[сервер] Машины домашней сети не получают http-траффик

zyamilon	# 8 лет, 10 месяцев назад
Темы: 6 Сообщения: 68 Участник с: 02 апреля 2012	Доброго времени суток! Ребята, нужна помощь. Я уже просто не знаю куда копать дальше. Имеется несколько по-дурацки построенная домашняя сеть. Камни за ip прошу не бросать, так вышло по историческим и виндовым причинам. Объясню кратко схему - имеется сервер на арче (192.138.137.11), который получает интернет от провайдера через vpn (l2tp) и раздает его дальше, домашнюю сеть. Сам сервер является также фаерволлом, сид-боксом, файлохранилкой и прочим-прочим. Года 2 он раздавал себе всё спокойненько и вот недавно произошло нечто ужасное. Придя домой с работы я обнаружил, что ни одна http-страничка с windows-машины и далее в домашней сети (с ноутбуков и проч. устройст) не открывается, хотя всё прекрасно пингуется и резольвится. Перезагрузился - не помогло. Сделал апдейт - тоже. На сервере при этом сайты открываются. Так и не осилив проблему, я временно вернулся к старой-старой конфигурации (воткнул сетевой кабель в windows-машину). ----- Итак, схема домашней сети. Я не художник и не инженер, потому сделал так, как смог. :) Далее, настройки сети на сервере. Здесь всё хорошо, всё пингуется, в браузере на сервере (у меня там xbmc еще, так что наличию гуи не удивляйтесь) сайты открываются. ┌─[[email protected]:~ (09:24) !508] └─$ uname -a Linux ares 3.11.5-1-ARCH #1 SMP PREEMPT Mon Oct 14 08:49:01 CEST 2013 i686 GNU/Linux ┌─[[email protected]:~ (09:24) !509] └─$ ifconfig -a eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.137.11 netmask 255.255.255.0 broadcast 192.168.137.255 inet6 fe80::b248:7aff:fe80:690 prefixlen 64 scopeid 0x20<link> ether b0:48:7a:80:06:90 txqueuelen 1000 (Ethernet) RX packets 15530564 bytes 15530496470 (14.4 GiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 13711472 bytes 17325217405 (16.1 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 10.17.23.29 netmask 255.255.255.0 broadcast 10.17.23.255 inet6 fe80::217:31ff:fe93:4363 prefixlen 64 scopeid 0x20<link> ether 00:17:31:93:43:63 txqueuelen 1000 (Ethernet) RX packets 671432 bytes 208621798 (198.9 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 972317 bytes 641053591 (611.3 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10<host> loop txqueuelen 0 (Local Loopback) RX packets 9234529 bytes 1281643596 (1.1 GiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 9234529 bytes 1281643596 (1.1 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1456 inet 109...* netmask 255.255.255.255 destination ... ppp txqueuelen 3 (Point-to-Point Protocol) RX packets 1091 bytes 177783 (173.6 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 1236 bytes 154118 (150.5 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 ┌─[[email protected]:~ (09:24) !510] └─$ ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether b0:48:7a:80:06:90 brd ff:ff:ff:ff:ff:ff inet 192.168.137.11/24 brd 192.168.137.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::b248:7aff:fe80:690/64 scope link valid_lft forever preferred_lft forever 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:17:31:93:43:63 brd ff:ff:ff:ff:ff:ff inet 10.17.23.29/24 brd 10.17.23.255 scope global eth1 valid_lft forever preferred_lft forever inet6 fe80::217:31ff:fe93:4363/64 scope link valid_lft forever preferred_lft forever 11: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1456 qdisc pfifo_fast state UNKNOWN qlen 3 link/ppp inet 109...* peer 78.../32 scope global ppp0 valid_lft forever preferred_lft forever ┌─[[email protected]:~ (09:25) !511] └─$ ip ro default dev ppp0 scope link 10.0.0.0/8 via 10.17.23.1 dev eth1 10.0.100.42 via 10.17.23.1 dev eth1 10.17.23.0/24 dev eth1 proto kernel scope link src 10.17.23.29 78... dev ppp0 proto kernel scope link src 109...