Проблема с доступом через NAT

[Noname2007]

Имеется IPIP тоннель, через который есть доступ во внешку (TomGate), на роутере (AltLinux 4.0 OfficeServer) - iptables, который SNAT'ом ее раздает.
Некоторое время назад были совершены некоторые действия (поднят avahi и ntop, сменен ntpd, пытался сменить ядро, но откатился назад, но на новом ядре применял ifrename + еше что-то, я уже не помню) на роутере, после чего появились проблемы с доступом к большинству внешних сайтов (но не ко всем, также работают все томские) через SNAT и MASQUERADE (через прокси работает нормально). Деол точно не в настройках файервола. Пробовал останавливать avahi и ntop - не помогло. Настройки sysctl не трогал. Что интересно, соединение с сайтом открывается и запрос уходит, но никакого ответа не возвращается. Ping работает нормально. заранее благодарю за помощь.

[bav]

Имеется IPIP тоннель, через который есть доступ во внешку (TomGate), на роутере (AltLinux 4.0 OfficeServer) - iptables, который SNAT'ом ее раздает.
Некоторое время назад были совершены некоторые действия (поднят avahi и ntop, сменен ntpd, пытался сменить ядро, но откатился назад, но на новом ядре применял ifrename + еше что-то, я уже не помню) на роутере, после чего появились проблемы с доступом к большинству внешних сайтов (но не ко всем, также работают все томские) через SNAT и MASQUERADE (через прокси работает нормально). Деол точно не в настройках файервола. Пробовал останавливать avahi и ntop - не помогло. Настройки sysctl не трогал. Что интересно, соединение с сайтом открывается и запрос уходит, но никакого ответа не возвращается. Ping работает нормально. заранее благодарю за помощь.

http://www.opennet.ru/openforum/vsluhforumID1/22733.html  не оно?

[BuTbKa]

Имеется IPIP тоннель, через который есть доступ во внешку (TomGate), на роутере (AltLinux 4.0 OfficeServer) - iptables, который SNAT'ом ее раздает.
Некоторое время назад были совершены некоторые действия (поднят avahi и ntop, сменен ntpd, пытался сменить ядро, но откатился назад, но на новом ядре применял ifrename + еше что-то, я уже не помню) на роутере, после чего появились проблемы с доступом к большинству внешних сайтов (но не ко всем, также работают все томские) через SNAT и MASQUERADE (через прокси работает нормально). Деол точно не в настройках файервола. Пробовал останавливать avahi и ntop - не помогло. Настройки sysctl не трогал. Что интересно, соединение с сайтом открывается и запрос уходит, но никакого ответа не возвращается. Ping работает нормально. заранее благодарю за помощь.

Вы бы к нам, в Томгейт, и обратились бы за оперативным ответом
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu - это раз.
И посмотрите, какое значение MTU стоит у IPIP туннеля. Оно должно быть хотя бы на 40 меньше, чем MTU вашего физического интерфейса.

[Noname2007]

Всем спасибо, правило iptables помогло.

[Konstantine]

Всем спасибо, правило iptables помогло.

И посмотрите, какое значение MTU стоит у IPIP туннеля. Оно должно быть хотя бы на 40 меньше, чем MTU вашего физического интерфейса.

Ты это ещё посмотри у себя он дело говорит иначе если сообщение будет состоят из "тяжёлых" пакетов тунель будет постоянно рваться и по новой (если у тя автоматом стоит) устанавливаться, такая же байда и у впна mtu и mru не выше 1460 делать нужно, желательно на клиентах тупо 1400 ...

[Noname2007]

И посмотрите, какое значение MTU стоит у IPIP туннеля. Оно должно быть хотя бы на 40 меньше, чем MTU вашего физического интерфейса.

Ты это ещё посмотри у себя он дело говорит иначе если сообщение будет состоят из "тяжёлых" пакетов тунель будет постоянно рваться и по новой (если у тя автоматом стоит) устанавливаться, такая же байда и у впна mtu и mru не выше 1460 делать нужно, желательно на клиентах тупо 1400 ...

Насчет нюансов с mtu у туннелей я и так знал, мне было неизвестно то, что надо писать правило для преобразования mss в фаере. Но все равно спасибо за совет.

[BuTbKa]

Ты это ещё посмотри у себя он дело говорит иначе если сообщение будет состоят из "тяжёлых" пакетов тунель будет постоянно рваться и по новой (если у тя автоматом стоит) устанавливаться, такая же байда и у впна mtu и mru не выше 1460 делать нужно, желательно на клиентах тупо 1400 ...

IPIP-туннель будет рваться? Пишите ещё.

[Konstantine]

IPIP-туннель будет рваться? Пишите ещё.

Читай внимательно я про VPN, а точнее о pptp