Вопрос по сети

0

3

Привет всем!

Начало эпопеи тут. При выходе в инет из локалки за роутером (Debian) часть сайтов не открывается, по симптомам проблема с mtu. На роутере так же поднят OpenVPN сервер, если зацепится к нему с компа с локалки или откуда то ещё то все работает без проблем. Вопрос состоит в том, почему так происходит? В чем разница между конектом из локалки и через VPN, роутер то все равно это все форвардит

Ссылка

←	nginx кеширование динамики.

Резервное копирование с сервера на сервер

→

mtu 1492 попробуй, да и вообще как сеть сконфигурирована?

anonymous
(16.11.13 01:51:19 MSK)

Купи нормальный роутер или ставь Фряху, на Фряхе УМВР.

anonymous
(16.11.13 01:58:55 MSK)

Ответ на: комментарий от anonymous 16.11.13 01:51:19 MSK

c мту я уже ковырялся и побольше и поменьше ставил и выяснял какой размера пакет пролазит и соответственно ему выставлял мту. Вопрос в том, почему, с конектом чреез vpn все работает нормально, а из локалки нет? Настройки везде одинаковые

igroost
(16.11.13 02:23:45 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 16.11.13 01:58:55 MSK

что во фре все работет я не сомневаюсь, но это как то сильно координально

igroost
(16.11.13 02:24:18 MSK) автор топика

Ссылка

Предлагаю начать с публикации настроек «важных» интерфейсов (по которым проходят или же должны проходить проблемные пакеты), фаервола и OpenVPN.

edigaryev ★★★★★
(16.11.13 02:36:23 MSK)

Да потому что VPN сам фрагментирует пакеты так как надо, и поскольку он висит на серваке он знает что выход с другим mtu

visual ★★★
(16.11.13 04:14:11 MSK)

Ссылка

может типа такого http://unixforum.org/index.php?showtopic=118710 http://www.opennet.ru/base/cisco/df_packet_fragment.txt.html

ipeacocks ★★★★★
(16.11.13 04:29:21 MSK)

Ссылка

Клиент венда?

invokercd ★★★★
(16.11.13 08:21:23 MSK)

Ответ на: комментарий от edigaryev 16.11.13 02:36:23 MSK

настройки интерфейсов стандартные eth0 к провайдеру, eth1 в локалку

# The primary network interface auto eth0 iface eth0 inet dhcp

auto eth1 iface eth1 inet static

address 192.168.0.10 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255

В iptables пара правил, маскарадинг, разренешие icmp и на подстройку mtu

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu iptables -A INPUT -p icmp -j ACCEPT

В OpenVPN настроено только какой ip у сервера и пул выдаваемых ip клиентам

igroost
(16.11.13 20:27:18 MSK) автор топика

Ссылка

Ответ на: комментарий от invokercd 16.11.13 08:21:23 MSK

компы с ведной работают через раз, два компа с семеркой на одном с инетом проблем нет, на втором симптомы такие же как на линуховых компах которые на мту указывают.

igroost
(16.11.13 20:29:08 MSK) автор топика

Ссылка

посмотрел пакеты которые литят на роутер с линуха проблемного, почему то все пакеты включая те что идут в vpn тунеле идут с битами DF, но через VPN при этом проблем нет, а если vpn выключить то сразу возникают проблемы

igroost
(16.11.13 20:31:28 MSK) автор топика

Ответ на: комментарий от igroost 16.11.13 20:31:28 MSK

Ради эксперимента, на роутере:

iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

invokercd ★★★★
(16.11.13 21:14:12 MSK)

Ответ на: комментарий от invokercd 16.11.13 21:14:12 MSK

чуть выше мой пост с ответом в котором это правило указано как существующее на роутере. До сих пор думал что этим правилом и чинится проблема с мту, а теперь оказалось что нет, ещё где то затыки могут случаться

igroost
(16.11.13 23:45:59 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	nginx кеширование динамики.

Admin

Резервное копирование с сервера на сервер

→

Похожие темы