[сервер] Машины домашней сети не получают http-траффик

Доброго времени суток!
Ребята, нужна помощь. Я уже просто не знаю куда копать дальше.

Имеется несколько по-дурацки построенная домашняя сеть. Камни за ip прошу не бросать, так вышло по историческим и виндовым причинам.
Объясню кратко схему - имеется сервер на арче (192.138.137.11), который получает интернет от провайдера через vpn (l2tp) и раздает его дальше, домашнюю сеть. Сам сервер является также фаерволлом, сид-боксом, файлохранилкой и прочим-прочим.

Года 2 он раздавал себе всё спокойненько и вот недавно произошло нечто ужасное. Придя домой с работы я обнаружил, что ни одна http-страничка с windows-машины и далее в домашней сети (с ноутбуков и проч. устройст) не открывается, хотя всё прекрасно пингуется и резольвится. Перезагрузился - не помогло. Сделал апдейт - тоже.
На сервере при этом сайты открываются.

Так и не осилив проблему, я временно вернулся к старой-старой конфигурации (воткнул сетевой кабель в windows-машину).

-----
Итак, схема домашней сети. Я не художник и не инженер, потому сделал так, как смог. :)

Далее, настройки сети на сервере. Здесь всё хорошо, всё пингуется, в браузере на сервере (у меня там xbmc еще, так что наличию гуи не удивляйтесь) сайты открываются.
┌─[[email protected]:~ (09:24) !508]
└─$ uname -a
Linux ares 3.11.5-1-ARCH #1 SMP PREEMPT Mon Oct 14 08:49:01 CEST 2013 i686 GNU/Linux
┌─[[email protected]:~ (09:24) !509]
└─$ ifconfig -a
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.137.11  netmask 255.255.255.0  broadcast 192.168.137.255
        inet6 fe80::b248:7aff:fe80:690  prefixlen 64  scopeid 0x20<link>
        ether b0:48:7a:80:06:90  txqueuelen 1000  (Ethernet)
        RX packets 15530564  bytes 15530496470 (14.4 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 13711472  bytes 17325217405 (16.1 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.17.23.29  netmask 255.255.255.0  broadcast 10.17.23.255
        inet6 fe80::217:31ff:fe93:4363  prefixlen 64  scopeid 0x20<link>
        ether 00:17:31:93:43:63  txqueuelen 1000  (Ethernet)
        RX packets 671432  bytes 208621798 (198.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 972317  bytes 641053591 (611.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Local Loopback)
        RX packets 9234529  bytes 1281643596 (1.1 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 9234529  bytes 1281643596 (1.1 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1456
        inet 109.*.*.*  netmask 255.255.255.255  destination *.*.*.*
        ppp  txqueuelen 3  (Point-to-Point Protocol)
        RX packets 1091  bytes 177783 (173.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1236  bytes 154118 (150.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
┌─[[email protected]:~ (09:24) !510]
└─$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether b0:48:7a:80:06:90 brd ff:ff:ff:ff:ff:ff
    inet 192.168.137.11/24 brd 192.168.137.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::b248:7aff:fe80:690/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:17:31:93:43:63 brd ff:ff:ff:ff:ff:ff
    inet 10.17.23.29/24 brd 10.17.23.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::217:31ff:fe93:4363/64 scope link
       valid_lft forever preferred_lft forever
11: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1456 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 109.*.*.* peer 78.*.*.*/32 scope global ppp0
       valid_lft forever preferred_lft forever
┌─[[email protected]:~ (09:25) !511]
└─$ ip ro
default dev ppp0  scope link
10.0.0.0/8 via 10.17.23.1 dev eth1
10.0.100.42 via 10.17.23.1 dev eth1
10.17.23.0/24 dev eth1  proto kernel  scope link  src 10.17.23.29
78.*.*.* dev ppp0  proto kernel  scope link  src 109.*.*.*
192.168.137.0/24 dev eth0  proto kernel  scope link  src 192.168.137.11
┌─[[email protected]:~ (09:27) !520]
└─$ ping habrahabr.ru
PING habrahabr.ru (212.24.43.46) 56(84) bytes of data.
64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=1 ttl=117 time=31.1 ms
64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=2 ttl=117 time=31.0 ms
