Tomsk Sysadmins Forum
Unix => Администрирование => Topic started by: Noname2007 on January 25, 2009, 01:37:19
-
Имеется IPIP тоннель, через который есть доступ во внешку (TomGate), на роутере (AltLinux 4.0 OfficeServer) - iptables, который SNAT'ом ее раздает.
Некоторое время назад были совершены некоторые действия (поднят avahi и ntop, сменен ntpd, пытался сменить ядро, но откатился назад, но на новом ядре применял ifrename + еше что-то, я уже не помню) на роутере, после чего появились проблемы с доступом к большинству внешних сайтов (но не ко всем, также работают все томские) через SNAT и MASQUERADE (через прокси работает нормально). Деол точно не в настройках файервола. Пробовал останавливать avahi и ntop - не помогло. Настройки sysctl не трогал. Что интересно, соединение с сайтом открывается и запрос уходит, но никакого ответа не возвращается. Ping работает нормально. заранее благодарю за помощь.
-
Имеется IPIP тоннель, через который есть доступ во внешку (TomGate), на роутере (AltLinux 4.0 OfficeServer) - iptables, который SNAT'ом ее раздает.
Некоторое время назад были совершены некоторые действия (поднят avahi и ntop, сменен ntpd, пытался сменить ядро, но откатился назад, но на новом ядре применял ifrename + еше что-то, я уже не помню) на роутере, после чего появились проблемы с доступом к большинству внешних сайтов (но не ко всем, также работают все томские) через SNAT и MASQUERADE (через прокси работает нормально). Деол точно не в настройках файервола. Пробовал останавливать avahi и ntop - не помогло. Настройки sysctl не трогал. Что интересно, соединение с сайтом открывается и запрос уходит, но никакого ответа не возвращается. Ping работает нормально. заранее благодарю за помощь.
http://www.opennet.ru/openforum/vsluhforumID1/22733.html (http://www.opennet.ru/openforum/vsluhforumID1/22733.html) не оно?
-
Имеется IPIP тоннель, через который есть доступ во внешку (TomGate), на роутере (AltLinux 4.0 OfficeServer) - iptables, который SNAT'ом ее раздает.
Некоторое время назад были совершены некоторые действия (поднят avahi и ntop, сменен ntpd, пытался сменить ядро, но откатился назад, но на новом ядре применял ifrename + еше что-то, я уже не помню) на роутере, после чего появились проблемы с доступом к большинству внешних сайтов (но не ко всем, также работают все томские) через SNAT и MASQUERADE (через прокси работает нормально). Деол точно не в настройках файервола. Пробовал останавливать avahi и ntop - не помогло. Настройки sysctl не трогал. Что интересно, соединение с сайтом открывается и запрос уходит, но никакого ответа не возвращается. Ping работает нормально. заранее благодарю за помощь.
Вы бы к нам, в Томгейт, и обратились бы за оперативным ответом
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu - это раз.
И посмотрите, какое значение MTU стоит у IPIP туннеля. Оно должно быть хотя бы на 40 меньше, чем MTU вашего физического интерфейса.
-
Всем спасибо, правило iptables помогло.
-
Всем спасибо, правило iptables помогло.
И посмотрите, какое значение MTU стоит у IPIP туннеля. Оно должно быть хотя бы на 40 меньше, чем MTU вашего физического интерфейса.
Ты это ещё посмотри у себя он дело говорит иначе если сообщение будет состоят из "тяжёлых" пакетов тунель будет постоянно рваться и по новой (если у тя автоматом стоит) устанавливаться, такая же байда и у впна mtu и mru не выше 1460 делать нужно, желательно на клиентах тупо 1400 ...
-
И посмотрите, какое значение MTU стоит у IPIP туннеля. Оно должно быть хотя бы на 40 меньше, чем MTU вашего физического интерфейса.
Ты это ещё посмотри у себя он дело говорит иначе если сообщение будет состоят из "тяжёлых" пакетов тунель будет постоянно рваться и по новой (если у тя автоматом стоит) устанавливаться, такая же байда и у впна mtu и mru не выше 1460 делать нужно, желательно на клиентах тупо 1400 ...
Насчет нюансов с mtu у туннелей я и так знал, мне было неизвестно то, что надо писать правило для преобразования mss в фаере. Но все равно спасибо за совет.
-
Ты это ещё посмотри у себя он дело говорит иначе если сообщение будет состоят из "тяжёлых" пакетов тунель будет постоянно рваться и по новой (если у тя автоматом стоит) устанавливаться, такая же байда и у впна mtu и mru не выше 1460 делать нужно, желательно на клиентах тупо 1400 ...
IPIP-туннель будет рваться? Пишите ещё.
-
IPIP-туннель будет рваться? Пишите ещё.
Читай внимательно я про VPN, а точнее о pptp