* 192.168.137.0/24 dev eth0 proto kernel scope link src 192.168.137.11 ┌─[[email protected]:~ (09:27) !520] └─$ ping habrahabr.ru PING habrahabr.ru (212.24.43.46) 56(84) bytes of data. 64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=1 ttl=117 time=31.1 ms 64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=2 ttl=117 time=31.0 ms 64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=3 ttl=117 time=30.9 ms 64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=4 ttl=117 time=30.8 ms ^C --- habrahabr.ru ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3002ms rtt min/avg/max/mdev = 30.889/31.017/31.131/0.234 ms iptables. Упростил конфиг. Здесь тоже вроде как всё хорошо. Если iptables выключить, то машины домашей сети даже пинговать внешние ресурсы не смогут. ┌─[[email protected]:~ (09:25) !512] └─$ cat /proc/sys/net/ipv4/ip_forward 1 ┌─[[email protected]:~ (09:25) !513] └─$ sudo systemctl status iptables [sudo] password for zyama: iptables.service - Packet Filtering Framework Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled) Active: active (exited) since Вт 2013-10-29 07:09:23 YEKT; 2h 16min ago Process: 5069 ExecStop=/usr/lib/systemd/scripts/iptables-flush (code=exited, status=0/SUCCESS) Process: 5072 ExecStart=/usr/bin/iptables-restore /etc/iptables/iptables.rules (code=exited, status=0/SUCCESS) Main PID: 5072 (code=exited, status=0/SUCCESS) CGroup: /system.slice/iptables.service окт 29 07:09:23 ares systemd[1]: Starting Packet Filtering Framework... окт 29 07:09:23 ares systemd[1]: Started Packet Filtering Framework. ┌─[[email protected]:~ (09:26) !514] └─$ sudo iptables -L Chain INPUT (policy DROP) target prot opt source destination all -- anywhere anywhere all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED open all -- anywhere anywhere DROP tcp -- anywhere anywhere tcp dpt:8092 DROP tcp -- anywhere anywhere tcp dpt:zabbix-agent DROP udp -- anywhere anywhere udp dpt:domain DROP tcp -- anywhere anywhere tcp dpt:domain DROP tcp -- anywhere anywhere tcp dpt:svn DROP udp -- anywhere anywhere udp dpt:svn Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain open (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:10443 ACCEPT udp -- anywhere anywhere udp dpt:10443 ACCEPT tcp -- anywhere anywhere tcp dpt:http ACCEPT tcp -- anywhere anywhere tcp dpts:6881:6887 ACCEPT udp -- anywhere anywhere udp dpts:6881:6887 ACCEPT tcp -- anywhere anywhere tcp dpts:52000:53000 ACCEPT udp -- anywhere anywhere udp dpts:52000:53000 ┌─[[email protected]:~ (09:26) !515] └─$ sudo iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere MASQUERADE all -- anywhere anywhere ┌─[[email protected]:~ (09:27) !519] └─$ sudo iptables -S -P INPUT DROP -P FORWARD ACCEPT -P OUTPUT ACCEPT -N open -A INPUT -i eth1 -A INPUT -i eth1 -A INPUT -i eth0 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -j open -A INPUT -p tcp -m tcp --dport 8092 -j DROP -A INPUT -p tcp -m tcp --dport 10050 -j DROP -A INPUT -p udp -m udp --dport 53 -j DROP -A INPUT -p tcp -m tcp --dport 53 -j DROP -A INPUT -p tcp -m tcp --dport 3690 -j DROP -A INPUT -p udp -m udp --dport 3690 -j DROP -A open -p tcp -m tcp --dport 10443 -j ACCEPT -A open -p udp -m udp --dport 10443 -j ACCEPT -A open -p tcp -m tcp --dport 80 -j ACCEPT -A open -p tcp -m tcp --dport 6881:6887 -j ACCEPT -A open -p udp -m udp --dport 6881:6887 -j ACCEPT -A open -p tcp -m tcp --dport 52000:53000 -j ACCEPT -A open -p udp -m udp --dport 52000:53000 -j ACCEPT ┌─[[email protected]:~ (09:26) !518] └─$ sudo iptables -S -t nat -P PREROUTING ACCEPT -P INPUT ACCEPT -P OUTPUT ACCEPT -P POSTROUTING ACCEPT -A POSTROUTING -o ppp0 -j MASQUERADE -A POSTROUTING -o eth1 -j MASQUERADE Далее windows-машина. Единственная, которая 192.168.137.1. маршруты. Т.е. дефолтно через arch-сервер. попробуем пропинговать linux.org.ru . Тоже всё хорошо, ресурс пингуется и резольвится (впн-сервером провайдера). А теперь мистика, магия и паранормальные явления. Из браузера linux.org.ru, хабр, википедия и прочие сайты не открываются. Просто идёт загрузка странички и всё. Если попробовать скачать что-то вигетом, получаем следующее. При этом yandex.ru, который у провайдера видимо локален, а также провайдерские сайты открываются, скайп работает (т.е. использует какие-то ноды, насколько мне известно). Недавно на место компьютера с win7 ради проверки поставил ноутбук с арчем. Тоже самое. Т.е. проблема либо в моем сервере, либо в оборудовании провайдера, либо магия. Прокси-серверов у меня нет. 1. Что делать? Куда копать? 2. Звонил в провайдера, спрашивал мб они что-то сделали со своим оборудованием и теперь такие домашние сети блокируют. Ответили что нет, таким не занимаются. И всё же, могли ли они как-то сделать это? Реально ли так блокировать nat? p.s. пост вышел длинный, уж извините. Я постарался собрать нужную информацию, чтобы было нагляднее. You will release your life Joining with the god damned world of the dead and the lonely.