64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=3 ttl=117 time=30.9 ms
64 bytes from front-bri.habrahabr.ru (212.24.43.46): icmp_seq=4 ttl=117 time=30.8 ms
^C
--- habrahabr.ru ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 30.889/31.017/31.131/0.234 ms
iptables. Упростил конфиг. Здесь тоже вроде как всё хорошо. Если iptables выключить, то машины домашей сети даже пинговать внешние ресурсы не смогут.
┌─[[email protected]:~ (09:25) !512]
└─$ cat /proc/sys/net/ipv4/ip_forward
1
┌─[[email protected]:~ (09:25) !513]
└─$ sudo systemctl status iptables
[sudo] password for zyama:
iptables.service - Packet Filtering Framework
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled)
   Active: active (exited) since Вт 2013-10-29 07:09:23 YEKT; 2h 16min ago
  Process: 5069 ExecStop=/usr/lib/systemd/scripts/iptables-flush (code=exited, status=0/SUCCESS)
  Process: 5072 ExecStart=/usr/bin/iptables-restore /etc/iptables/iptables.rules (code=exited, status=0/SUCCESS)
 Main PID: 5072 (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/iptables.service
окт 29 07:09:23 ares systemd[1]: Starting Packet Filtering Framework...
окт 29 07:09:23 ares systemd[1]: Started Packet Filtering Framework.
┌─[[email protected]:~ (09:26) !514]
└─$ sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
open       all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere             tcp dpt:8092
DROP       tcp  --  anywhere             anywhere             tcp dpt:zabbix-agent
DROP       udp  --  anywhere             anywhere             udp dpt:domain
DROP       tcp  --  anywhere             anywhere             tcp dpt:domain
DROP       tcp  --  anywhere             anywhere             tcp dpt:svn
DROP       udp  --  anywhere             anywhere             udp dpt:svn
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain open (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:10443
ACCEPT     udp  --  anywhere             anywhere             udp dpt:10443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:6881:6887
ACCEPT     udp  --  anywhere             anywhere             udp dpts:6881:6887
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:52000:53000
ACCEPT     udp  --  anywhere             anywhere             udp dpts:52000:53000
┌─[[email protected]:~ (09:26) !515]
└─$ sudo iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
┌─[[email protected]:~ (09:27) !519]
└─$ sudo iptables -S
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N open
-A INPUT -i eth1
-A INPUT -i eth1
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j open
-A INPUT -p tcp -m tcp --dport 8092 -j DROP
-A INPUT -p tcp -m tcp --dport 10050 -j DROP
-A INPUT -p udp -m udp --dport 53 -j DROP
-A INPUT -p tcp -m tcp --dport 53 -j DROP
-A INPUT -p tcp -m tcp --dport 3690 -j DROP
-A INPUT -p udp -m udp --dport 3690 -j DROP
-A open -p tcp -m tcp --dport 10443 -j ACCEPT
-A open -p udp -m udp --dport 10443 -j ACCEPT
-A open -p tcp -m tcp --dport 80 -j ACCEPT
-A open -p tcp -m tcp --dport 6881:6887 -j ACCEPT
-A open -p udp -m udp --dport 6881:6887 -j ACCEPT
-A open -p tcp -m tcp --dport 52000:53000 -j ACCEPT
-A open -p udp -m udp --dport 52000:53000 -j ACCEPT
┌─[[email protected]:~ (09:26) !518]
└─$ sudo iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE

Далее windows-машина. Единственная, которая 192.168.137.1.
  • маршруты. Т.е. дефолтно через arch-сервер.
  • попробуем пропинговать linux.org.ru . Тоже всё хорошо, ресурс пингуется и резольвится (впн-сервером провайдера).
  • А теперь мистика, магия и паранормальные явления. Из браузера linux.org.ru, хабр, википедия и прочие сайты не открываются. Просто идёт загрузка странички и всё. Если попробовать скачать что-то вигетом, получаем следующее.
    При этом yandex.ru, который у провайдера видимо локален, а также провайдерские сайты открываются, скайп работает (т.е. использует какие-то ноды, насколько мне известно).
  • Недавно на место компьютера с win7 ради проверки поставил ноутбук с арчем. Тоже самое. Т.е. проблема либо в моем сервере, либо в оборудовании провайдера, либо магия.
  • Прокси-серверов у меня нет.

