Mikrotik Voda router mögött nem tölt be elsőre oldalakat, update: ipv4 kellett neki

Hálózatok általános

  

Sziasztok,

Használtam már párszor mikrotik eszközöket, viszont ebbe beletört a bicskám. A tünet a következő: Megnyitok egy oldalt és vagy betölt elsőre vagy sem, néha egyáltalán, több frissítés után sem, néha egy reload megoldja. Kb egy hete el vagyok ezzel akadva és nem jövök rá, hogy mi lehet a baj. Tudtok esetleg segíteni? Nagyjából minden fórumot átolvastam, kértem segítseget a hivatalos discordjukon is, ahol az MTU-ra gyanakodtak, de az sem oldotta meg.

A setup a következő: ISP modem (Vodafone, a brige mód nem opció sajnos, TG3442DE típusú csodadoboz) ---> hAP ax² RouterOS 7.13.3 ---> 1 Pc, pár laptop, mobil és tablet.

Próbáltam MTU-t csökkenteni, MSS clampelni, de amikor azt hiszem meg van oldva a hiba, akkor egyszer csak megint ebbe ütközök. Általában ez a böngésző baja: DNS_PROBE_FINISHED_NXDOMAIN. Ether1-be megy a net, állítólag elég azon belőni az mtu-t, de próbáltam levinni minden interfacen 1460-ra. Az MTU-t ezzel számoltam ki: ping 4.2.2.4 -l 1432 -f

Csatolok egy konfigot, belőttem egy nextDNS-t de azt kikapcsolva is van sajnos baj...

Nagyon köszi előre is minden olvasást, tanácsot,
B

 

edit: elütések

UPDATE: Vodától kértem ipv4-et, most stabil default configgal is. Köszi mindenkinek a segítseget!

 

/interface ethernet
set [ find default-name=ether1 ] l2mtu=1560 mtu=1460 poe-out=off
set [ find default-name=ether2 ] l2mtu=1560
set [ find default-name=ether3 ] l2mtu=1560
set [ find default-name=ether4 ] advertise=1G-baseT-half,1G-baseT-full l2mtu=1560
set [ find default-name=ether5 ] l2mtu=1560
/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=5180,5260,5500 .skip-dfs-channels=10min-cac .width=20/40/80mhz configuration.mode=ap .ssid=MikroTik-B73075 \
    disabled=no security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2300-7300 .skip-dfs-channels=10min-cac .width=20/40mhz comment="1560 L2MTU" configuration.mode=ap .ssid=\
    MikroTik-B73075 disabled=no security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip cloud
set update-time=no
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes use-doh-server=https://dns.nextdns.io/6ba475 verify-doh-cert=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
add address=45.90.28.0 name=dns.nextdns.io
add address=45.90.30.0 name=dns.nextdns.io
add address=2a07:a8c0:: name=dns.nextdns.io type=AAAA
add address=2a07:a8c1:: name=dns.nextdns.io type=AAAA
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward comment="drop access to clients behind NAT from WAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall mangle
add action=change-mss chain=forward new-mss=1420 out-interface=ether1 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1421-65535
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set irc disabled=no
set rtsp disabled=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2200
set api disabled=yes
set winbox address=192.168.88.0/24
/ip ssh
set strong-crypto=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Budapest
/system note
set show-at-login=no
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
  • 1062 megtekintés

( st3v3 v | 2024. 02. 05., h – 14:08 )

Próbaképp cseréld le a nameserver-eket.

Elég, ha néha túl hosszú ideig tart 1-1 válasz.

What does dns_probe_finished_nxdomain mean? The error indicates that the DNS probing to the DNS server for a particular domain name's corresponding IP was completed. This probe could not find the matching IP for the domain, and it determined that the domain is Non-Existent (NXDOMAIN).

( gyuri23 | 2024. 02. 05., h – 14:34 )

Szerkesztve: 2024. 02. 05., h – 14:40

Erre tippelek:

set allow-remote-requests=yes use-doh-server=https://dns.nextdns.io/6ba475 verify-doh-cert=yes

Kapcsold ki. Akitől a mikrotik kéri az meg legyen mondjuk az 1.1.1.1 annak szokása válaszolni :)

B terv,

a kliensek közvetlenül kérjék a DNS-t és ne a mikrotik legyen a proxy. Ha nincs különösebb ok rá, egyel több hibalehetőség.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( Baaal | 2024. 02. 05., h – 14:57 )

Köszi a tippeket, most visszatettem 1500-ös mtu-ra, kikapcsoltam a firewall mangle-t, betettem 1.1.1.1 -re a dns-t és tesztelem egy kicsit, elsőre jónak tűnik, dns cache-t is üreitettem azért.
 

