проблемы с VPN

[boskor]

Доброго времени суток!Имеются следующие проблемы. через VPN стали недоступны некоторые сайты. причем есть некоторые сервера,при выходе через которые указанные сайты доступны.
кроме того серьезная головная боль в том, что через VPN тот же Dropbox не синхронизируется.
Подскажите, каковы причины наблюдаемых явлений и что можно предпринять.
Если конечно кто-то занимался этими вопросами.
Заранее благодарен!

[ArcFi]

Какой тип VPN используется?
Где располагается VPN-шлюз?
И вообще, как организовано подключение к инету?

[boskor]

Прошу прощения что не указал это в первом сообщении - закрутился.
Подключение осуществляется по протоколу OpenVPN
Соответсятвенно настройка идет через network manager, далее располагается роутер, сеть провайдера PPPoE
Vpn сервера пробовал разные - результат один и тот же.

Дополнительный вопрос - а можно ли как-то пустить трафик облачных клиентов в обход VPN - напрямую?

[vselax]

А они совсем не открываются, или частично засасываются? Может быть проблема с настройкой максимальной длинны пакетов, нужно попробовать ее (MTU) уменьшить, для начала.

[ArcFi]

Код: [Выделить]

ip a ; ip r ; sudo iptables-save ; tracepath -b ya.ru?

https://forum.ubuntu.ru/index.php?topic=221082.msg1708330#msg1708330

[boskor]

(Нажмите, чтобы показать/скрыть)

~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether e8:11:32:92:58:3e brd ff:ff:ff:ff:ff:ff
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether e0:ca:94:89:dc:73 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.33/24 brd 192.168.1.255 scope global wlan0
    inet6 fe80::e2ca:94ff:fe89:dc73/64 scope link
       valid_lft forever preferred_lft forever
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none
    inet 10.4.0.10 peer 10.4.0.9/32 brd 10.4.0.10 scope global tun0

(Нажмите, чтобы показать/скрыть)

~$ ip r
default via 10.4.0.21 dev tun0  proto static
10.4.0.0/24 via 10.4.0.21 dev tun0  proto static
10.4.0.21 dev tun0  proto kernel  scope link  src 10.4.0.22
141.0.169.95 via 192.168.1.1 dev wlan0  proto static
169.254.0.0/16 dev tun0  scope link  metric 1000
192.168.1.0/24 dev wlan0  proto kernel  scope link  src 192.168.1.33  metric 9

sudo iptables-save вывод пустой

(Нажмите, чтобы показать/скрыть)

~$ tracepath -b ya.ru
 1:  10.4.0.22 (10.4.0.22)                                 0.166ms pmtu 1500
 1:  10.4.0.1 (10.4.0.1)                                 132.003ms
 1:  10.4.0.1 (10.4.0.1)                                 132.224ms
 2:  141.0.169.1 (141.0.169.1)                           141.628ms
 3:  ae4-1932.ar2.ams2.nl.nlayer.net (198.47.124.41)     133.277ms
 4:  te0-7-0-20.mpd22.ams03.atlas.cogentco.com (130.117.0.241) 133.048ms
 5:  no reply
 6:  no reply
 7:  no reply
 8:  no reply
 9:  no reply
10:  no reply
11:  no reply
12:  no reply
13:  no reply
14:  no reply
15:  no reply
16:  no reply
17:  no reply
18:  no reply
19:  no reply
20:  no reply
21:  no reply
22:  no reply
23:  no reply
24:  no reply
25:  no reply
26:  no reply
27:  no reply
28:  no reply
29:  no reply
30:  no reply
31:  no reply
     Too many hops: pmtu 1500
     Resume: pmtu 1500

[fisher74]

эти команды надо было на сервере VPN вводить.

[vselax]

Попробуй в NM для tun0 уменьшить MTU с 1500 до 1460. Если этих опций нет, то вот так настраивается iptables на моем шлюзе:
для старых ОС (8.04):
sudo /sbin/iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
или, для новых ОС (10.04):
sudo /sbin/iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Правда правила для FORWARD пакетов, для отдельной машинки без шлюза, вероятно, потребуются правила для OUTPUT пакетов:
sudo /sbin/iptables -t mangle -A OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

[boskor]

эти команды надо было на сервере VPN вводить.

Предлагаете мне поездку на сейшельские острова?
Пользователь решил продолжить мысль 05 Июня 2013, 13:16:38:vselax,
до этого MTU стояла автоматическая, я попробовал и 1460 и 1500 - безрезультатно. Кстати, на роутерe у меня MTU стоит 1400. 
Кроме того, сайты, не открывающиеся при установке VPN через NM открываются при использовании анонимайзера, встроенного в браузер.
Среди неоткрываемых сайтов например forum.ubuntu.ru

UPD: После того, как на роутере поставил MTU 1460 forum.ubuntu.ru стал открываться.
Остальные Сайты так и не открываются. Синх с облаками не работает

Подключение осуществляю по UDP ; TCP тоже пробовал, аналогично.

[vselax]

Подключение осуществляю по UDP ; TCP тоже пробовал, аналогично.

??

UPD: После того, как на роутере поставил MTU 1460 forum.ubuntu.ru стал открываться.
Остальные Сайты так и не открываются.

У машины MTU должно быть не больше чем у роутера, ведь он может и не суметь разбить пакеты. Вероятно, надо либо установить на роутере MTU 1500, либо на машине 1400 или 1360. Как-то так. Еще почитай про MTU и MSS, хотя бы здесь: http://ru.wikipedia.org/wiki/MSS.
Пользователь решил продолжить мысль 05 Июня 2013, 15:33:26:А сам роутер PPPoE не поддерживает? Может, логичней на нем поднять?

[boskor]

поясню. (В сообщении №3 я уже об этом писал). К провайдеру я подключаюсь по PPPoE. Сверху этого соединения устанавливаю OpenVPN. Поэтому есть варианты TCP/UDP. При поднятии OpenVPN часть сайтов становятся недоступными.
роутер MTU 1500 не поддерживает. Еще есть MRU. Спасибо за направление - буду пробовать еще.

[vselax]

Как сложно. Какова цель поднятия VPN, если не секрет? А что там с маршрутами делается? Дайте

Код: [Выделить]

ifconfig
route -n
до и после поднятия OpenVPN.
Пользователь решил продолжить мысль 06 Июня 2013, 10:43:42:После поднятия VPN, трафик может переметнуться на него, и если VPN сервер не в порядке, то будут проблемы.

[boskor]

Поставил максимально возможные MTU 1492 и MRU 1500. На VPN 1460 УРАААА! Сайты начали открываться. vselax, огромное спасибо!
Теперь остается еще один вопрос с синхронизацией в облака. Буду признателен, если будут мысли как это сделать
например пустить трафик облачных клиентов в обход VPN
И еще, подскажите GUI для iptables. нужно же с чего-то начинать

[YellowRaccoon]

boskor,
Я тут совсем недолго, но мне кажется GUI для iptables - это моветон =) Едва ли он поможет быстрее разобраться.

[fisher74]

эти команды надо было на сервере VPN вводить.

Предлагаете мне поездку на сейшельские острова?

1. Вы не озвучили, что сервер OpenVPN находится на тех островах
2. даже если сервер находится и там, то ssh ещё никто не отменял. Мало того, я (и не только я) считаю, что администрирование сервера непосредственно около стойки характеризует весьма невысокую степень образованности администратора.
3. а уж то, что сервер OpenVPN контролируется не Вами - тоже как-то в тени осталось.

Ну этот так... послесловие. Хорошо, что всё хорошо.