1. Что делать? Куда копать?
2. Звонил в провайдера, спрашивал мб они что-то сделали со своим оборудованием и теперь такие домашние сети блокируют. Ответили что нет, таким не занимаются. И всё же, могли ли они как-то сделать это? Реально ли так блокировать nat?

p.s. пост вышел длинный, уж извините. Я постарался собрать нужную информацию, чтобы было нагляднее.
You will release your life
Joining with the god damned world of the dead and the lonely.
Попробуйте из локальной сети пинговать те же сайты, только с увеличенным размером пакета.
Возможно, у вас проблемы с фрагментацией пакетов из-за не настроенного на вашем "сервере" согласования MTU локалки и L2TP.

P.S.
Да, ваша сеть ужасна :)
1) Почему нельзя подключить всё через роутер? В нём нет Ethernet-свича или он не понимает L2TP?
2) Безотносительно роутера, зачем пропускать всё через ещё одну машину?! Тем более форточную... Тут у меня вообще не остаётся никаких рациональных объяснений.
Спасибо за ответ, попробую и отпишусь.
Т.е. мол пакет пакет внутри моей сети бъется, отправляется на vpn-сервер провайдера, тот не может его собрать/не понимает и отбрасывает?

1) Почему нельзя подключить всё через роутер? В нём нет Ethernet-свича или он не понимает L2TP?
2) Безотносительно роутера, зачем пропускать всё через ещё одну машину?! Тем более форточную... Тут у меня вообще не остаётся никаких рациональных объяснений.
Да, ваша сеть ужасна :)
Ну, так получилось по историческим причинам, а сейчас что-то менять если, то нужно много времени. Здесь ведь и веб-сервер есть еще, самба, днс, мониторинг, торренты... В общем, уже нельзя "вот так вот просто взять и понять ip-адреса".
Почему нельзя подключить всё через роутер? В нём нет Ethernet-свича или он не понимает L2TP?
1. не очень доверяю я ему, а перепрошивать с дефолтного на dd-wrt как-то опасно. Никогда этим не занимался. Насчет l2tp не знаю.
2. он максимум на 100мб/с
3. "вы - самое слабое звено. Прощайте!". Я опасаюсь, что его мощностей может не хватить на постоянную передачу кучи пакетов туда-сюда. Почти все файлы, включая аудио и видео на сервере хранятся же. +к тому вдруг он начнет тормозить, когда я, скажем, в mmo типа eve-online играю. Терять фан из-за слабенького роутера не хочется.
4. в сетевом фильтре рядом с сервером нет свободного разъема...
5. wifi-роутер появился сильно позже сервера
В общем-то просто нужно будет много времени на то чтобы разобраться, перепрошить и потестировать.
зачем пропускать всё через ещё одну машину?! Тем более форточную...
Свободных ethernet-портов на сервере не оказалось (их всего-то два), pci-слотов под сетевую карту тоже.
А windows-машина работает 24/7, в основном из-за eve-online и лени, так что... Почему бы нет? :)

Кстати, почему "сервер" в кавычках? Домашний же.
You will release your life
Joining with the god damned world of the dead and the lonely.
Нарыбачте на своем шлюзе пакетов со всех интерфейсов
tcpdump -i any -w full_dump.cap
(во время ловли желательна бурная сетевая деятельность на подключенных машинах). И выкладывайте этот full_dump.cap.
А может и не понадобится...
ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1456
eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
Возможно спасет правило:
iptables -o ppp0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
zyamilon
пакет пакет внутри моей сети бъется, отправляется на vpn-сервер провайдера, тот не может его собрать/не понимает и отбрасывает?
Примерно так. В этом случае вам поможет правило из предыдущего поста.