# 8 лет, 10 месяцев назад

Сообщения: 68

Участник с: 02 апреля 2012

Доброго времени суток!
Ребята, нужна помощь. Я уже просто не знаю куда копать дальше.

Имеется несколько по-дурацки построенная домашняя сеть. Камни за ip прошу не бросать, так вышло по историческим и виндовым причинам.
Объясню кратко схему - имеется сервер на арче (192.138.137.11), который получает интернет от провайдера через vpn (l2tp) и раздает его дальше, домашнюю сеть. Сам сервер является также фаерволлом, сид-боксом, файлохранилкой и прочим-прочим.

Года 2 он раздавал себе всё спокойненько и вот недавно произошло нечто ужасное. Придя домой с работы я обнаружил, что ни одна http-страничка с windows-машины и далее в домашней сети (с ноутбуков и проч. устройст) не открывается, хотя всё прекрасно пингуется и резольвится. Перезагрузился - не помогло. Сделал апдейт - тоже.
На сервере при этом сайты открываются.

Так и не осилив проблему, я временно вернулся к старой-старой конфигурации (воткнул сетевой кабель в windows-машину).

-----
Итак, схема домашней сети. Я не художник и не инженер, потому сделал так, как смог. :)

Далее, настройки сети на сервере. Здесь всё хорошо, всё пингуется, в браузере на сервере (у меня там xbmc еще, так что наличию гуи не удивляйтесь) сайты открываются.

┌─[[email protected]:~ (09:24) !508]
└─$ uname -a
Linux ares 3.11.5-1-ARCH #1 SMP PREEMPT Mon Oct 14 08:49:01 CEST 2013 i686 GNU/Linux
┌─[[email protected]:~ (09:24) !509]
└─$ ifconfig -a
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.137.11  netmask 255.255.255.0  broadcast 192.168.137.255
        inet6 fe80::b248:7aff:fe80:690  prefixlen 64  scopeid 0x20<link>
        ether b0:48:7a:80:06:90  txqueuelen 1000  (Ethernet)
        RX packets 15530564  bytes 15530496470 (14.4 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 13711472  bytes 17325217405 (16.1 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.17.23.29  netmask 255.255.255.0  broadcast 10.17.23.255
        inet6 fe80::217:31ff:fe93:4363  prefixlen 64  scopeid 0x20<link>
        ether 00:17:31:93:43:63  txqueuelen 1000  (Ethernet)
        RX packets 671432  bytes 208621798 (198.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 972317  bytes 641053591 (611.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Local Loopback)
        RX packets 9234529  bytes 1281643596 (1.1 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 9234529  bytes 1281643596 (1.1 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1456
        inet 109.*.*.*  netmask 255.255.255.255  destination *.*.*.*
        ppp  txqueuelen 3  (Point-to-Point Protocol)
        RX packets 1091  bytes 177783 (173.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1236  bytes 154118 (150.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
┌─[[email protected]:~ (09:24) !510]
└─$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether b0:48:7a:80:06:90 brd ff:ff:ff:ff:ff:ff
    inet 192.168.137.11/24 brd 192.168.137.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::b248:7aff:fe80:690/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:17:31:93:43:63 brd ff:ff:ff:ff:ff:ff
    inet 10.17.23.29/24 brd 10.17.23.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::217:31ff:fe93:4363/64 scope link
       valid_lft forever preferred_lft forever
11: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1456 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 109.*.*.* peer 78.*.*.*/32 scope global ppp0
       valid_lft forever preferred_lft forever
┌─[[email protected]:~ (09:25) !511]
└─$ ip ro
default dev ppp0  scope link
10.0.0.0/8 via 10.17.23.1 dev eth1
10.0.100.42 via 10.17.23.1 dev eth1
10.17.23.0/24 dev eth1  proto kernel  scope link  src 10.17.23.29
78.*.*.* dev ppp0  proto kernel  scope link  src 109.*.*.*
192.168.137.0/24 dev eth0  proto kernel  scope link  src 192.168.137.11
┌─[[email protected]:~ (09:27) !520]
└─$ ping habrahabr.ru
PING habrahabr.ru (212.24.43.46) 56(84) bytes of data.
64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=1 ttl=117 time=31.1 ms
64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=2 ttl=117 time=31.0 ms
64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=3 ttl=117 time=30.9 ms
64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=4 ttl=117 time=30.8 ms
^C
--- habrahabr.ru ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 30.889/31.017/31.131/0.234 ms

iptables. Упростил конфиг. Здесь тоже вроде как всё хорошо. Если iptables выключить, то машины домашей сети даже пинговать внешние ресурсы не смогут.

┌─[[email protected]:~ (09:25) !512]
└─$ cat /proc/sys/net/ipv4/ip_forward
1
┌─[[email protected]:~ (09:25) !513]
└─$ sudo systemctl status iptables
[sudo] password for zyama:
iptables.service - Packet Filtering Framework
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled)
   Active: active (exited) since Вт 2013-10-29 07:09:23 YEKT; 2h 16min ago
  Process: 5069 ExecStop=/usr/lib/systemd/scripts/iptables-flush (code=exited, status=0/SUCCESS)
  Process: 5072 ExecStart=/usr/bin/iptables-restore /etc/iptables/iptables.rules (code=exited, status=0/SUCCESS)
 Main PID: 5072 (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/iptables.service
окт 29 07:09:23 ares systemd[1]: Starting Packet Filtering Framework...
окт 29 07:09:23 ares systemd[1]: Started Packet Filtering Framework.
┌─[[email protected]:~ (09:26) !514]
└─$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
open       all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere             tcp dpt:8092
DROP       tcp  --  anywhere             anywhere             tcp dpt:zabbix-agent
DROP       udp  --  anywhere             anywhere             udp dpt:domain
DROP       tcp  --  anywhere             anywhere             tcp dpt:domain
DROP       tcp  --  anywhere             anywhere             tcp dpt:svn
DROP       udp  --  anywhere             anywhere             udp dpt:svn
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain open (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:10443
ACCEPT     udp  --  anywhere             anywhere             udp dpt:10443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:6881:6887
ACCEPT     udp  --  anywhere             anywhere             udp dpts:6881:6887
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:52000:53000
ACCEPT     udp  --  anywhere             anywhere             udp dpts:52000:53000
┌─[[email protected]:~ (09:26) !515]
└─$ sudo iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
┌─[[email protected]:~ (09:27) !519]
└─$ sudo iptables -S
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N open
-A INPUT -i eth1
-A INPUT -i eth1
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j open
-A INPUT -p tcp -m tcp --dport 8092 -j DROP
-A INPUT -p tcp -m tcp --dport 10050 -j DROP
-A INPUT -p udp -m udp --dport 53 -j DROP
-A INPUT -p tcp -m tcp --dport 53 -j DROP
-A INPUT -p tcp -m tcp --dport 3690 -j DROP
-A INPUT -p udp -m udp --dport 3690 -j DROP
-A open -p tcp -m tcp --dport 10443 -j ACCEPT
-A open -p udp -m udp --dport 10443 -j ACCEPT
-A open -p tcp -m tcp --dport 80 -j ACCEPT
-A open -p tcp -m tcp --dport 6881:6887 -j ACCEPT
-A open -p udp -m udp --dport 6881:6887 -j ACCEPT
-A open -p tcp -m tcp --dport 52000:53000 -j ACCEPT
-A open -p udp -m udp --dport 52000:53000 -j ACCEPT
┌─[[email protected]:~ (09:26) !518]
└─$ sudo iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE

Далее windows-машина. Единственная, которая 192.168.137.1.

маршруты. Т.е. дефолтно через arch-сервер.
попробуем пропинговать linux.org.ru . Тоже всё хорошо, ресурс пингуется и резольвится (впн-сервером провайдера).
А теперь мистика, магия и паранормальные явления. Из браузера linux.org.ru, хабр, википедия и прочие сайты не открываются. Просто идёт загрузка странички и всё. Если попробовать скачать что-то вигетом, получаем следующее.
При этом yandex.ru, который у провайдера видимо локален, а также провайдерские сайты открываются, скайп работает (т.е. использует какие-то ноды, насколько мне известно).
Недавно на место компьютера с win7 ради проверки поставил ноутбук с арчем. Тоже самое. Т.е. проблема либо в моем сервере, либо в оборудовании провайдера, либо магия.
Прокси-серверов у меня нет.

1. Что делать? Куда копать?
2. Звонил в провайдера, спрашивал мб они что-то сделали со своим оборудованием и теперь такие домашние сети блокируют. Ответили что нет, таким не занимаются. И всё же, могли ли они как-то сделать это? Реально ли так блокировать nat?

p.s. пост вышел длинный, уж извините. Я постарался собрать нужную информацию, чтобы было нагляднее.

You will release your life
Joining with the god damned world of the dead and the lonely.

Natrio	# 8 лет, 10 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Попробуйте из локальной сети пинговать те же сайты, только с увеличенным размером пакета. Возможно, у вас проблемы с фрагментацией пакетов из-за не настроенного на вашем "сервере" согласования MTU локалки и L2TP. P.S. Да, ваша сеть ужасна :) 1) Почему нельзя подключить всё через роутер? В нём нет Ethernet-свича или он не понимает L2TP? 2) Безотносительно роутера, зачем пропускать всё через ещё одну машину?! Тем более форточную... Тут у меня вообще не остаётся никаких рациональных объяснений.

Natrio

# 8 лет, 10 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Попробуйте из локальной сети пинговать те же сайты, только с увеличенным размером пакета.
Возможно, у вас проблемы с фрагментацией пакетов из-за не настроенного на вашем "сервере" согласования MTU локалки и L2TP.

P.S.
Да, ваша сеть ужасна :)
1) Почему нельзя подключить всё через роутер? В нём нет Ethernet-свича или он не понимает L2TP?
2) Безотносительно роутера, зачем пропускать всё через ещё одну машину?! Тем более форточную... Тут у меня вообще не остаётся никаких рациональных объяснений.

zyamilon	# 8 лет, 10 месяцев назад
Темы: 6 Сообщения: 68 Участник с: 02 апреля 2012	Спасибо за ответ, попробую и отпишусь. Т.е. мол пакет пакет внутри моей сети бъется, отправляется на vpn-сервер провайдера, тот не может его собрать/не понимает и отбрасывает? 1) Почему нельзя подключить всё через роутер? В нём нет Ethernet-свича или он не понимает L2TP? 2) Безотносительно роутера, зачем пропускать всё через ещё одну машину?! Тем более форточную... Тут у меня вообще не остаётся никаких рациональных объяснений. Да, ваша сеть ужасна :) Ну, так получилось по историческим причинам, а сейчас что-то менять если, то нужно много времени. Здесь ведь и веб-сервер есть еще, самба, днс, мониторинг, торренты... В общем, уже нельзя "вот так вот просто взять и понять ip-адреса". Почему нельзя подключить всё через роутер? В нём нет Ethernet-свича или он не понимает L2TP? 1. не очень доверяю я ему, а перепрошивать с дефолтного на dd-wrt как-то опасно. Никогда этим не занимался. Насчет l2tp не знаю. 2. он максимум на 100мб/с 3. "вы - самое слабое звено. Прощайте!". Я опасаюсь, что его мощностей может не хватить на постоянную передачу кучи пакетов туда-сюда. Почти все файлы, включая аудио и видео на сервере хранятся же. +к тому вдруг он начнет тормозить, когда я, скажем, в mmo типа eve-online играю. Терять фан из-за слабенького роутера не хочется. 4. в сетевом фильтре рядом с сервером нет свободного разъема... 5. wifi-роутер появился сильно позже сервера В общем-то просто нужно будет много времени на то чтобы разобраться, перепрошить и потестировать. зачем пропускать всё через ещё одну машину?! Тем более форточную... Свободных ethernet-портов на сервере не оказалось (их всего-то два), pci-слотов под сетевую карту тоже. А windows-машина работает 24/7, в основном из-за eve-online и лени, так что... Почему бы нет? :) Кстати, почему "сервер" в кавычках? Домашний же. You will release your life Joining with the god damned world of the dead and the lonely.

