Здравствуйте. Есть сеть на базе Mikrotik L009+точки доступа CAPsMAN (пакет wifi-qcom). Все подключённые устройства по wifi и ethernet работают нормально, но одно устройство (роутер, который выступает как openvpn клиент) не подключается к своему vpn серверу в инете. К сожалению, к настройкам этого роутера нет доступа и нет возможности посмотреть ошибки, но если вместо роутера mikrotik подключить к провайдеру другой роутер и последовательно включить роутер-openvpn клиент, то он успешно подключается к своему vpn серверу. Это даёт понять, что провайдер не блокирует доступ к vpn серверу. Из странностей, которые заметил, это то что в mikrotik L2 MTU bridge1: 1560, ethernet1 (wan port) L2 MTU: 1600, ethernet2 (свитч с точками доступа) L2 MTU: 1596. Если конфигурацию восстановить на новом роутере, то L2 MTU bridge1: 1598, ethernet1 (wan port) L2 MTU: 1598, ethernet2 (свитч с точками доступа) L2 MTU: 1598. Пробовал играться с firewall filter/NAT/Mangle, change MSS, но результата не получил. Подскажите, пожалуйста, в чём может быть проблема?
Вот конфигурация:
/interface bridge
add name=bridge-guestWiFi
add name=bridge1
/ip pool
add name=dhcp_pool0 ranges=192.168.88.11-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1 name=dhcp1
/routing table
add disabled=yes fib name=toREZERV
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
/ipv6 settings
set disable-ipv6=yes disable-link-local-address=yes forward=no
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=log chain=input dst-port=53 log-prefix=DNS-INPUT protocol=udp
add action=accept chain=input comment="Allow DNS queries to router" dst-port=\
53 protocol=udp
add action=accept chain=forward comment="Allow Keenetic DNS" dst-port=53 \
protocol=udp src-address=192.168.88.210 src-port=""
add action=accept chain=forward comment="Allow IPsec NAT-T" log=yes \
log-prefix=IPsec port=500,4500 protocol=udp
add action=accept chain=forward comment="Allow ESP" log=yes log-prefix=ESP \
protocol=ipsec-esp
add action=accept chain=forward comment="Allow L2TP" log=yes log-prefix=L2TP \
port=1701 protocol=udp
add action=accept chain=forward comment="Allow PPTP" log=yes log-prefix=PPTP \
port=1723 protocol=tcp
add action=accept chain=forward comment="Allow GRE" log=yes log-prefix=GRE \
protocol=gre
add action=accept chain=forward comment="Allow OpenVPN" log=yes log-prefix=\
OpenVPN port=1194 protocol=udp
add action=accept chain=input comment=UnblockCapsman dst-address-type=local \
src-address-type=local
add action=accept chain=input dst-address=127.0.0.1
add action=accept chain=input dst-port=5246,5247 protocol=udp
add action=log chain=forward log=yes log-prefix=VPN-> src-address-list=\
192.168.88.210
add action=log chain=forward comment="Log Keenetic forward" disabled=yes \
log-prefix=KEENETIC-FWD src-address=192.168.88.210
add action=log chain=output comment="Log Keenetic output" disabled=yes \
log-prefix=KEENETIC-OUT src-address=192.168.88.210
/ip firewall mangle
add action=change-mss chain=forward disabled=yes new-mss=1360 out-interface=\
ether1 protocol=tcp src-address=192.168.88.210 tcp-flags=syn
add action=change-mss chain=forward comment="Clamp MSS" disabled=yes new-mss=\
clamp-to-pmtu protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="Keenetic NAT for VPN test" \
out-interface=ether1 src-address=192.168.88.210
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=vpnXXXX.xxxxxxxx.com-SSTP
add action=masquerade chain=srcnat disabled=yes out-interface=ether1
add action=masquerade chain=srcnat disabled=yes out-interface=\
vpnXXXX.xxxxxxxx.com-SSTP
/ip route
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=192.168.178.1 \
routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=172.30.101.0/24 gateway=\
vpnXXXX.xxxxxxxx.com-SSTP routing-table=main scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=no dst-address=192.168.103.0/24 gateway=\
"REZERV - ru.xxxxxxxx.com" routing-table=main suppress-hw-offload=no
add disabled=yes distance=1 dst-address=192.168.103.0/24 gateway=\
"REZERV2 - ru.xxxxxxxx.com" routing-table=main scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=\
"REZERV - ru.xxxxxxxx.com" routing-table=main scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
"REZERV - ru.xxxxxxxx.com" routing-table=toREZERV scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=\
xxxxx.xxxxxxxx.com-SSTP routing-table=main scope=30 suppress-hw-offload=\
no target-scope=10
add disabled=no distance=1 dst-address=172.30.103.0/24 gateway=\
xxxxx.xxxxxxxx.com-SSTP routing-table=main scope=30 suppress-hw-offload=\
no target-scope=10
/ip service
set ftp disabled=yes
set ssh disabled=yes
set telnet disabled=yes
/ip traffic-flow
set cache-entries=4k interfaces=bridge1
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Moscow
/system logging
add action=echo topics=bgp
add disabled=yes topics=wireless,debug
add topics=dhcp,debug,firewall
/system routerboard settings
set enter-setup-on=delete-key
