Ahoj, mám problém s OpenVPN a routerem na RB435. Jakmile je OpenVPN zapnutý s režimem ethernet a připojí se k němu libovolný klient, přestanou fungovat nějaké HTTPS stránky. Třeba seznam.cz jde normálně ale mojebanka.cz již ne. Na facebooku se stránky načítaj zpožděně. Když nějaká stránka nejde, mozilla hlásí navazování TLS spojení několik minut a pak to hodí chybu zabezpečeného spojení. Děje se to na všech zařízení v síti i smart TV. Odpojení VPN klienta již žádný vliv nemá, musím vypnout VPN server. Jakmile místo ethernet režimu použiji IP je po problému. Klientí se připojujou k internetu přes svýho ISP a to je bezproblémové.
RB mám nastavený jak VPN server tak router vnitřní sítě pro přístup k ISP. Mám na něm pouze základní nastavení, tj. defaultní routa, firewall kde od ISP povolit pouze VPN a již založená připojení, zbytek odrříznout a maškarádu. VPN mám na stejném rozsahu jako vnitřní síť - prozatím abych nemusel u klienta nastavovat routy. Mám aktivní DHCP server s přidělováním dns 8.8.8.8 a i aktivní DNS s povolenými vzdálenými požadavky a směrováním dotazů na stejnou adresu. Pro vnitřní síť mám pool 192.168.1.100-200 pro VPN 220-230. Klientům jsem na serveru v konfiguraci musel přidělit lokální i vzdálenou IP, obě jsem nastavil na VPN pool.
Nějaký čas jsem myslel, že použitím ip režimu VPN můj problém vyřeší, ale z v nitřní sítě jsem se nedokázal dostat na klienty, i když routa byla dynamicky správně vytvořena. Raději bych ale stejně vyřešil ten HTTPS problém. Zkoušel jsem i přes netinstall přeinstalovat FW na verze 6.42.6 a 6.42.9 i vymazat kompletní konfiguraci a nastavit jen to nejnutnější.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Při aktivním OpenVPN na routeru nejde HTTPS
-
rubaspavel
- Příspěvky: 88
- Registrován: 12 years ago
pokud to není nějak divoce zavirované, tak máš problém s mtu. Zkus pohledat parametr change mss.
0 x
-
rubaspavel
- Příspěvky: 88
- Registrován: 12 years ago
Tomu viru bych i věřil, protože jiný RB s tím neměl žádné problémy. Ale čekal jsem, že netinstall jej případně odstraní
0 x
-
rubaspavel
- Příspěvky: 88
- Registrován: 12 years ago
Tak teď jsem tu samou konfiguraci dal na RB433 a výsledek je stejný. Bylo ale nějakou dobu připojeno ve stejné síti. Tomu parametru mss moc nerozumím. Změnil jsem Samozřejmě jsem předchozí profil smazal.. Snížil i MTU na 1200 a beze změny
Kód: Vybrat vše
/ppp profile
add change-tcp-mss=yes
0 x
rubaspavel píše:Tak teď jsem tu samou konfiguraci dal na RB433 a výsledek je stejný. Bylo ale nějakou dobu připojeno ve stejné síti. Tomu parametru mss moc nerozumím. Změnil jsemSamozřejmě jsem předchozí profil smazal.. Snížil i MTU na 1200 a beze změnyKód: Vybrat vše
/ppp profile
add change-tcp-mss=yes
Tak este skus toto:
/ip firewall mangle
add action=change-mss chain=forward comment="change mss" new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
0 x
-
rubaspavel
- Příspěvky: 88
- Registrován: 12 years ago
Tak to pomohlo, ale vůbec nevím co jsem udělal 
velikost MTU se nezměnila ne, když tam není např. new-mss=1448 ?
velikost MTU se nezměnila ne, když tam není např. new-mss=1448 ?
0 x