zyamilon

# 8 лет, 10 месяцев назад

Темы: 6

Сообщения: 68

Участник с: 02 апреля 2012

Спасибо за ответ, попробую и отпишусь.
Т.е. мол пакет пакет внутри моей сети бъется, отправляется на vpn-сервер провайдера, тот не может его собрать/не понимает и отбрасывает?

1) Почему нельзя подключить всё через роутер? В нём нет Ethernet-свича или он не понимает L2TP?
2) Безотносительно роутера, зачем пропускать всё через ещё одну машину?! Тем более форточную... Тут у меня вообще не остаётся никаких рациональных объяснений.

Да, ваша сеть ужасна :)

Ну, так получилось по историческим причинам, а сейчас что-то менять если, то нужно много времени. Здесь ведь и веб-сервер есть еще, самба, днс, мониторинг, торренты... В общем, уже нельзя "вот так вот просто взять и понять ip-адреса".

Почему нельзя подключить всё через роутер? В нём нет Ethernet-свича или он не понимает L2TP?

1. не очень доверяю я ему, а перепрошивать с дефолтного на dd-wrt как-то опасно. Никогда этим не занимался. Насчет l2tp не знаю.
2. он максимум на 100мб/с
3. "вы - самое слабое звено. Прощайте!". Я опасаюсь, что его мощностей может не хватить на постоянную передачу кучи пакетов туда-сюда. Почти все файлы, включая аудио и видео на сервере хранятся же. +к тому вдруг он начнет тормозить, когда я, скажем, в mmo типа eve-online играю. Терять фан из-за слабенького роутера не хочется.
4. в сетевом фильтре рядом с сервером нет свободного разъема...
5. wifi-роутер появился сильно позже сервера
В общем-то просто нужно будет много времени на то чтобы разобраться, перепрошить и потестировать.

зачем пропускать всё через ещё одну машину?! Тем более форточную...

Свободных ethernet-портов на сервере не оказалось (их всего-то два), pci-слотов под сетевую карту тоже.
А windows-машина работает 24/7, в основном из-за eve-online и лени, так что... Почему бы нет? :)

Кстати, почему "сервер" в кавычках? Домашний же.

You will release your life
Joining with the god damned world of the dead and the lonely.

naszar	# 8 лет, 10 месяцев назад
Темы: 21 Сообщения: 507 Участник с: 24 сентября 2012	Нарыбачте на своем шлюзе пакетов со всех интерфейсов tcpdump -i any -w full_dump.cap (во время ловли желательна бурная сетевая деятельность на подключенных машинах). И выкладывайте этот full_dump.cap. А может и не понадобится... ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1456 eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 Возможно спасет правило: iptables -o ppp0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

naszar

# 8 лет, 10 месяцев назад

Темы: 21

Сообщения: 507

Участник с: 24 сентября 2012

Нарыбачте на своем шлюзе пакетов со всех интерфейсов

tcpdump -i any -w full_dump.cap

(во время ловли желательна бурная сетевая деятельность на подключенных машинах). И выкладывайте этот full_dump.cap.
А может и не понадобится...

ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1456

eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000

Возможно спасет правило:

iptables -o ppp0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Natrio	# 8 лет, 10 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	zyamilon пакет пакет внутри моей сети бъется, отправляется на vpn-сервер провайдера, тот не может его собрать/не понимает и отбрасывает? Примерно так. В этом случае вам поможет правило из предыдущего поста. он максимум на 100мб/с Неужели провайдер даёт вам скорость БОЛЬШЕ 100 мегабит/с? Я опасаюсь, что его мощностей может не хватить на постоянную передачу кучи пакетов туда-сюда. Почти все файлы, включая аудио и видео на сервере хранятся же. +к тому вдруг он начнет тормозить, когда я, скажем, в mmo типа eve-online играю. Терять фан из-за слабенького роутера не хочется. Если у роутера много Ethernet-портов, значит в него встроен СВИЧ. А пропускная способность свича никак не зависит от "слабенького" процессора роутера – пакеты LAN-LAN будут проходит ТОЛЬКО через свич, мимо процессора. Через процессор роутера идут пакеты из локалки к провайдеру, а скорость этого канала ограничена со стороны провайдера, и она заведомо ниже, чем внутри локалки. По-моему единственное, чего вам НЕ может дать этот роутер – ГИГАБИТНОГО канала ВНУТРИ локалки. Если таковой вам ДЕЙСТВИТЕЛЬНО нужен – обзаведитесь гигабитным свичем. В принципе, даже если вы не доверяете роутеру (тогда зачем было покупать, если не доверяете?), достаточно включить провайдера через ваш сервер (линуксовый), а остальное подключить к нему через отдельный свич, по желанию гигабитный.

