Маршрутизатор на Debian 13 с PPPoE: проблема с прохождением пакетов

0

1

Доброго времени суток, коллеги. Недавно понадобился маршрутизатор с несколькими WAN-портами для подключения нескольких провайдеров. Лежала без дела материнка с 6 слотами pcie и я решил поставить в нее несколько сетевух и сделать маршрутизатор на Linux, выбрал Debian 13. Да, я знаю, что есть pfSense, OpenWRT, я слышал что можно на DD-WRT LAN-порт сделать WAN, и т.п., я не отвергаю эти решения, но мне стало интересно реализовать эту задачу на обычном linux.

Подключение к провайдеру через PPPoE. Настроил PPPoE через pppoeconf, простейшие правила NAT с помощью NFTables и стал тестить. PPPoE подключается, NAT работает, но: с некоторыми ресурсами не получается установить соединение через https: долго висит, потом err_timed_out. При этом через старый D-Link DIR-825 c DD-WRT (v3.0-r44715 std (11/03/20)) эти же ресурсы нормально работают. Такое ощущение, что не проходят некоторые пакеты. Проверил MTU - на DD-WRT и на Debian установлен 1492. Пробовал установить на Debian все настройки PPPoE-соединения как на DD-WRT - не помогло. Если сделать curl -v -ssl https://example.ru, то на компе, находящимся за NAT, все останавливается на

C:\Users\1>curl -v -ssl https://example.ru
* Rebuilt URL to: https://example.ru/
*   Trying xxx.xxx.xxx.xxx...
* TCP_NODELAY set
* Connected to example.ru (ххх.ххx.ххх.ххх) port 443 (#0)
* schannel: SSL/TLS connection with example.ru port 443 (step 1/3)
* schannel: checking server certificate revocation
* schannel: sending initial handshake data: sending 183 bytes...
* schannel: sent initial handshake data: sent 183 bytes
* schannel: SSL/TLS connection with example.ru port 443 (step 2/3)
* schannel: failed to receive handshake, need more data

и висит так долго, пока не оборвешь ctrl+c.

А если сделать то же самое на Debian, то соединение нормально устанавливается.

Настройки Debian: cat /etc/network/interfaces:

source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

#локалка
auto enp6s0
iface enp6s0 inet static
address 192.168.10.2
netmask 255.255.255.0

#сетевуха для PPPoE
auto enp5s0
iface enp5s0 inet manual

#PPPoE к провайдеру
auto dsl-provider
iface dsl-provider inet ppp
pre-up /bin/ip link set enp5s0 up # line maintained by pppoeconf
provider dsl-provider

Cat /etc/ppp/peers/dsl-provider:

unit 0
holdoff 10
noipdefault
defaultroute
replacedefaultroute
hide-password
noauth
persist
mtu 1492
mru 1492
plugin rp-pppoe.so
nic-enp5s0
user "xxxxxxx"
usepeerdns
noccp
#nomppc
noaccomp
nobsdcomp
nodeflate
nopcomp
nomppe
default-asyncmap
lcp-echo-interval 3
lcp-echo-failure 20
lcp-echo-adaptive

ip a:

enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 50:3d:d1:b0:cc:a1 brd ff:ff:ff:ff:ff:ff
    altname enx503dd1b0cca1
    inet6 fe80::523d:d1ff:feb0:cca1/64 scope link proto kernel_ll
       valid_lft forever preferred_lft forever

enp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether d0:50:99:9d:3d:db brd ff:ff:ff:ff:ff:ff
    altname enxd050999d3ddb
    inet 192.168.10.2/24 brd 192.168.10.255 scope global enp6s0
       valid_lft forever preferred_lft forever
    inet6 fe80::d250:99ff:fe9d:3ddb/64 scope link proto kernel_ll
       valid_lft forever preferred_lft forever

ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc fq_codel state UNKNOWN group default qlen 3
    link/ppp
    inet ххх.хх.ххх.ххх peer ххх.хх.ххх.х/32 scope global ppp0
       valid_lft forever preferred_lft forever

sudo nft list ruleset

        chain input {
                type filter hook input priority filter; policy drop;
                iif "lo" accept
                ct state established,related accept
                udp dport 1194 accept
                iif "enp6s0" accept
        }

        chain forward {
                type filter hook forward priority filter; policy drop;
                ct state established,related accept
                iif "enp6s0" oifname "ppp0" accept
                tcp flags syn tcp option maxseg size set 1452
        }
}
table ip nat {
        chain postrouting {
                type nat hook postrouting priority srcnat; policy accept;
                iif "enp6s0" oifname "ppp0" masquerade   
        }
}

Настройки DD-WRT:

cat /tmp/ppp/options.pppoe

plugin /usr/lib/rp-pppoe.so
nic-eth1
noccp
nomppc
noipdefault
noauth
defaultroute
noaccomp
nobsdcomp
nodeflate
nopcomp
nomppe
usepeerdns
user '********'
password '**********'
default-asyncmap
mtu 1492
mru 1492
persist
lcp-echo-interval 3
lcp-echo-failure 20
lcp-echo-adaptive

ip a

lo: <LOOPBACK,MULTICAST,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP qlen 1000
    link/ether b8:a3:86:50:c1:95 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether b8:a3:86:50:c1:96 brd ff:ff:ff:ff:ff:ff
44: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether b8:a3:86:50:c1:95 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.1/24 brd 192.168.10.255 scope global br0
       valid_lft forever preferred_lft forever
45: ath0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UP
    link/ether b8:a3:86:50:c1:95 brd ff:ff:ff:ff:ff:ff
46: ath1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UP
    link/ether b8:a3:86:50:c1:96 brd ff:ff:ff:ff:ff:ff
47: ppp0: <POINTOPOINT,MULTICAST,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet ххх.хх.ххх.ххх peer хх.хх.ххх.х/32 brd ххх.хх.ххх.ххх scope global ppp0
       valid_lft forever preferred_lft forever

Подскажите пожалуйста, в каком направлении искать решение.

← Nginx ERR_CONNECTION_RESET

Нужна помощь! Сломана автентификация! →

Мне лень читать это всё, но я бы запустил tcpdump на дебиане и посмотрел что там с пакетами.

firkax ★★★★★
(23.04.26 16:03:57 MSK)

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

keir ★★
(23.04.26 16:47:14 MSK)

Ответ на: комментарий от keir 23.04.26 16:47:14 MSK

Ещё ipv4 или ipv6 forwarding включить в sysctl, возможно.

kostik87 ★★★★★
(23.04.26 16:50:55 MSK)

Ответ на: комментарий от kostik87 23.04.26 16:50:55 MSK

Ему ответный syn+ack вполне успешно приходит, если ты не заметил.

firkax ★★★★★
(23.04.26 18:47:57 MSK)

Ответ на: комментарий от firkax 23.04.26 16:03:57 MSK

xxx.xxx.xxx.xxx - ip назначения, yyy.yyy.yyy.yyy - ip источника, т.е. мой.

Пинг до хоста идет, делаю пинг максимальным размером пакета: ping -n 1 -f -l 1464 xxx.xxx.xxx.xxx

tcpdump -v -n -nn -i ppp0 icmp

tcpdump: listening on ppp0, link-type LINUX_SLL (Linux cooked v1), snapshot length 262144 bytes
13:58:33.094689 IP (tos 0x0, ttl 127, id 30810, offset 0, flags [DF], proto ICMP (1), length 1492)
    yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: ICMP echo request, id 1, seq 11814, length 1472
13:58:33.101446 IP (tos 0x0, ttl 55, id 30548, offset 0, flags [none], proto ICMP (1), length 1492)
    xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: ICMP echo reply, id 1, seq 11814, length 1472
^C
2 packets captured
2 packets received by filter
0 packets dropped by kernel