он максимум на 100мб/с
Неужели провайдер даёт вам скорость БОЛЬШЕ 100 мегабит/с?
Я опасаюсь, что его мощностей может не хватить на постоянную передачу кучи пакетов туда-сюда. Почти все файлы, включая аудио и видео на сервере хранятся же. +к тому вдруг он начнет тормозить, когда я, скажем, в mmo типа eve-online играю. Терять фан из-за слабенького роутера не хочется.
Если у роутера много Ethernet-портов, значит в него встроен СВИЧ. А пропускная способность свича никак не зависит от "слабенького" процессора роутера – пакеты LAN-LAN будут проходит ТОЛЬКО через свич, мимо процессора.

Через процессор роутера идут пакеты из локалки к провайдеру, а скорость этого канала ограничена со стороны провайдера, и она заведомо ниже, чем внутри локалки.

По-моему единственное, чего вам НЕ может дать этот роутер – ГИГАБИТНОГО канала ВНУТРИ локалки. Если таковой вам ДЕЙСТВИТЕЛЬНО нужен – обзаведитесь гигабитным свичем. В принципе, даже если вы не доверяете роутеру (тогда зачем было покупать, если не доверяете?), достаточно включить провайдера через ваш сервер (линуксовый), а остальное подключить к нему через отдельный свич, по желанию гигабитный.
Пинги с сервера:
┌─[[email protected]:ppp (13:41) !516]
└─$ ping -s 1300 -c 10 linux.org.ru
PING linux.org.ru (217.76.32.61) 1300(1328) bytes of data.
1308 bytes from linux.org.ru (217.76.32.61): icmp_seq=1 ttl=53 time=78.0 ms
1308 bytes from linux.org.ru (217.76.32.61): icmp_seq=2 ttl=53 time=77.9 ms
--- linux.org.ru ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9006ms
rtt min/avg/max/mdev = 77.856/78.222/79.190/0.479 ms
┌─[[email protected]:ppp (13:42) !517]
└─$ ping -s 1500 -c 10 linux.org.ru
PING linux.org.ru (217.76.32.61) 1500(1528) bytes of data.
1508 bytes from linux.org.ru (217.76.32.61): icmp_seq=1 ttl=53 time=78.2 ms
1508 bytes from linux.org.ru (217.76.32.61): icmp_seq=2 ttl=53 time=79.0 ms
--- linux.org.ru ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 8999ms
rtt min/avg/max/mdev = 77.927/78.269/79.018/0.448 ms
┌─[[email protected]:ppp (13:42) !518]
└─$ ping -s 2000 -c 10 linux.org.ru
PING linux.org.ru (217.76.32.61) 2000(2028) bytes of data.
2008 bytes from linux.org.ru (217.76.32.61): icmp_seq=1 ttl=53 time=78.0 ms
2008 bytes from linux.org.ru (217.76.32.61): icmp_seq=2 ttl=53 time=78.4 ms
--- linux.org.ru ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9006ms
rtt min/avg/max/mdev = 78.087/78.976/82.075/1.245 ms
┌─[[email protected]:ppp (13:47) !520]
└─$ ping -s 1500 -c 2 -M do linux.org.ru
PING linux.org.ru (217.76.32.61) 1500(1528) bytes of data.
From ares (109.198.250.47) icmp_seq=1 Frag needed and DF set (mtu = 1456)
From ares (109.198.250.47) icmp_seq=1 Frag needed and DF set (mtu = 1456)
--- linux.org.ru ping statistics ---
0 packets transmitted, 0 received, +2 errors
В винде:
1, 2. Т.е. большие пакеты тоже проходят. Но может быть icmp как-то иначе обрабатываются и потому пропускаются?
Ну в смысле вдруг некий человек настроил маршрутизатор провайдера так, что все пакеты свыше определнного (1456) будут дропаться, а icmp, т.к. они для отладки, будут пропускаться?

Так, попробую, пожалуй, установить mtu в 1300. Между сервером и виндовой машиной.
You will release your life
Joining with the god damned world of the dead and the lonely.
Неужели провайдер даёт вам скорость БОЛЬШЕ 100 мегабит/с?
Нет. У меня просто между сервером и вин-машиной гигабит. Ну для фильмов, музыки и прочего.

