрыть/прикрыть открытые нужные поры (DNS/WWW).

5) ну и уже на более мощном роутере аккуратно поиграться с типом шифрования (это вообще считаю
отдельная тематика) и найти удобно/согласующее решение, чтобы и роутеру и ВПН-клиентам и всем
было удобно и оптимально(было и шифрование и не было медленной работы по ВПН).
Возможно надо будет делать два профиля/три, один ВПН для одних, второй для других, это всего лишь мои советы...

И на всякий случай, при выборе нового офисного роутера, прочитайте про IPsec (ссылка внизу абзаца),
и там посередине есть красивая таблица с описанием какой роутер какие типы шифрования
поддерживает на аппаратном уровне, вот ссылка:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
(кстати, обратите внимание: что только новый RB4011 и RB1100AHx4 - имеет в таблице всё "зелёное").

[evgeniy.siroshtan]

Спасибо за советы, это домашний роутер. На NAS тогда повешу впн... А хотелось в лучших традициях Парижа и Ландона

[Vlad-2]

Спасибо за советы, это домашний роутер. На NAS тогда повешу впн... А хотелось в лучших традициях Парижа и Ландона

За 22 бакса (в рублях сами знаете) = чтобы всё было, увы, такова не бывает.
Тогда роутеры тех же Тенда/Зухель/Длинк/Асус пропали с полок магазинов.
Сразу оговорюсь, ничего плохо про вышеназванных фирм не буду говорить, всему своё место,
особенно если это домашний пользователь, мало-понимающий в сетях - то такие вендоры самое то.

А для маленьких контор, и где есть хоть какой-то ИТ-специалист, микротики очень гибко-оптимальное решение.
И для организаций = очень при очень бюджетно.

P.S.
Обратил смысл на фразу: "...это домашний роутер..." - у Вас дома 10-ть компов ? Обильный поток
стримов и видео?
Профи уже тогда юзают как минимум микротик 2/4х ядерный...и выше/больше

[evgeniy.siroshtan]

Под окном детская площадка, для того что бы было немножко тише развернут безпарольный вифи. Хорошо зарекомендовал себя летом, но Егора, Абдулу и Андрея еще не взял, может дело в возрасте Под шумок подключаются от 10 до 50 устройств в день... Для этого развернута приоретизация трафика