/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1 verify-doh-cert=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall mangle
add action=change-mss chain=forward disabled=yes new-mss=1420 out-interface=ether1 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1421-65535
add action=change-mss chain=forward disabled=yes new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn

/interface ethernet
set [ find default-name=ether1 ] l2mtu=1560 poe-out=off
set [ find default-name=ether2 ] l2mtu=1560
set [ find default-name=ether3 ] l2mtu=1560
set [ find default-name=ether4 ] advertise=1G-baseT-half,1G-baseT-full l2mtu=1560
set [ find default-name=ether5 ] l2mtu=1560

/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=5180,5260,5500 .skip-dfs-channels=10min-cac .width=20/40/80mhz configuration.mode=ap .ssid=MikroTik-B73075 \
    disabled=no security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes

Szintén tipp, vagy "messze" van a NextDNS szerver, vagy a Vodafone belepiszkál valamit, ami lassítja.

Esetleg nem fizetsz eleget a NextDNS-nek :) Ha van előfizetésed jelezd a support-nak, ha ingyé használod akkor így jártál.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( Baaal | 2024. 02. 05., h – 15:09 )

Szerkesztve: 2024. 02. 05., h – 15:10

Sajnos nem nyert, se 1500-as sem 1460-as MTU-val, 1.1.1.1 -es dns-en sem... sokszor kapok ERR_CONNECTION_REFUSED-t is. Most itt tartok:
 

/interface ethernet
set [ find default-name=ether1 ] l2mtu=1560 mtu=1460 poe-out=off
set [ find default-name=ether2 ] l2mtu=1560 mtu=1460
set [ find default-name=ether3 ] l2mtu=1560 mtu=1460
set [ find default-name=ether4 ] advertise=1G-baseT-half,1G-baseT-full l2mtu=1560 mtu=1460
set [ find default-name=ether5 ] l2mtu=1560 mtu=1460
/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=5180,5260,5500 .skip-dfs-channels=10min-cac .width=20/40/80mhz configuration.mode=ap .ssid=MikroTik-B73075 \
    disabled=no l2mtu=1460 security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2300-7300 .skip-dfs-channels=10min-cac .width=20/40mhz comment="1560 L2MTU" configuration.mode=ap .ssid=\
    MikroTik-B73075 disabled=no security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip cloud
set update-time=no
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1 verify-doh-cert=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward comment="drop access to clients behind NAT from WAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall mangle
add action=change-mss chain=forward new-mss=1420 out-interface=ether1 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1421-65535
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set irc disabled=no
set rtsp disabled=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2200
set api disabled=yes
set winbox address=192.168.88.0/24
/ip ssh
set strong-crypto=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Budapest
/system note
set show-at-login=no
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Most sokkal jobbank tűnik, nincs drop se semmi ez utolsó 5 percben. Ennyit változtattam: doh ki, mikrotik static dns ki,

Ezt kell néznem ugye?

/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.88.1 comment=defconf disabled=yes name=router.lan

Kicsit tesztelem még, ha a mai nap nem lesz baj vele akkor visszairok még. :)

Próbáld ki, hogy egy kliens gépen az 1.1.1.1-et állítod be DNS-nek és nem a Mikrotik-ot. Azzal egyből kiderül, hogy DNS vagy Mikrotik (-on belüli DNS) gond van.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Így már furfangos a dolog. Ezt használtad már?

https://www.wireshark.org/

Meg kéne nézni egy gépen, hogy pontosan mi a fene történik, csak ehhez PC kell.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Felraktam, még nem használtam. Ha előjönne a hiba ezzel le tudom logolni, hogy mi a fene történik? :D

A dolog pikantériája, hogy most mobilon is megszűnt a hiba, pedig a routeren 8.8.8.8 van, satic dns kikapcsolva, ipv6 kikapcsolva, nincs semmilyen doh, se cert se semmi, clamping off, mtu defaulton... Szinte érzem, hogy bele fogok futni honapig ebbe még. Friss netinstallal is csinálta, szóval nem tudom mi lehet ez az egész...

És mire ezt a fentit leirtam, már kaptam is egy timeoutot a comment beküldésénél...
 

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf disabled=yes name=router.lan

Szerintem nem kell az MTU csökkentés az interfészekre és nem kell az MSS clamp sem. Sima default 1500-as MTU-val csinálj mindent. Ha nem tiltod le az ICMP-t (legalább a pMTUd-hez szükséges részeket), akkor a mai OS-ek megoldják a megfelelő MTU kiválasztását (tiltsd az echo-t ha még hiszel benne, hogy az bármitől véd, ha ping-re nem válaszol, a többit pedig engedd át).