Пробую открыть страницу по https:

tcpdump -v -n -nn -i ppp0 host xxx.xxx.xxx.xxx and port 443

tcpdump: listening on ppp0, link-type LINUX_SLL (Linux cooked v1), snapshot length 262144 bytes
13:58:56.678768 IP (tos 0x0, ttl 127, id 30813, offset 0, flags [DF], proto TCP (6), length 60)
    yyy.yyy.yyy.yyy.59227 > xxx.xxx.xxx.xxx.443: Flags [S], cksum 0xdbea (correct), seq 4136039652, win 64240, options [mss 1460,nop,wscale 8,sackOK,TS val 22109443 ecr 0], length 0
13:58:56.678788 IP (tos 0x0, ttl 127, id 30814, offset 0, flags [DF], proto TCP (6), length 60)
    yyy.yyy.yyy.yyy.59228 > xxx.xxx.xxx.xxx.443: Flags [S], cksum 0xbca2 (correct), seq 1657317354, win 64240, options [mss 1460,nop,wscale 8,sackOK,TS val 22109443 ecr 0], length 0
13:58:56.682618 IP (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    xxx.xxx.xxx.xxx.443 > yyy.yyy.yyy.yyy.59227: Flags [S.], cksum 0xf460 (correct), seq 3750497471, ack 4136039653, win 65160, options [mss 1460,sackOK,TS val 1509334428 ecr 22109443,nop,wscale 10], length 0
13:58:56.682770 IP (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    xxx.xxx.xxx.xxx.443 > yyy.yyy.yyy.yyy.59228: Flags [S.], cksum 0x79b5 (correct), seq 3774047931, ack 1657317355, win 65160, options [mss 1460,sackOK,TS val 1509334428 ecr 22109443,nop,wscale 10], length 0
13:58:56.691622 IP (tos 0x0, ttl 127, id 30815, offset 0, flags [DF], proto TCP (6), length 52)
    yyy.yyy.yyy.yyy.59227 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0x1fac (correct), ack 1, win 514, options [nop,nop,TS val 22109454 ecr 1509334428], length 0
13:58:56.691634 IP (tos 0x0, ttl 127, id 30816, offset 0, flags [DF], proto TCP (6), length 52)
    yyy.yyy.yyy.yyy.59228 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0xa500 (correct), ack 1, win 514, options [nop,nop,TS val 22109454 ecr 1509334428], length 0
13:58:56.691644 IP (tos 0x0, ttl 127, id 30817, offset 0, flags [DF], proto TCP (6), length 152)
    yyy.yyy.yyy.yyy.59227 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0xb404 (correct), seq 1:101, ack 1, win 514, options [TS val 21509454 ecr 1509334428,nop,nop], length 100
13:58:56.691649 IP (tos 0x0, ttl 127, id 30817, offset 0, flags [DF], proto TCP (6), length 152)
    yyy.yyy.yyy.yyy.59227 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0xb404 (correct), seq 1:101, ack 1, win 514, options [TS val 21509454 ecr 1509334428,nop,nop], length 100
13:58:56.691654 IP (tos 0x0, ttl 127, id 30817, offset 0, flags [DF], proto TCP (6), length 152)
    yyy.yyy.yyy.yyy.59227 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0xb404 (correct), seq 1:101, ack 1, win 514, options [TS val 21509454 ecr 1509334428,nop,nop], length 100
13:58:56.691658 IP (tos 0x0, ttl 127, id 30817, offset 0, flags [DF], proto TCP (6), length 152)
    yyy.yyy.yyy.yyy.59227 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0xb404 (correct), seq 1:101, ack 1, win 514, options [TS val 21509454 ecr 1509334428,nop,nop], length 100
------------------------------------------------------------
13:59:46.676238 IP (tos 0x0, ttl 54, id 3510, offset 0, flags [DF], proto TCP (6), length 64)
    xxx.xxx.xxx.xxx.443 > yyy.yyy.yyy.yyy.59261: Flags [.], cksum 0xec45 (correct), ack 1787, win 68, options [nop,nop,TS val 1509384422 ecr 22159429,nop,nop,sack 1 {1:285}], length 0
13:59:46.676389 IP (tos 0x0, ttl 54, id 3511, offset 0, flags [DF], proto TCP (6), length 64)
    xxx.xxx.xxx.xxx.443 > yyy.yyy.yyy.yyy.59261: Flags [.], cksum 0xec45 (correct), ack 1787, win 68, options [nop,nop,TS val 1509384422 ecr 22159429,nop,nop,sack 1 {1:285}], length 0
13:59:46.676418 IP (tos 0x0, ttl 54, id 3512, offset 0, flags [DF], proto TCP (6), length 64)
    xxx.xxx.xxx.xxx.443 > yyy.yyy.yyy.yyy.59261: Flags [.], cksum 0xe7c1 (correct), ack 1787, win 68, options [nop,nop,TS val 1509384422 ecr 22159429,nop,nop,sack 1 {1:1441}], length 0
13:59:46.677522 IP (tos 0x0, ttl 127, id 30859, offset 0, flags [DF], proto TCP (6), length 64)
    yyy.yyy.yyy.yyy.59261 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0xbfa8 (correct), ack 1, win 517, options [nop,nop,TS val 22159445 ecr 1509384414,nop,nop,sack 1 {1449:2399}], length 0
^C
257 packets captured
257 packets received by filter
0 packets dropped by kernel

