Při aktivním OpenVPN na routeru nejde HTTPS

Návody a problémy s konfigurací.
rubaspavel
Příspěvky: 83
Registrován: 5 years ago

Při aktivním OpenVPN na routeru nejde HTTPS

Příspěvekod rubaspavel » 2 months ago

Ahoj, mám problém s OpenVPN a routerem na RB435. Jakmile je OpenVPN zapnutý s režimem ethernet a připojí se k němu libovolný klient, přestanou fungovat nějaké HTTPS stránky. Třeba seznam.cz jde normálně ale mojebanka.cz již ne. Na facebooku se stránky načítaj zpožděně. Když nějaká stránka nejde, mozilla hlásí navazování TLS spojení několik minut a pak to hodí chybu zabezpečeného spojení. Děje se to na všech zařízení v síti i smart TV. Odpojení VPN klienta již žádný vliv nemá, musím vypnout VPN server. Jakmile místo ethernet režimu použiji IP je po problému. Klientí se připojujou k internetu přes svýho ISP a to je bezproblémové.

RB mám nastavený jak VPN server tak router vnitřní sítě pro přístup k ISP. Mám na něm pouze základní nastavení, tj. defaultní routa, firewall kde od ISP povolit pouze VPN a již založená připojení, zbytek odrříznout a maškarádu. VPN mám na stejném rozsahu jako vnitřní síť - prozatím abych nemusel u klienta nastavovat routy. Mám aktivní DHCP server s přidělováním dns 8.8.8.8 a i aktivní DNS s povolenými vzdálenými požadavky a směrováním dotazů na stejnou adresu. Pro vnitřní síť mám pool 192.168.1.100-200 pro VPN 220-230. Klientům jsem na serveru v konfiguraci musel přidělit lokální i vzdálenou IP, obě jsem nastavil na VPN pool.

Nějaký čas jsem myslel, že použitím ip režimu VPN můj problém vyřeší, ale z v nitřní sítě jsem se nedokázal dostat na klienty, i když routa byla dynamicky správně vytvořena. Raději bych ale stejně vyřešil ten HTTPS problém. Zkoušel jsem i přes netinstall přeinstalovat FW na verze 6.42.6 a 6.42.9 i vymazat kompletní konfiguraci a nastavit jen to nejnutnější.
0 x

pgb
Příspěvky: 495
Registrován: 2 years ago

Příspěvekod pgb » 2 months ago

pokud to není nějak divoce zavirované, tak máš problém s mtu. Zkus pohledat parametr change mss.
0 x

rubaspavel
Příspěvky: 83
Registrován: 5 years ago

Příspěvekod rubaspavel » 2 months ago

Tomu viru bych i věřil, protože jiný RB s tím neměl žádné problémy. Ale čekal jsem, že netinstall jej případně odstraní
0 x

rubaspavel
Příspěvky: 83
Registrován: 5 years ago

Příspěvekod rubaspavel » 2 months ago

Tak teď jsem tu samou konfiguraci dal na RB433 a výsledek je stejný. Bylo ale nějakou dobu připojeno ve stejné síti. Tomu parametru mss moc nerozumím. Změnil jsem

Kód: Vybrat vše

/ppp profile
add change-tcp-mss=yes
Samozřejmě jsem předchozí profil smazal.. Snížil i MTU na 1200 a beze změny
0 x

fujara
Příspěvky: 102
Registrován: 12 years ago

Příspěvekod fujara » 2 months ago

rubaspavel píše:Tak teď jsem tu samou konfiguraci dal na RB433 a výsledek je stejný. Bylo ale nějakou dobu připojeno ve stejné síti. Tomu parametru mss moc nerozumím. Změnil jsem

Kód: Vybrat vše

/ppp profile
add change-tcp-mss=yes
Samozřejmě jsem předchozí profil smazal.. Snížil i MTU na 1200 a beze změny


Tak este skus toto:
/ip firewall mangle
add action=change-mss chain=forward comment="change mss" new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
0 x

rubaspavel
Příspěvky: 83
Registrován: 5 years ago

Příspěvekod rubaspavel » 2 months ago

Tak to pomohlo, ale vůbec nevím co jsem udělal :-D velikost MTU se nezměnila ne, když tam není např. new-mss=1448 ?
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů