[сервер] Машины домашней сети не получают http-траффик

Natrio	# 8 лет, 10 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	zyamilon А как быть, если роутер не осилит l2tp? Можно будет бридж сделать или как так его? Либо перешивать, чтобы осилил, либо подключать его через линуксовый сервер. Помнится, вам предлагали так: iptables -o ppp0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu А вы сделали так: iptables -o eth0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Зачем поменяли интерфейс на локалку? Вам надо именно для туннеля MTU согласовывать. В принципе, можно вообще убрать из правила упоминание интерфейса.

# 8 лет, 10 месяцев назад

Сообщения: 4763

Участник с: 08 января 2011

zyamilon
А как быть, если роутер не осилит l2tp? Можно будет бридж сделать или как так его?

Либо перешивать, чтобы осилил, либо подключать его через линуксовый сервер.

Помнится, вам предлагали так:

iptables -o ppp0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

А вы сделали так:

iptables -o eth0 -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Зачем поменяли интерфейс на локалку? Вам надо именно для туннеля MTU согласовывать. В принципе, можно вообще убрать из правила упоминание интерфейса.

zyamilon	# 8 лет, 10 месяцев назад
Темы: 6 Сообщения: 68 Участник с: 02 апреля 2012	Я не менял и воткнул как было. Но не помогло. Потому думаю, что нужно добавить eth0. You will release your life Joining with the god damned world of the dead and the lonely.

zyamilon	# 8 лет, 10 месяцев назад
Темы: 6 Сообщения: 68 Участник с: 02 апреля 2012	Ого! Некто переместил мою тему в нужный раздел. Чтож, благодарю :) Итак, я собрался с духом и перепрошил роутер. Всё прошло успешно и теперь там dd-wrt, доверия к которой больше. К тому же, больше возможностей и терминал через ssh можно будет сделать. Тем не менее, сеть всё равно думаю делать как писал Натрио: Natrio В принципе, даже если вы не доверяете роутеру (тогда зачем было покупать, если не доверяете?), достаточно включить провайдера через ваш сервер (линуксовый), а остальное подключить к нему через отдельный свич, по желанию гигабитный. , только свитч будет от етого роутера. Накатал схемку. Что скажете? (в серых прямоугольниках не разные устройства, а один роутер). 2 lan-порта останутся свободными. Ну, мало ли... wan-порт в такой сети пуст. Верно же? По поводу "гостевой wifi-сети" - есть мысли каким-то образом (vlan?) сделать доп. wifi-сеть для гостей силами всё того же роутера. Друзья/дяди/тёти приезжают, просят "вифи". Каждому давать длиннющий пароль и открывать доступ к внутренней сети неудобно. А так простенькие пароли будут и огороженная сеть. -- И еще момент - перед вставкой того волшебного правила для iptables старые правила маскарадинга нужно было удалить же? -A POSTROUTING -o ppp0 -j MASQUERADE -A POSTROUTING -o eth1 -j MASQUERADE You will release your life Joining with the god damned world of the dead and the lonely.

zyamilon

# 8 лет, 10 месяцев назад

Темы: 6

Сообщения: 68

Участник с: 02 апреля 2012

Ого! Некто переместил мою тему в нужный раздел. Чтож, благодарю :)

Итак, я собрался с духом и перепрошил роутер. Всё прошло успешно и теперь там dd-wrt, доверия к которой больше. К тому же, больше возможностей и терминал через ssh можно будет сделать.
Тем не менее, сеть всё равно думаю делать как писал Натрио:

Natrio
В принципе, даже если вы не доверяете роутеру (тогда зачем было покупать, если не доверяете?), достаточно включить провайдера через ваш сервер (линуксовый), а остальное подключить к нему через отдельный свич, по желанию гигабитный.

, только свитч будет от етого роутера.

Накатал схемку.
Что скажете? (в серых прямоугольниках не разные устройства, а один роутер).
2 lan-порта останутся свободными. Ну, мало ли...
wan-порт в такой сети пуст. Верно же?

По поводу "гостевой wifi-сети" - есть мысли каким-то образом (vlan?) сделать доп. wifi-сеть для гостей силами всё того же роутера. Друзья/дяди/тёти приезжают, просят "вифи". Каждому давать длиннющий пароль и открывать доступ к внутренней сети неудобно. А так простенькие пароли будут и огороженная сеть.
--
И еще момент - перед вставкой того волшебного правила для iptables старые правила маскарадинга нужно было удалить же?

-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE

You will release your life
Joining with the god damned world of the dead and the lonely.

Natrio	# 8 лет, 10 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Маскарадинг не имеет никакого отношения к MTU, ничего не надо удалять. Другое дело, что у вас маскарадинг по этим правилам тотальный, и зачем-то в обе стороны. По-хорошему, надо применять его избирательно, только к пакетам, идущим с адресов локалки в интернет: iptables -t nat -A POSTROUTING -s 192.168/16 ! -d 192.168/16 -j MASQUERADE

Natrio

# 8 лет, 10 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Маскарадинг не имеет никакого отношения к MTU, ничего не надо удалять.
Другое дело, что у вас маскарадинг по этим правилам тотальный, и зачем-то в обе стороны.
По-хорошему, надо применять его избирательно, только к пакетам, идущим с адресов локалки в интернет:

iptables -t nat -A POSTROUTING -s 192.168/16 ! -d 192.168/16 -j MASQUERADE

zyamilon	# 8 лет, 10 месяцев назад
Темы: 6 Сообщения: 68 Участник с: 02 апреля 2012	Оу... Спасибо! А по сети что-нибудь можете сказать? Нормальная схема? You will release your life Joining with the god damned world of the dead and the lonely.