тогда зачем было покупать, если не доверяете?
Ну как, wifi же.
You will release your life
Joining with the god damned world of the dead and the lonely.
Всего лишь?! "На что только русские не пойдут лишь бы дороги не делать"(из анекдота)
Вроде бы превращение машины в точку доступа это давно не секрет. И усилий надо совсем немного.

https://wiki.archlinux.org/index.php/Software_Access_Point
Да пребудет с вами знание ip адреса
zyamilon
пинги с сервера
С сервера у вас и так всё работает.
Проверять надо НЕ с сервера (его собственные исходящие в туннель изначально имеют MTU туннеля и не фрагментируются в принципе), а из локалки, с других машин ЧЕРЕЗ него – именно в этом случае происходят ошибки фрагментации.

попробую, пожалуй, установить mtu в 1300
Вам уже объяснили, что нужно сделать, правило готовое написали для согласования фрагментации пакетов. Но вы почему-то решили занизить MTU локалки, пропускной способностью которой вы так дорожите, причём НЕ ВСЕЙ, а только одной линии.
Всего лишь?! "На что только русские не пойдут лишь бы дороги не делать"(из анекдота)
Ну да, плюс в познавательных целях. Я раньше никогда с такими устройствами дела не имел. Даже свитча небыло никогда.
И оно ведь pci-слот требует, а их (свободных) нет. Вообще все эти wifi мне казались очень-очень сложными, потому был куплен простенький роутер. Благо, не корова ведь по цене.
Мама довольна и хорошо же.
За ссылку спасибо, ознакомлюсь непременно.
его собственные исходящие в туннель изначально имеют MTU туннеля и не фрагментируются в принципе
Хм, не знал.

Вам уже объяснили, что нужно сделать, правило готовое написали для согласования фрагментации пакетов. Но вы почему-то решили занизить MTU локалки, пропускной способностью которой вы так дорожите, причём НЕ ВСЕЙ, а только одной линии.
Ну а как иначе? Я перед операцией использовал правило, перезагрузил iptables, но не помогло. К тому же, оно сложное, для цепочки forward и я пока не понимаю его. Нужно почитать мануал. И, возможно, мне нужно было создать доп. правило для eth0. Разберемся...
iptables -o eth0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
А тем временем...
┌─[[email protected]:network.d (14:35) !534]
└─$ ip link set dev eth0 mtu 1300
RTNETLINK answers: Operation not permitted
┌─[[email protected]:network.d (14:36) !535]
└─$ sudo ip link set dev eth0 mtu 1300
[sudo] password for zyama:
┌─[[email protected]:network.d (14:36) !536]
└─$ ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1300 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
    link/ether b0:48:7a:80:06:90 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
    link/ether 00:17:31:93:43:63 brd ff:ff:ff:ff:ff:ff
12: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1456 qdisc pfifo_fast state UNKNOWN mode DEFAULT qlen 3
    link/ppp 
, вот так и бинго!

Да, это костыль и так жить нельзя, будем адаптировать правило. Но хоть что-то! Теперь магия развеяна. Это еще не конец, но ОГРОМНОЕ спасибо, ребята! ^__^
Зачем кому-то нужно было mtu - не ясно. Оптимизация нагрузок?

Если у роутера много Ethernet-портов, значит в него встроен СВИЧ. А пропускная способность свича никак не зависит от "слабенького" процессора роутера – пакеты LAN-LAN будут проходит ТОЛЬКО через свич, мимо процессора.
Спасибо, успокоили.
а остальное подключить к нему через отдельный свич, по желанию гигабитный
Ну это минус розетка же и доп. устройство -> пыль.
Тем не менее, привести сеть в порядок нужно будет.
А как быть, если роутер не осилит l2tp? Можно будет бридж сделать или как так его?
You will release your life
Joining with the god damned world of the dead and the lonely.
 
Зарегистрироваться или войдите чтобы оставить сообщение.