Ráadásul DNS feloldásnál akadsz el, azt ritkán akadályozza meg MTU méret probléma.

Én próbálnék egy 8.8.8.8,8.8.4.4-et, mert tapasztalatom szerint az 1.1.1.1 késleltetése általában magasabb, és nekem bizonyos helyeken (random ügyfeleknél, különböző internet szolgáltatók mellett) nem mindig működött jól vele a feloldás (mintha valami módon korlátozva lett volna akkor), így én nem is írom be jó ideje sehová - ettől persze lehet hibátlan, csak én voltam vele szerencsétlen.

Egyébként pont a 7.13.3 javított a DoH DNS-en, így én nem lennék meglepve, ha még mindig lenne baja bizonyos szolgáltatókkal, helyzetekben. Én próbából teljesen tiltanám a DoH-t.

Valamint meg lehet próbálni a kliensnek közvetlen odaadni valami DNS-t, hogy úgy miként viselkedik, sikeresebb-e a feloldás.

Hali, visszatettem az mtu-t, mss clamp kikapcsolva, a doh teljesen törölve, a dns szervert kikapcsoltam a routeren, de megadtam dns-nek a 8.8.8.8/8.8.4.4-et. Gépen egész jó, ameddig hirtelen nem kapok egy errort. Mobilon az ookla speedtest failel, azon kijön, hogy valami még nem kerek. Próbáltam mobilon külön az 1.1.1.1 és 8.8.8.8 dns-eket beadni, de nem segített, mobilon jobban droppol, az érdekes, hogy refreshre sokszor be is tölt a failelt oldal...

Amikor elkezd nem működni, olyankor ha törölsz egy DNS cache-t a MT-en, elkezd újból feltöltődni, csak a kliensek nem kapnak választ, vagy a cache is "üres" marad onnantól? Amikor a kliensen nem működik, akkor a MT-en feloldásokat csinálva jól működik, vagy a MT-en is rossz olyankor a névfeloldás?

Mi történik, ha a MT-en a Voda eszközt állítod be DNS kiszolgálónak? Nem lehet a Voda eszközön valami "védelmi" beállítás, amire nem is gondol itt egyikünk sem?

( influencer | 2024. 02. 05., h – 19:08 )

Szia B, ha biztosra akarsz menni, felkeresel egy hálózatos szakembert, aki kiválaszt megfelelő internetszolgáltatót és megfelelő hálózati eszközöket, majd ezekből kiépíti az új hálózatot! :-)

Komolyra fordítva a szót: kábelezést, eszközök közötti kommunikációt ellenőrizted? Mivel kapcsolódnak? Az eszközök között nincs sem UDP sem TCP esetén csomagvesztés? Nekem egyszer egy kontaktos utp kábel pont ilyen hibát okozott meglepő módon, kicserélve megoldódott a hasonló hiba. Nem tudom mi volt a magic a kábellel, de más hibás kábel esetén nem volt ilyen.

Azt látom a környezetben, hogy aki Mikrotik eszközöket vesz, az rákényszeríti magát, hogy jobban megtanuljon mindent, hogy úgy működjön az eszköze, mint aki csak másik gyártó termékét veszi, ami beállítás után jól üzemel sok évig. Persze ettől nem rossz a Mikrotik, és nem tudom, hogy mennyire user, case or product related issue.

Teljesen egyetértek veled. A helyzet az, hogy eddig sikerült kitanulni az eddigi mikrotik eszközöket, ezért kockáztattam be. Szolgáltató terén meg sajnos ez az egy tudta a gigabitet itt.

Ugyanez a kábel a voda csodaboxon megy, hiba nélkül. De igazad van, kicserélem a doboz meg a tik közti balhét amint hazaérek.

Amit most produkál a tik, azt produkálta a default conffal amikor kibontottam és most netinstall defaultokkal is. Valami tipp hogyan debuggoljam az eszközök közti kapcsolatot? Biztos benézek valamit…

( bennyh | 2024. 02. 05., h – 20:16 )

Mielőtt bármi másban fogsz, lődd le az IPv6-ot, meg szedd ki a v6-os DNS szervereket, valamint én sem erölltetném a DoH-t. 

Doh off, ipv6 kikapcsolva teljesen, most default conffal ugyanez a probléma. 10-ből 9x oké, aztán egyszer csak droppol, refresh aztán vagy betölt vagy nem, de teljesen random, néha github nem jön be, néha a hup, néha a speedtest, kábelen és wifin is ugyanez.

