Запутался в сетевых интерфейсах на виртуалках

[Yuriy_Y]

Ребят, помогайте. Остатки мозга кипят.

Дано: Хост с установленным xen-hypervisor-4.4-amd64. На этом же хосте сделан шлюз для раздачи инета в локалку. Только iptables, пока кальмарчиком не пахнет, да и не буду, возможно. Инет 100Мбит анлим. Инет приходит по pppoe сразу на хост без роутеров всяких, настроен проброс портов на некоторые сервисы. На хосте две виртуалки, венда терминальная для 1С и бунта сервер с Астером.

Засада: Пробросы как-то странно работают. К примеру, порт 3389 на венду, которая на госте, работает. А вот проброс порта 5060 на другого гостя с астером не пашет. Попытался прокинуть 443 порт на другую машину в локалке, чтоб по https на вебморду ходить, тоже не пашет, также как и проброс ssh на неё же. Взял рабочий конфиг самбы с другой машины, установил самбу на госте с астером. Машину никто не видит. Тоже подозреваю засаду с портами.

Задача: Настроить сеть на этом восьминогом семихрене так, чтоб все работало. 

Какие конфиги показать для начала?

[ArcFi]

Код: [Выделить]

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save ; tracepath -n ya.ruПод спойлер.

[Yuriy_Y]

Интернет есть. С локалки телефоны к астеру цепляются.

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 00:25:90:d6:09:a0 brd ff:ff:ff:ff:ff:ff
3: p7p1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 68:05:ca:25:40:4f brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.11/24 brd 192.168.1.255 scope global p7p1
       valid_lft forever preferred_lft forever
    inet6 fe80::6a05:caff:fe25:404f/64 scope link
       valid_lft forever preferred_lft forever
4: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP group default qlen 1000
    link/ether 00:25:90:d6:09:a1 brd ff:ff:ff:ff:ff:ff
5: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 00:25:90:d6:09:a1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global br0
       valid_lft forever preferred_lft forever
    inet6 fe80::225:90ff:fed6:9a1/64 scope link
       valid_lft forever preferred_lft forever
6: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN group default qlen 3
    link/ppp
    inet статический_ИП peer сеть_провайдера scope global ppp0
       valid_lft forever preferred_lft forever
9: vif2.0-emu: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UNKNOWN group default qlen 500
    link/ether fe:ff:ff:ff:ff:ff brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fcff:ffff:feff:ffff/64 scope link
       valid_lft forever preferred_lft forever
10: vif2.0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP group default qlen 32
    link/ether fe:ff:ff:ff:ff:ff brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fcff:ffff:feff:ffff/64 scope link
       valid_lft forever preferred_lft forever
11: vif3.0-emu: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UNKNOWN group default qlen 500
    link/ether fe:ff:ff:ff:ff:ff brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fcff:ffff:feff:ffff/64 scope link
       valid_lft forever preferred_lft forever
12: vif3.0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast master br0 state DOWN group default qlen 32
    link/ether fe:ff:ff:ff:ff:ff brd ff:ff:ff:ff:ff:ff

(Нажмите, чтобы показать/скрыть)

default dev ppp0  scope link
*.*.*.* dev ppp0  proto kernel  scope link  src статический_ИПшник
192.168.0.0/24 dev br0  proto kernel  scope link  src 192.168.0.1
192.168.1.0/24 dev p7p1  proto kernel  scope link  src 192.168.1.11

~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.21 on Thu Nov 27 21:51:41 2014
*nat
:PREROUTING ACCEPT [6952:1044535]
:INPUT ACCEPT [2820:265258]
:OUTPUT ACCEPT [568:39486]
:POSTROUTING ACCEPT [3203:695103]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 4299 -j DNAT --to-destination 192.168.0.15:3389
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.7:443
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3322 -j DNAT --to-destination 192.168.0.7:22
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 5060 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i ppp0 -p udp -m udp --dport 10000:20000 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Nov 27 21:51:41 2014
# Generated by iptables-save v1.4.21 on Thu Nov 27 21:51:41 2014
*filter
:INPUT ACCEPT [524:73661]
:FORWARD ACCEPT [4188:1019769]
:OUTPUT ACCEPT [11518:22036022]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i ppp0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 5038 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ppp0 -p tcp -m tcp --dport 2000 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ppp0 -p tcp -m tcp --dport 2049 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ppp0 -p tcp -m tcp --dport 111 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -m physdev --physdev-out vif3.0 --physdev-is-bridged -j ACCEPT
-A FORWARD -m physdev --physdev-in vif3.0 --physdev-is-bridged -j ACCEPT
-A FORWARD -m physdev --physdev-out vif2.0 --physdev-is-bridged -j ACCEPT
-A FORWARD -m physdev --physdev-in vif2.0 --physdev-is-bridged -j ACCEPT
-A FORWARD -i ppp0 -o br0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i br0 -o ppp0 -j ACCEPT
COMMIT
# Completed on Thu Nov 27 21:51:41 2014
# Generated by iptables-save v1.4.21 on Thu Nov 27 21:51:41 2014
*mangle
:PREROUTING ACCEPT [122858:111093066]
:INPUT ACCEPT [76978:96490705]
:FORWARD ACCEPT [51905:15968476]
:OUTPUT ACCEPT [72426:100090790]
:POSTROUTING ACCEPT [124331:116059266]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Nov 27 21:51:41 2014

(Нажмите, чтобы показать/скрыть)

1?: [LOCALHOST]                                         pmtu 1492
 1:  109.111.0.11                                          3.821ms
 1:  109.111.0.11                                          5.223ms
 2:  109.111.0.17                                          4.600ms
 3:  212.188.41.149                                        4.782ms
 4:  212.188.54.153                                        7.671ms
 5:  195.34.59.242                                         8.166ms
 6:  195.34.36.30                                          7.905ms
 7:  no reply
 8:  87.250.239.63                                         8.939ms asymm 10
 9:  87.250.239.98                                         8.922ms asymm 11
10:  87.250.239.119                                        7.916ms
11:  213.180.204.3                                         8.778ms reached
     Resume: pmtu 1492 hops 11 back 10

[Yuriy_Y]

И? Дельных мыслей ни у кого?

[ArcFi]

Есть подозрение на проблемы с MTU.
Можно попробовать принудительно опустить до 1492 на всех хостах.

[Yuriy_Y]

Кстати. Мысль дельная. Чет не подумал сразу. Там щас проблемы с инетом. Как починят, сделаю и отпишусь.

[ALiEN]

Если действительно проблемы с mtu, на шлюзе можно попробовать добавить правило

Код: [Выделить]

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN --j TCPMSS

[bukass]

Yuriy_Y,
Заменить в mangle, удалить из filter

Код: [Выделить]

-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtuна

Код: [Выделить]

-A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

[Yuriy_Y]

Код: [Выделить]

-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu

Это не я добавлял. Система сама в iptables добавила. Не сломается ничо, если удалю?

[ArcFi]

Возможно, эти правила добавляет pppoeconf:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=499127

У нас в вики по-другому:
https://help.ubuntu.ru/wiki/mtu

[bukass]

Yuriy_Y,
Маялся с линуксовым шлюзом, с похожей проблемой после перевода статики на pppoe. Пока не наткнулся http://www.opennet.ru/base/net/pppoe_mtu.txt.html