Вывод последней команды большой, поэтому я середину вырезал, хотел полный вывод прикрепить к сообщению файлом, но не смог найти как это сделать. Загрузил на pastebin: https://pastebin.com/fm2v4TD9

d7c9
(24.04.26 15:29:31 MSK) автор топика

Ответ на: комментарий от keir 23.04.26 16:47:14 MSK

Не помогло, может я неправильно команду для nftables преобразовал:

nft list ruleset
table inet filter {
        chain input {
                type filter hook input priority filter; policy drop;
                iif "lo" accept
                ct state established,related accept
                udp dport 1194 accept
                iif "enp6s0" accept
        }

        chain forward {
                type filter hook forward priority filter; policy drop;
                ct state established,related accept
                iif "enp6s0" oifname "ppp0" accept
        }
}
table ip nat {
        chain postrouting {
                type nat hook postrouting priority srcnat; policy accept;
                iif "enp6s0" oifname "ppp0" masquerade                
        }
}

d7c9
(24.04.26 15:34:06 MSK) автор топика

Ответ на: комментарий от d7c9 24.04.26 15:34:06 MSK

Извиняюсь, строку потерял

chain forward {
                type filter hook forward priority filter; policy drop;
                ct state established,related accept
                iif "enp6s0" oifname "ppp0" accept
                tcp flags syn tcp option maxseg size set rt mtu        

}

d7c9
(24.04.26 15:44:53 MSK) автор топика

Ответ на: комментарий от d7c9 24.04.26 15:29:31 MSK

Пинг до хоста идет

Это сниффер на дебиане, а винда эти ответы пинга тоже видит?

Пробую открыть страницу по https:

Браузером или курлом? Лучше вторым т.к. у него логи есть.

Тут непонятно почему соединения с самого начала два (с 59227 и с 59228 портов).

Сервер на 59227 ответил в 13:58:56.682618 13:58:56.691622 клиент подтверждает соединение и сразу шлёт пачку одинаковых пакетов

13:58:56.691644
13:58:56.691649
13:58:56.691654
13:58:56.691658

Можно было бы подумать что там были лаги и он их слал с интервалами, но нет - раньше чем 682618 он начать точно не мог, и пакеты пришли в течение 10 мс спустя.