( ggallo | 2024. 02. 05., h – 20:30 )

Az jutott még eszembe, hogy nem lehet, hogy csak IPv6-os címe van a Voda eszközödnek (ami mögött a MT NAT-tal van)? Előszeretettel csinálják, hogy még csak privát/CGNAT IPv4 címet sem adnak, kizárólag IPv6-ot és 6to4 vagy egyéb módon tunnelezik.

Mert akkor szokott ilyen "nagyon nem működik, de nem jövünk rá" történni.

Nem tudom mi okozza a gondot az IPv6-only Voda kapcsolatokon. Ott jött lehtöbbször elő, hogy VPN-re nem igazán lehetett rajta kereszül kapcsolódni, nagyjából minden fajta VPN-nek gondot okoz. Aztán máshol írtak ílyen (ehhez hasonló) random működik-nem működik eseteket, amik az IPv4 cím visszaszerzésével megszűntek (akár publikus, akár NAT-olt IPv4 cím lett).

( m0ski | 2024. 02. 05., h – 20:42 )

Én a szülőknél tapasztalok hasonlót, alapvetően azóta, mióta a Voda az eszközét kicserélte a nyitóban említett típusra.

Előtte semmi gond nem volt a nettel, azóta folyamatosan panaszkodnak hogy akadozik.

Ráadásul teljesen mindegy hogy kábeles vagy wifi kapcsolat, az eredmény ugyanaz.

Én a magam részéről nem vagyok benne biztos, hogy a Mikrotik a probléma forrása.

( Friczy v | 2024. 02. 06., k – 16:44 )

Érdekes helyzet. Vagy egy hónapja a Voda ügyintézője felhívott, és csináltunk egy szerződés megújítást (gyakorlatilag ugyanazokkal a feltételekkel, de a Voda szokása, hogy évről évre mindig új határozott idejű szerződést köt). Aztán aznap (vagy másnap, már nem emlékszem) egy csomó oldal nem jött be. pl. a hup sem. DNS feloldás OK volt, pingelni tudtam, a https-re viszont refused-et kaptam, még csak nem is sima timeout. Volt ami bejött simán, viszont nagyon sok minden nem. Másnapra rendbejött, a fiam (ő sokszor késő éjjel is fenn van) mondta később, hogy nagyjából éjfél után magától helyrejött.

Mellesleg ezzel egyidejűleg elvették a publikus IPv4-emet is, másnap az ügyfélszolgálattal visszakapcsoltattam. Aztán pár héttel később egy kollégámnál nagyjából ugyanez játszódott le. Nem lehet, hogy itt is valami ilyen előzménye volt a hibának? Gyanúsan hasonlóak a jelenségek.

Van benne valami. A sztori háttere, hogy most költöztünk, a régi helyen is voda box volt. Ott kértem ipv4-et még régebben, amikor egy rasperryről dnd virtual tabletop szervert tettem ki egy webcímre. Viszont ezt egy pár hónapja lelőttem, addig tuti volt ott négyes ip. De mostanában volt szerződéshosszabbítós hívásom is. Ezt nem kértem mert tudtam, hogy költözni fogunk. A tiket most vettem a költözés alkalmából. Kipróbáltam akkor frissen és a régi helyen is voltak ezek a droppok, meg hasonló tünetek amiket írtál, de nem foglalkoztam vele nagyon, úgy voltam vele, hogy az új helyen kell, hogy menjen, majd ott debuggolok.

Aztán egy hete átköltöztünk az új helyre, itt teljesen friss voda bekötés volt. Coax kábelnek tűnik amit behúzott, de úgy voltam vele, hogy tudja a gigabitet, nem erőltetem az optikait, valszeg nem is lettt volna rá lehetőség.

Amikor beüzemeltem a végleges helyén a tiket, folytatódtak a fenti tünetek, ezért a configra gyanakodtam. Úgy gondolom mindkét helyen ez az ipv6 volt a gyenge pont.

Most reggel óta teljesen stabil, azóta kapott a háló egy ac-t is kintre frankó cat6-os kábellel azzal sincs baj, minden megjavult. A tik és avoda box közt is jó mindőségű, zsír új cat6-os kábel van. Csak azt nem tudom, hogy ha nem kérek ipv4-et, mi lett volna a megoldás. Biztos be lehetne valahogy állítani, de ötletem sincs mi lehetett a gebasz…

Minden esetre most jó, a doh-al sincs semmi baj, gyorsan felold minden és örülök a nextdns-es filtereknek is. Biztos fogok még szórakozni vele, mert nagyon jó cucc ez a hap ax2. :)