Не проходят пинги до машины за шлюзом.

[as_lan]

Есть сервак на 12.04. На нем опенвпн сервер. За машиной сидит порядка  7-8 других машины. Подключаюсь с работы к серверу. Все нормально, пинги идут, машины за сервером вижу, за исключением одной из них - видеорегистратор. В локалке он виден и прекрасно откликается. Но по Openvpn его не видно. Подозреваю что проблема в размере MTU. опытным путем нашел что пакеты с MTU выше 1380 не проходит. Поставил в настройках ppp0 и tun0 MTU 1380. До этого был 1420, и кроме регистратора не видел домашний ресивер (на борту у него тоже линь), тоже не откликался на пинги. После уменьшения до 1380 его увидел. А с регистратором хоть убей ничего не могу придумать.
Iptables

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

iptables-save
# Generated by iptables-save v1.4.12 on Sat Mar  9 13:35:54 2013
*filter
:INPUT DROP [5468:750329]
:FORWARD ACCEPT [450:205670]
:OUTPUT ACCEPT [2414505:2583637098]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 55551:55552 -j ACCEPT
-A INPUT -p udp -m udp --dport 55551:55552 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --dport 33459 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -i ppp0 -p icmp -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
COMMIT
# Completed on Sat Mar  9 13:35:54 2013
# Generated by iptables-save v1.4.12 on Sat Mar  9 13:35:54 2013
*mangle
:PREROUTING ACCEPT [929588:56974269]
:INPUT ACCEPT [917673:55756333]
:FORWARD ACCEPT [1217:182516]
:OUTPUT ACCEPT [1319512:1407830147]
:POSTROUTING ACCEPT [1320797:1408024163]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sat Mar  9 13:35:54 2013
# Generated by iptables-save v1.4.12 on Sat Mar  9 13:35:54 2013
*nat
:PREROUTING ACCEPT [45704:3877828]
:INPUT ACCEPT [22071:1350214]
:OUTPUT ACCEPT [53187:4023400]
:POSTROUTING ACCEPT [53185:4023264]
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
COMMIT
# Completed on Sat Mar  9 13:35:54 2013


ifconfig

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 64:70:02:10:11:3e
          inet addr:192.168.1.10  Bcast:192.168.222.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8754261 errors:0 dropped:56 overruns:0 frame:0
          TX packets:32697538 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:885891962 (885.8 MB)  TX bytes:46902287470 (46.9 GB)

eth1      Link encap:Ethernet  HWaddr 00:25:22:f8:1e:c6
          inet addr:192.168.222.2  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:111732372 errors:0 dropped:113065 overruns:0 frame:0
          TX packets:132478451 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:19880994561 (19.8 GB)  TX bytes:158404806985 (158.4 GB)


lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:25808911 errors:0 dropped:0 overruns:0 frame:0
          TX packets:25808911 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2843594161 (2.8 GB)  TX bytes:2843594161 (2.8 GB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:77.232.165.72  P-t-P:192.168.133.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1380  Metric:1
          RX packets:45092812 errors:0 dropped:0 overruns:0 frame:0
          TX packets:66158966 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1530667040 (1.5 GB)  TX bytes:1556871062 (1.5 GB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.1.1  P-t-P:10.10.1.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1380  Metric:1
          RX packets:417721 errors:0 dropped:0 overruns:0 frame:0
          TX packets:738120 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:21304292 (21.3 MB)  TX bytes:999508227 (999.5 MB)


Дело явно не в опенвпн, так как, повторюсь, все остальные машины прекрасно видно. Не вижу лишь его одного.

[alienonline]

А на видеорегистраторе ккакая ОС?

[as_lan]

Тоже линь, точнее что-то на ядре линукса (на коробке кажется видел эмблему), но логин/пароль для доступа по телнету не известно. Производитель тоже не дал этих данных.

[fisher74]

Ну а настройки-то его Вы можете посмотреть? Дефолтным шлюзом у него кто выступает?

[as_lan]

сегодня проверю для уверенности. Но насколько я помню он получает по DHCP.

[fisher74]

Кстати, по пингу. Вы как тестируете доступность? Только пингом?
Немного не понимаю, как Вы дошли до mtu. Длина стандартного пакета icmp - 56+8 байта. Или Вы варьировали длиной пакета.

[as_lan]

Или Вы варьировали длиной пакета.

Именно так, из под винды проверял. Если ставить выше 1380 и запрещать фрагметацию то пинги не шли, после этого многие linux устройства в сети стали видны (до этого видел только свой комп и ноут, на которых вертится Windows). Вообще все это недавно началось, видимо провайдер у себя что-то там чудит, так как я никогда не крутил МТУ, и по хорошему, если я не ошибаюсь, от них должен быть ответ ICMP, что значение больше положенного и его надо уменьшить. Копать я начал в тот момент, когда заметил что не открываются страницы на компах в сети, все валил на маскарадинг, потому что там же на серваке был сквид, и если в браузере прописан прокси, то все шло нормально, стоило убрать прокси как 95% сайтов переставали открываться. Копал-копал и пришел к тому что виновато значение MTU

По поводу регистратора. Вы были правы, почему то DHCP слетел, галочка установилась в ручной метод, ip маска осталась (поэтому я его в своей локальной сети видел) а вот шлюз был пуст. Поставил и теперь все норм).

[fisher74]

Да ну я бы не сказал бы, что то что у Вас в таблице mangle - нормально.
Я предлагаю убрать оттуда мусор и добавить одно единственное правило

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtuтаким образом у Вас mtu будет выравниваться согласно используемым интерфейсам.

[as_lan]

Убрал лишнее, посмотрим как будет работать. Просто я в попытках "увидеть" ресивер по впн какие только правила не пытался применить) вот и оставил  их

[fisher74]

Только непонятно зачем Вы ppp терзали, если работаете через tun

[as_lan]

Так говорю ж, началось все с того что странички не открывались, а пинг был). В инете везде был разговор что проблема в MTU, исправил - странички заработали. А вот по tun все равно проблема оставалась. Но сейчас вроде бы все. Спасибо!)