Конец лога уже от чего-то другого, мне кажется он всё-таки от браузера и замусорен лишними деталями. Лучше взять лог от курла на 1 запрос, а ещё можно параллельно снифферу ppp0 запустить сниффер интерфейса который к винде ведёт.

firkax ★★★★★
(24.04.26 16:36:34 MSK)

Ответ на: комментарий от firkax 24.04.26 16:36:34 MSK

Да, винда ответы пинга видит, при пинге бОльшим размером пакета говорит что требуется фрагментация пакета, но стоит запрещающий флаг. Открывал браузером. Второе соединение это наверное десктопное приложение ломилось подключиться, недоглядел, забыл выключить. Сейчас вырублю его и сделаю дамп с 2 интерфейсов и запрос курлом, так делать?

curl -v -ssl https://xxx.xxx.xxx.xxx ?

d7c9
(24.04.26 16:57:03 MSK) автор топика

Ответ на: комментарий от firkax 24.04.26 16:36:34 MSK

xxx.xxx.xxx.xxx - ip назначения

curl -v -ssl https://xxx.xxx.xxx.xxx

* Rebuilt URL to: https://xxx.xxx.xxx.xxx/
*   Trying xxx.xxx.xxx.xxx...
* TCP_NODELAY set
* Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx) port 443 (#0)
* schannel: SSL/TLS connection with xxx.xxx.xxx.xxx port 443 (step 1/3)
* schannel: checking server certificate revocation
* schannel: using IP address, SNI is not supported by OS.
* schannel: sending initial handshake data: sending 162 bytes...
* schannel: sent initial handshake data: sent 162 bytes
* schannel: SSL/TLS connection with xxx.xxx.xxx.xxx port 443 (step 2/3)
* schannel: failed to receive handshake, need more data
^C

Висело долго, не дождался оборвал.

Локальная сетевуха на дебиан: tcpdump -v -n -nn -i enp6s0 host xxx.xxx.xxx.xxx and port 443

tcpdump: listening on enp6s0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
16:06:16.648488 IP (tos 0x0, ttl 128, id 40191, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.10.107.56274 > xxx.xxx.xxx.xxx.443: Flags [S], cksum 0x4d11 (correct), seq 1905416263, win 64240, options [mss 1460,nop,wscale 8,sackOK,TS val 29749403 ecr 0], length 0
16:06:16.651869 IP (tos 0x0, ttl 53, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    xxx.xxx.xxx.xxx.443 > 192.168.10.107.56274: Flags [S.], cksum 0x3eda (correct), seq 682745474, ack 1905416264, win 65160, options [mss 1460,sackOK,TS val 202438471 ecr 29749403,nop,wscale 10], length 0
16:06:16.653140 IP (tos 0x0, ttl 128, id 40192, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.10.107.56274 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0x6a29 (correct), ack 1, win 514, options [nop,nop,TS val 29749410 ecr 202438471], length 0
16:06:16.664303 IP (tos 0x0, ttl 128, id 40193, offset 0, flags [DF], proto TCP (6), length 214)
    192.168.10.107.56274 > xxx.xxx.xxx.xxx.443: Flags [P.], cksum 0x19f7 (correct), seq 1:163, ack 1, win 514, options [nop,nop,TS val 29749421 ecr 202438471], length 162
16:06:16.668946 IP (tos 0x0, ttl 53, id 17027, offset 0, flags [DF], proto TCP (6), length 52)
    xxx.xxx.xxx.xxx.443 > 192.168.10.107.56274: Flags [.], cksum 0x6b2e (correct), ack 163, win 64, options [nop,nop,TS val 202438487 ecr 29749421], length 0
16:06:16.669361 IP (tos 0x0, ttl 53, id 17029, offset 0, flags [DF], proto TCP (6), length 868)
    xxx.xxx.xxx.xxx.443 > 192.168.10.107.56274: Flags [P.], cksum 0xf2e9 (correct), seq 1449:2265, ack 163, win 64, options [nop,nop,TS val 202438488 ecr 29749421], length 816
16:06:16.671063 IP (tos 0x0, ttl 128, id 40194, offset 0, flags [DF], proto TCP (6), length 64)
    192.168.10.107.56274 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0x1664 (correct), ack 1, win 514, options [nop,nop,TS val 29749428 ecr 202438487,nop,nop,sack 1 {1449:2265}], length 0
16:06:50.647829 IP (tos 0x0, ttl 128, id 40206, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.10.107.56274 > xxx.xxx.xxx.xxx.443: Flags [R.], cksum 0x9a5c (correct), seq 163, ack 1, win 0, length 0
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel

ppp0 на дебиан: tcpdump -v -n -nn -i ppp0 host xxx.xxx.xxx.xxx and port 443

tcpdump: listening on ppp0, link-type LINUX_SLL (Linux cooked v1), snapshot length 262144 bytes
16:06:16.648525 IP (tos 0x0, ttl 127, id 40191, offset 0, flags [DF], proto TCP (6), length 60)
    kkk.kkk.kkk.kkk.56274 > xxx.xxx.xxx.xxx.443: Flags [S], cksum 0x5054 (correct), seq 1905416263, win 64240, options [mss 1460,nop,wscale 8,sackOK,TS val 29749403 ecr 0], length 0
16:06:16.651840 IP (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    xxx.xxx.xxx.xxx.443 > kkk.kkk.kkk.kkk.56274: Flags [S.], cksum 0x421d (correct), seq 682745474, ack 1905416264, win 65160, options [mss 1460,sackOK,TS val 202438471 ecr 29749403,nop,wscale 10], length 0
16:06:16.653166 IP (tos 0x0, ttl 127, id 40192, offset 0, flags [DF], proto TCP (6), length 52)
    kkk.kkk.kkk.kkk.56274 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0x6d6c (correct), ack 1, win 514, options [nop,nop,TS val 29749410 ecr 202438471], length 0
16:06:16.664329 IP (tos 0x0, ttl 127, id 40193, offset 0, flags [DF], proto TCP (6), length 214)
    kkk.kkk.kkk.kkk.56274 > xxx.xxx.xxx.xxx.443: Flags [P.], cksum 0x1d3a (correct), seq 1:163, ack 1, win 514, options [nop,nop,TS val 29749421 ecr 202438471], length 162
16:06:16.668918 IP (tos 0x0, ttl 54, id 17027, offset 0, flags [DF], proto TCP (6), length 52)
    xxx.xxx.xxx.xxx.443 > kkk.kkk.kkk.kkk.56274: Flags [.], cksum 0x6e71 (correct), ack 163, win 64, options [nop,nop,TS val 202438487 ecr 29749421], length 0
16:06:16.669332 IP (tos 0x0, ttl 54, id 17029, offset 0, flags [DF], proto TCP (6), length 868)
    xxx.xxx.xxx.xxx.443 > kkk.kkk.kkk.kkk.56274: Flags [P.], cksum 0xf62c (correct), seq 1449:2265, ack 163, win 64, options [nop,nop,TS val 202438488 ecr 29749421], length 816
16:06:16.671089 IP (tos 0x0, ttl 127, id 40194, offset 0, flags [DF], proto TCP (6), length 64)
    kkk.kkk.kkk.kkk.56274 > xxx.xxx.xxx.xxx.443: Flags [.], cksum 0x19a7 (correct), ack 1, win 514, options [nop,nop,TS val 29749428 ecr 202438487,nop,nop,sack 1 {1449:2265}], length 0
16:06:50.647855 IP (tos 0x0, ttl 127, id 40206, offset 0, flags [DF], proto TCP (6), length 40)
    kkk.kkk.kkk.kkk.56274 > xxx.xxx.xxx.xxx.443: Flags [R.], cksum 0x9d9f (correct), seq 163, ack 1, win 0, length 0
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel

Забыл добавить: провайдер белый ip не дает, kkk.kkk.kkk.kkk - это ip, который он мне выдает при подключении по pppoe, а внешний ip у меня другой. Т.е. я получается за двойным натом как бы?