Natrio

# 8 лет, 10 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

zyamilon
пакет пакет внутри моей сети бъется, отправляется на vpn-сервер провайдера, тот не может его собрать/не понимает и отбрасывает?

Примерно так. В этом случае вам поможет правило из предыдущего поста.

он максимум на 100мб/с

Неужели провайдер даёт вам скорость БОЛЬШЕ 100 мегабит/с?

Я опасаюсь, что его мощностей может не хватить на постоянную передачу кучи пакетов туда-сюда. Почти все файлы, включая аудио и видео на сервере хранятся же. +к тому вдруг он начнет тормозить, когда я, скажем, в mmo типа eve-online играю. Терять фан из-за слабенького роутера не хочется.

Если у роутера много Ethernet-портов, значит в него встроен СВИЧ. А пропускная способность свича никак не зависит от "слабенького" процессора роутера – пакеты LAN-LAN будут проходит ТОЛЬКО через свич, мимо процессора.

Через процессор роутера идут пакеты из локалки к провайдеру, а скорость этого канала ограничена со стороны провайдера, и она заведомо ниже, чем внутри локалки.

По-моему единственное, чего вам НЕ может дать этот роутер – ГИГАБИТНОГО канала ВНУТРИ локалки. Если таковой вам ДЕЙСТВИТЕЛЬНО нужен – обзаведитесь гигабитным свичем. В принципе, даже если вы не доверяете роутеру (тогда зачем было покупать, если не доверяете?), достаточно включить провайдера через ваш сервер (линуксовый), а остальное подключить к нему через отдельный свич, по желанию гигабитный.

zyamilon	# 8 лет, 10 месяцев назад
Темы: 6 Сообщения: 68 Участник с: 02 апреля 2012	Пинги с сервера: ┌─[[email protected]:ppp (13:41) !516] └─$ ping -s 1300 -c 10 linux.org.ru PING linux.org.ru (217.76.32.61) 1300(1328) bytes of data. 1308 bytes from linux.org.ru (217.76.32.61): icmp_seq=1 ttl=53 time=78.0 ms 1308 bytes from linux.org.ru (217.76.32.61): icmp_seq=2 ttl=53 time=77.9 ms --- linux.org.ru ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 9006ms rtt min/avg/max/mdev = 77.856/78.222/79.190/0.479 ms ┌─[[email protected]:ppp (13:42) !517] └─$ ping -s 1500 -c 10 linux.org.ru PING linux.org.ru (217.76.32.61) 1500(1528) bytes of data. 1508 bytes from linux.org.ru (217.76.32.61): icmp_seq=1 ttl=53 time=78.2 ms 1508 bytes from linux.org.ru (217.76.32.61): icmp_seq=2 ttl=53 time=79.0 ms --- linux.org.ru ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 8999ms rtt min/avg/max/mdev = 77.927/78.269/79.018/0.448 ms ┌─[[email protected]:ppp (13:42) !518] └─$ ping -s 2000 -c 10 linux.org.ru PING linux.org.ru (217.76.32.61) 2000(2028) bytes of data. 2008 bytes from linux.org.ru (217.76.32.61): icmp_seq=1 ttl=53 time=78.0 ms 2008 bytes from linux.org.ru (217.76.32.61): icmp_seq=2 ttl=53 time=78.4 ms --- linux.org.ru ping statistics --- 10 packets transmitted, 10 received, 0% packet loss, time 9006ms rtt min/avg/max/mdev = 78.087/78.976/82.075/1.245 ms ┌─[[email protected]:ppp (13:47) !520] └─$ ping -s 1500 -c 2 -M do linux.org.ru PING linux.org.ru (217.76.32.61) 1500(1528) bytes of data. From ares (109.198.250.47) icmp_seq=1 Frag needed and DF set (mtu = 1456) From ares (109.198.250.47) icmp_seq=1 Frag needed and DF set (mtu = 1456) --- linux.org.ru ping statistics --- 0 packets transmitted, 0 received, +2 errors В винде: 1, 2. Т.е. большие пакеты тоже проходят. Но может быть icmp как-то иначе обрабатываются и потому пропускаются? Ну в смысле вдруг некий человек настроил маршрутизатор провайдера так, что все пакеты свыше определнного (1456) будут дропаться, а icmp, т.к. они для отладки, будут пропускаться? Так, попробую, пожалуй, установить mtu в 1300. Между сервером и виндовой машиной. You will release your life Joining with the god damned world of the dead and the lonely.

zyamilon

# 8 лет, 10 месяцев назад

Темы: 6

Сообщения: 68

Участник с: 02 апреля 2012

Пинги с сервера:

┌─[[email protected]:ppp (13:41) !516]
└─$ ping -s 1300 -c 10 linux.org.ru
PING linux.org.ru (217.76.32.61) 1300(1328) bytes of data.
1308 bytes from linux.org.ru (217.76.32.61): icmp_seq=1 ttl=53 time=78.0 ms
1308 bytes from linux.org.ru (217.76.32.61): icmp_seq=2 ttl=53 time=77.9 ms
--- linux.org.ru ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9006ms
rtt min/avg/max/mdev = 77.856/78.222/79.190/0.479 ms
┌─[[email protected]:ppp (13:42) !517]
└─$ ping -s 1500 -c 10 linux.org.ru
PING linux.org.ru (217.76.32.61) 1500(1528) bytes of data.
1508 bytes from linux.org.ru (217.76.32.61): icmp_seq=1 ttl=53 time=78.2 ms
1508 bytes from linux.org.ru (217.76.32.61): icmp_seq=2 ttl=53 time=79.0 ms
--- linux.org.ru ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 8999ms
rtt min/avg/max/mdev = 77.927/78.269/79.018/0.448 ms
┌─[[email protected]:ppp (13:42) !518]
└─$ ping -s 2000 -c 10 linux.org.ru
PING linux.org.ru (217.76.32.61) 2000(2028) bytes of data.
2008 bytes from linux.org.ru (217.76.32.61): icmp_seq=1 ttl=53 time=78.0 ms
2008 bytes from linux.org.ru (217.76.32.61): icmp_seq=2 ttl=53 time=78.4 ms
--- linux.org.ru ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9006ms
rtt min/avg/max/mdev = 78.087/78.976/82.075/1.245 ms
┌─[[email protected]:ppp (13:47) !520]
└─$ ping -s 1500 -c 2 -M do linux.org.ru
PING linux.org.ru (217.76.32.61) 1500(1528) bytes of data.
From ares (109.198.250.47) icmp_seq=1 Frag needed and DF set (mtu = 1456)
From ares (109.198.250.47) icmp_seq=1 Frag needed and DF set (mtu = 1456)
--- linux.org.ru ping statistics ---
0 packets transmitted, 0 received, +2 errors

В винде:
1, 2. Т.е. большие пакеты тоже проходят. Но может быть icmp как-то иначе обрабатываются и потому пропускаются?
Ну в смысле вдруг некий человек настроил маршрутизатор провайдера так, что все пакеты свыше определнного (1456) будут дропаться, а icmp, т.к. они для отладки, будут пропускаться?

Так, попробую, пожалуй, установить mtu в 1300. Между сервером и виндовой машиной.

You will release your life
Joining with the god damned world of the dead and the lonely.

zyamilon	# 8 лет, 10 месяцев назад
Темы: 6 Сообщения: 68 Участник с: 02 апреля 2012	Неужели провайдер даёт вам скорость БОЛЬШЕ 100 мегабит/с? Нет. У меня просто между сервером и вин-машиной гигабит. Ну для фильмов, музыки и прочего. тогда зачем было покупать, если не доверяете? Ну как, wifi же. You will release your life Joining with the god damned world of the dead and the lonely.

zyamilon

# 8 лет, 10 месяцев назад

Темы: 6

Сообщения: 68

Участник с: 02 апреля 2012

Неужели провайдер даёт вам скорость БОЛЬШЕ 100 мегабит/с?

Нет. У меня просто между сервером и вин-машиной гигабит. Ну для фильмов, музыки и прочего.

тогда зачем было покупать, если не доверяете?

Ну как, wifi же.

You will release your life
Joining with the god damned world of the dead and the lonely.

domov0y	# 8 лет, 10 месяцев назад
Темы: 5 Сообщения: 819 Участник с: 09 июля 2011	Всего лишь?! "На что только русские не пойдут лишь бы дороги не делать"(из анекдота) Вроде бы превращение машины в точку доступа это давно не секрет. И усилий надо совсем немного. https://wiki.archlinux.org/index.php/Software_Access_Point Да пребудет с вами знание ip адреса

domov0y

# 8 лет, 10 месяцев назад

Темы: 5

Сообщения: 819

Участник с: 09 июля 2011

Всего лишь?! "На что только русские не пойдут лишь бы дороги не делать"(из анекдота)
Вроде бы превращение машины в точку доступа это давно не секрет. И усилий надо совсем немного.

https://wiki.archlinux.org/index.php/Software_Access_Point

Да пребудет с вами знание ip адреса

Natrio	# 8 лет, 10 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	zyamilon пинги с сервера С сервера у вас и так всё работает. Проверять надо НЕ с сервера (его собственные исходящие в туннель изначально имеют MTU туннеля и не фрагментируются в принципе), а из локалки, с других машин ЧЕРЕЗ него – именно в этом случае происходят ошибки фрагментации. попробую, пожалуй, установить mtu в 1300 Вам уже объяснили, что нужно сделать, правило готовое написали для согласования фрагментации пакетов. Но вы почему-то решили занизить MTU локалки, пропускной способностью которой вы так дорожите, причём НЕ ВСЕЙ, а только одной линии.

Natrio

# 8 лет, 10 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

zyamilon
пинги с сервера

С сервера у вас и так всё работает.
Проверять надо НЕ с сервера (его собственные исходящие в туннель изначально имеют MTU туннеля и не фрагментируются в принципе), а из локалки, с других машин ЧЕРЕЗ него – именно в этом случае происходят ошибки фрагментации.

попробую, пожалуй, установить mtu в 1300

Вам уже объяснили, что нужно сделать, правило готовое написали для согласования фрагментации пакетов. Но вы почему-то решили занизить MTU локалки, пропускной способностью которой вы так дорожите, причём НЕ ВСЕЙ, а только одной линии.

zyamilon	# 8 лет, 10 месяцев назад
Темы: 6 Сообщения: 68 Участник с: 02 апреля 2012	Всего лишь?! "На что только русские не пойдут лишь бы дороги не делать"(из анекдота) Ну да, плюс в познавательных целях. Я раньше никогда с такими устройствами дела не имел. Даже свитча небыло никогда. И оно ведь pci-слот требует, а их (свободных) нет. Вообще все эти wifi мне казались очень-очень сложными, потому был куплен простенький роутер. Благо, не корова ведь по цене. Мама довольна и хорошо же. За ссылку спасибо, ознакомлюсь непременно. его собственные исходящие в туннель изначально имеют MTU туннеля и не фрагментируются в принципе Хм, не знал. Вам уже объяснили, что нужно сделать, правило готовое написали для согласования фрагментации пакетов. Но вы почему-то решили занизить MTU локалки, пропускной способностью которой вы так дорожите, причём НЕ ВСЕЙ, а только одной линии. Ну а как иначе? Я перед операцией использовал правило, перезагрузил iptables, но не помогло. К тому же, оно сложное, для цепочки forward и я пока не понимаю его. Нужно почитать мануал. И, возможно, мне нужно было создать доп. правило для eth0. Разберемся... iptables -o eth0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu А тем временем... ┌─[[email protected]:network.d (14:35) !534] └─$ ip link set dev eth0 mtu 1300 RTNETLINK answers: Operation not permitted ┌─[[email protected]:network.d (14:36) !535] └─$ sudo ip link set dev eth0 mtu 1300 [sudo] password for zyama: ┌─[[email protected]:network.d (14:36) !536] └─$ ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1300 qdisc pfifo_fast state UP mode DEFAULT qlen 1000 link/ether b0:48:7a:80:06:90 brd ff:ff:ff:ff:ff:ff 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000 link/ether 00:17:31:93:43:63 brd ff:ff:ff:ff:ff:ff 12: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1456 qdisc pfifo_fast state UNKNOWN mode DEFAULT qlen 3 link/ppp , вот так и бинго! Да, это костыль и так жить нельзя, будем адаптировать правило. Но хоть что-то! Теперь магия развеяна. Это еще не конец, но ОГРОМНОЕ спасибо, ребята! ^__^ Зачем кому-то нужно было mtu - не ясно. Оптимизация нагрузок? Если у роутера много Ethernet-портов, значит в него встроен СВИЧ. А пропускная способность свича никак не зависит от "слабенького" процессора роутера – пакеты LAN-LAN будут проходит ТОЛЬКО через свич, мимо процессора. Спасибо, успокоили. а остальное подключить к нему через отдельный свич, по желанию гигабитный Ну это минус розетка же и доп. устройство -> пыль. Тем не менее, привести сеть в порядок нужно будет. А как быть, если роутер не осилит l2tp? Можно будет бридж сделать или как так его? You will release your life Joining with the god damned world of the dead and the lonely.

zyamilon

# 8 лет, 10 месяцев назад

Темы: 6

Сообщения: 68

Участник с: 02 апреля 2012

Всего лишь?! "На что только русские не пойдут лишь бы дороги не делать"(из анекдота)

Ну да, плюс в познавательных целях. Я раньше никогда с такими устройствами дела не имел. Даже свитча небыло никогда.
И оно ведь pci-слот требует, а их (свободных) нет. Вообще все эти wifi мне казались очень-очень сложными, потому был куплен простенький роутер. Благо, не корова ведь по цене.
Мама довольна и хорошо же.
За ссылку спасибо, ознакомлюсь непременно.

его собственные исходящие в туннель изначально имеют MTU туннеля и не фрагментируются в принципе

Хм, не знал.

Вам уже объяснили, что нужно сделать, правило готовое написали для согласования фрагментации пакетов. Но вы почему-то решили занизить MTU локалки, пропускной способностью которой вы так дорожите, причём НЕ ВСЕЙ, а только одной линии.

Ну а как иначе? Я перед операцией использовал правило, перезагрузил iptables, но не помогло. К тому же, оно сложное, для цепочки forward и я пока не понимаю его. Нужно почитать мануал. И, возможно, мне нужно было создать доп. правило для eth0. Разберемся...

iptables -o eth0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

А тем временем...

┌─[[email protected]:network.d (14:35) !534]
└─$ ip link set dev eth0 mtu 1300
RTNETLINK answers: Operation not permitted
┌─[[email protected]:network.d (14:36) !535]
└─$ sudo ip link set dev eth0 mtu 1300
[sudo] password for zyama:
┌─[[email protected]:network.d (14:36) !536]
└─$ ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1300 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
    link/ether b0:48:7a:80:06:90 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
    link/ether 00:17:31:93:43:63 brd ff:ff:ff:ff:ff:ff
12: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1456 qdisc pfifo_fast state UNKNOWN mode DEFAULT qlen 3
    link/ppp

, вот так и бинго!

Да, это костыль и так жить нельзя, будем адаптировать правило. Но хоть что-то! Теперь магия развеяна. Это еще не конец, но ОГРОМНОЕ спасибо, ребята! ^__^
Зачем кому-то нужно было mtu - не ясно. Оптимизация нагрузок?

Если у роутера много Ethernet-портов, значит в него встроен СВИЧ. А пропускная способность свича никак не зависит от "слабенького" процессора роутера – пакеты LAN-LAN будут проходит ТОЛЬКО через свич, мимо процессора.

Спасибо, успокоили.

а остальное подключить к нему через отдельный свич, по желанию гигабитный

Ну это минус розетка же и доп. устройство -> пыль.
Тем не менее, привести сеть в порядок нужно будет.
А как быть, если роутер не осилит l2tp? Можно будет бридж сделать или как так его?

You will release your life
Joining with the god damned world of the dead and the lonely.