Проблема настройки шлюз+pptp-клиент

[Alex_SS]

Добрый день уважаемые форумчане.

Задача - раздавать интернет на сеть. Поставил ubuntu server. Включил шлюз, в таблах вписал маскарад. Настроил pptp клиент, соединение поднимается. Прописал дефолтный маршрут через ppp0 на сервак провайдера vpn.set.ru.

Суть проблемы:
На машинах внутри сети открываются не все страницы. т.е. например mail.ru открывается, а допустим страничка новостей на mail.ru уже не открывается на других сайтах то же. Аналогичная проблема с локальным сайтом провайдера - в половину разделов получается зайти, в половину нет.

Любый имена ресолвятся без проблем. В таблах записан только маскарад.

Заранее спасибо за помощь.

[vasilisc]

не открывается всегда одно и тоже или случайно?
в свойствах pptp сервера указан MTU и какое значение?

[Alex_SS]

Не открывается ubuntu.ru, vk.com, google.com и много чего еще. mail.ru - все нормально, news.mail.ru - не открывает.

mtu на сервере провайдера? Намекаете на Оверсайз?

Добавил параметр mtu 1400 в файл /etc/ppp/peers/myprov ситуация не изменилась.

[vasilisc]

может попробовать отключить IPv6?
раз сообщество не откликается и не помогает.

[Alex_SS]

Стесняюсь спросить как?

[fisher74]

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu
ЗЫ Это не отключение IPv6, а то, что должно помочь

[Alex_SS]

Ок, сейчас попробую. Не совсем понял, что за правило? Дешифровку в студию.

--------------------------------------------
Пс дешифровку нашел:

http://debuntu.ru/note/iptables-tcpmss-ustanavlivaet-maksimalnyy-razmer-tcp-segmenta
Пользователь решил продолжить мысль 09 Октября 2012, 19:17:08:
Пользователь решил продолжить мысль 09 Октября 2012, 19:19:34:Вписал выше обозначенное правило, и интернет совсем пропал. С клиентских машин перестал пинговаться vpn сервер и, соответственно, все остальное.

Убрал правило, и все вернулось на место. т.е. на yandex и мейл ходим, на google и прочие не ходим.

iptables: http://s018.ЗАПРЕЩЁННЫЙ РЕСУРС/i516/1210/d1/673b8725d871.jpg

[fisher74]

Код: [Выделить]

ifconfig -a
route -n
sudo iptables-saveв студию

[Alex_SS]

Маршруты

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         91.207.136.4    0.0.0.0         UG    0      0        0 ppp0
10.0.0.0        10.21.20.1      255.0.0.0       UG    0      0        0 eth1
10.20.0.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.21.20.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
91.207.136.4    10.21.20.1      255.255.255.255 UGH   0      0        0 eth1
91.207.136.4    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
91.207.136.32   10.21.20.1      255.255.255.224 UG    0      0        0 eth1

iptables

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Tue Oct  9 14:11:25 2012
*filter
:INPUT ACCEPT [2223:174108]
:FORWARD ACCEPT [1914:105946]
:OUTPUT ACCEPT [3193:347406]
COMMIT
# Completed on Tue Oct  9 14:11:25 2012
# Generated by iptables-save v1.4.12 on Tue Oct  9 14:11:25 2012
*nat
:PREROUTING ACCEPT [366:20614]
:INPUT ACCEPT [5:713]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Oct  9 14:11:25 2012
# Generated by iptables-save v1.4.12 on Tue Oct  9 14:11:25 2012
*mangle
:PREROUTING ACCEPT [1981:151583]
:INPUT ACCEPT [1440:121524]
:FORWARD ACCEPT [540:30027]
:OUTPUT ACCEPT [1725:216484]
:POSTROUTING ACCEPT [2265:246511]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Oct  9 14:11:25 2012

interfaces

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:21:91:d4:ea:95
          inet addr:10.20.0.1  Bcast:10.20.0.255  Mask:255.255.255.0
          inet6 addr: fe80::221:91ff:fed4:ea95/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1865 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1995 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:174576 (174.5 KB)  TX bytes:540168 (540.1 KB)
          Interrupt:17 Base address:0x8000

eth1      Link encap:Ethernet  HWaddr 00:15:58:9a:51:cf
          inet addr:10.21.20.34  Bcast:10.21.20.255  Mask:255.255.255.0
          inet6 addr: fe80::215:58ff:fe9a:51cf/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1062 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1148 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:469578 (469.5 KB)  TX bytes:133501 (133.5 KB)
          Interrupt:23 Base address:0xa000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:328 (328.0 B)  TX bytes:328 (328.0 B)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:178.237.176.58  P-t-P:91.207.136.4  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:893 errors:0 dropped:0 overruns:0 frame:0
          TX packets:774 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:395681 (395.6 KB)  TX bytes:70263 (70.2 KB)

[fisher74]

в таблах вписал маскарад.

Что-то не видно

*nat
...
-A POSTROUTING -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

Что это? Это не маскарад.
Исправляем на маскарад так

Код: [Выделить]

sudo iptables -t nat -D POSTROUTING -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j MASQUERADE
P.S. и под спойлер простыночки, пожалуйста.

[Alex_SS]

Добрый день, проблема решена.

Действительно дело было в MTU. Все поправилось через таблы, только вместо предложенного fisher74

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu
нужно было добавить:

Код: [Выделить]

iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1372
____________________________________________

В первом варианте допустимый размер сегмента должен определяться автоматически, чего не произошло по каким-то причинам.

Во втором варианте размер задается вручную, в моем случае он получился равным 1372. Чтобы определить это значение, подключил клиентскую машину напрямую, поднял vpn и пинговал сайты которые не открывались (vk.com) пакетами разного размера.

Полезная статья по теме:
http://www.opennet.ru/base/net/pppoe_mtu.txt.html

Всем участникам большое спасибо Тему можно закрывать.