Могу ещё сделать дамп на целевой машине в момент нормального установления соединения и в момент когда не устанавливается.

d7c9
(24.04.26 17:24:31 MSK) автор топика

Ответ на: комментарий от d7c9 24.04.26 17:24:31 MSK

Тут два варианта - либо проблемы с mtu, либо тебя фильтруют.

Если предполагаем что дело в mtu - попробуй его уменьшить на компе за натом. Требуется, чтобы в первом пакете

16:06:16.648488 IP (tos 0x0, ttl 128, id 40191, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.10.107.56274 > xxx.xxx.xxx.xxx.443: Flags [S], cksum 0x4d11 (correct), seq 1905416263, win 64240, options [mss 1460,nop,wscale 8,sackOK,TS val 29749403 ecr 0], length 0

в поле mss было число поменьше. Это поле заполняется компом, который хочет подключиться, исходя из своей настройки mtu. Для надёжности можно сделать 500, и если после этого проблемы прекратятся - увеличивать его и смотреть когда начнутся.

Если фильтр - проверь, нет ли там tls v1.3 протокола. Вроде бы ключ --tls-max 1.2 для curl заставит его использовать только 1.2.

И ещё, хост куда ты подключаешься - не за границей?

firkax ★★★★★
(24.04.26 18:00:55 MSK)

Ответ на: комментарий от firkax 24.04.26 18:00:55 MSK

Не думаю что фильтруют - на этом же провайдере через старый роутер работает ок, явно что-то с настройками дебиан. Не за границей, в том же городе что и я, только провайдер другой.

d7c9
(24.04.26 18:44:47 MSK) автор топика

Ответ на: комментарий от d7c9 24.04.26 18:44:47 MSK

Ну, mtu стоит проверить в любом случае.

Могу ещё сделать дамп на целевой машине в момент нормального установления соединения и в момент когда не устанавливается.

Это имеется ввиду одно со старым роутером и второе с дебианом? Тоже полезно.

firkax ★★★★★
(24.04.26 18:48:41 MSK)
Последнее исправление: firkax 24.04.26 18:50:47 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 24.04.26 18:00:55 MSK

С MTU 1492 проходит, больше - нет.

d7c9
(24.04.26 18:56:59 MSK) автор топика

Ответ на: комментарий от firkax 24.04.26 18:00:55 MSK

В общем через дебиан проходит соединение с макс. размером пакета 1492. В настройках соединения ppp стоит MTU 1492. Интересно, что на старом роутере тоже в настройках соединения ppp стоит MTU 1492, но при этом если на винде вернуть как было изначально MTU 1500, то все равно работает.

d7c9
(24.04.26 19:17:54 MSK) автор топика

Ответ на: комментарий от d7c9 24.04.26 15:44:53 MSK

type filter hook forward priority filter; policy drop;
ct state established,related accept
iif "enp6s0" oifname "ppp0" accept

А разьве не должно быть в этой цепочке аксепт туда-сюда, а не только на выход?

anonymous
(24.04.26 20:39:33 MSK)

Ответ на: комментарий от d7c9 24.04.26 19:17:54 MSK

Возможно старый роутер на лету исправлял mss в проходящих мимо пакетах.

firkax ★★★★★
(24.04.26 20:52:35 MSK)

Ответ на: комментарий от firkax 24.04.26 20:52:35 MSK

При чем с другой машины ubuntu server из этой же локальной подсети это же соединение нормально работает через дебиан. На винде и андроиде - нет.

d7c9
(24.04.26 21:19:59 MSK) автор топика

Ответ на: комментарий от d7c9 24.04.26 21:19:59 MSK

iptables clamp-mss-to-pmtu и выбор цепочки.

man iptables-extensions - поиск по TCPMSS

firkax ★★★★★
(24.04.26 21:28:42 MSK)
Последнее исправление: firkax 24.04.26 21:32:03 MSK (всего исправлений: 1)

← Nginx ERR_CONNECTION_RESET

Admin

Нужна помощь! Сломана автентификация! →

Похожие темы