Стабильно низкая скорость pptpd

[Nik_x]

Добрый день!
Уже все перепробовал. Наставьте на путь истинный!

Что имеем:
~# uname -a
Linux ubuntu 3.8.0-19-generic #30-Ubuntu SMP Wed May 1 16:36:13 UTC 2013 i686 i686 i686 GNU/Linux

~# pptpd -v
pptpd v1.3.4

~# cat /etc/ppp/pptpd-options | grep -v '^#' | sed '/^$/d' | more
auth
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
nodefaultroute
debug
nobsdcomp
mru 1492
mtu 1492

~# cat /etc/pptpd.conf | grep -v '^#' | sed '/^$/d' | more
option /etc/ppp/pptpd-options
logwtmp
localip 192.168.1.10
remoteip 192.168.1.200-238

Суть проблемы: при подключении win клиентов скорость скачивания файлов с ubuntu server через samba нормальная (2-3 Мбайт/с). Но при попытке скачать что-нибудь с машин, находящихся с ubuntu server в одной сети, скорость стабильно низкая 200 - 250 Кбайт/с.
При чем скорость отдачи с машины, подключенной через vpn, нормальная (2-3 Мбайт/с)

[AnrDaemon]

Таки вы MSS не выравниваете, и блочите ICMP небось до кучи...

[Nik_x]

Таки вы MSS не выравниваете, и блочите ICMP небось до кучи...

Так если бы значение MSS было неверным, то трафик в обе стороны должен быть медленным. Или я ошибаюсь?
ICMP не блочу.

[AnrDaemon]

Ошибаетесь... iptables-save уже показывайте.
И промеряйте размер пакета, проходящего через шлюз без фрагментации.

[Nik_x]

~# iptables-save
# Generated by iptables-save v1.4.12 on Fri Sep 27 13:06:21 2013
*filter
:INPUT ACCEPT [295248:148196061]
:FORWARD ACCEPT [277586:219575315]
:OUTPUT ACCEPT [375797:430692806]
:fail2ban-apache - [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 80,443,81 -j fail2ban-apache
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-apache -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Fri Sep 27 13:06:21 2013

Посоветуйте, чем помереть размер пакета?

[AnrDaemon]

-A fail2ban-apache -j RETURN
-A fail2ban-ssh -j RETURN
бесполезные правила.

померять размер пакета, естественно, пингом...
ping -f -l 1440 <назначение>
1440 уменьшаете, пока пинги не начнут проходить до хоста внутри сети.

[Nik_x]

Пинги с машины подключенной по vpn до машины в локальной сети.

ping -f -l 1373 192.168.1.3

Обмен пакетами с 192.168.1.3 по с 1373 байтами данных:
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.

Статистика Ping для 192.168.1.3:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

//////////////////////////////////////////////////////////////

ping -f -l 1372 192.168.1.3

Обмен пакетами с 192.168.1.3 по с 1372 байтами данных:
Ответ от 192.168.1.3: число байт=1372 время=10мс TTL=127
Ответ от 192.168.1.3: число байт=1372 время=7мс TTL=127
Ответ от 192.168.1.3: число байт=1372 время=8мс TTL=127
Ответ от 192.168.1.3: число байт=1372 время=8мс TTL=127

Статистика Ping для 192.168.1.3:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 7мсек, Максимальное = 10 мсек, Среднее = 8 мсек

//////////////////////////////////////////////////////////////

~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0c:29:97:cb:e8
          inet addr:192.168.1.10  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe97:cbe8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:493368 errors:0 dropped:0 overruns:0 frame:0
          TX packets:539011 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:328778997 (328.7 MB)  TX bytes:546190714 (546.1 MB)
          Interrupt:18 Base address:0x2000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:671 errors:0 dropped:0 overruns:0 frame:0
          TX packets:671 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:57786 (57.7 KB)  TX bytes:57786 (57.7 KB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:192.168.1.10  P-t-P:192.168.1.200  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:24050 errors:0 dropped:0 overruns:0 frame:0
          TX packets:43977 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1217357 (1.2 MB)  TX bytes:53237817 (53.2 MB)

[AnrDaemon]

Добавьте

Код: [Выделить]

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1401:1500 -j TCPMSS --set-mss 1400
COMMIT
и перезагрузите правила.
Пользователь решил продолжить мысль 27 Сентября 2013, 15:09:07:Одного не понятно, из каких побуждений у вас
mru 1492
mtu 1492

[Nik_x]

Не взлетело. Результат тот же. Клиент VPN <- Шлюз ubuntu <- Машина локальной сети :скорость осталась 200-250 Кбайт/с
Шлюз после reboot

Код: [Выделить]

:~# iptables-save
# Generated by iptables-save v1.4.12 on Fri Sep 27 16:59:58 2013
*filter
:INPUT ACCEPT [432:61109]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [300:37942]
:fail2ban-apache - [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 80,443,81 -j fail2ban-apache
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-apache -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Fri Sep 27 16:59:58 2013
# Generated by iptables-save v1.4.12 on Fri Sep 27 16:59:58 2013
*mangle
:PREROUTING ACCEPT [501:76422]
:INPUT ACCEPT [457:62984]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [334:41350]
:POSTROUTING ACCEPT [357:43864]
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1401:15                                                                                                                               00 -j TCPMSS --set-mss 1400
COMMIT
# Completed on Fri Sep 27 16:59:58 2013


Код: [Выделить]

~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0c:29:97:cb:e8
          inet addr:192.168.1.10  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe97:cbe8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:12444 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12310 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:9394341 (9.3 MB)  TX bytes:8141159 (8.1 MB)
          Interrupt:18 Base address:0x2000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:46 errors:0 dropped:0 overruns:0 frame:0
          TX packets:46 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4512 (4.5 KB)  TX bytes:4512 (4.5 KB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:192.168.1.10  P-t-P:192.168.1.200  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:5115 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5575 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:316324 (316.3 KB)  TX bytes:6648911 (6.6 MB)


[AnrDaemon]

А вы не видите, что ваша строчка отличается от приведённой мною?

[Nik_x]

Издержки копипаста.
Строка один в один.

Код: [Выделить]

~# iptables-save
# Generated by iptables-save v1.4.12 on Fri Sep 27 18:06:51 2013
*filter
:INPUT ACCEPT [407:58774]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [284:46624]
:fail2ban-apache - [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 80,443,81 -j fail2ban-apache
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-apache -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Fri Sep 27 18:06:51 2013
# Generated by iptables-save v1.4.12 on Fri Sep 27 18:06:51 2013
*mangle
:PREROUTING ACCEPT [460:72648]
:INPUT ACCEPT [423:60333]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [309:49672]
:POSTROUTING ACCEPT [332:52186]
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1401:1500 -j TCPMSS --set-mss 1400
COMMIT
# Completed on Fri Sep 27 18:06:51 2013


[AnrDaemon]

Минуточку. А вы эти манипуляции где проделываете?
И почему у вас адреса в тоннеле совпадают с адресами локальной сети?
Пользователь решил продолжить мысль 27 Сентября 2013, 18:31:04:У меня это вот так выглядит:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# ip a ; iptables-save-ordered
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:50:22:87:e7:a4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.35.1/24 brd 192.168.35.255 scope global eth0
    inet 192.168.10.2/28 brd 192.168.10.15 scope global eth0:1
4: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1396 qdisc pfifo_fast qlen 3
    link/ppp
    inet 192.168.35.1 peer 192.168.35.201/32 scope global ppp0
# Generated by iptables-save v1.3.8 on Fri Sep 27 18:29:21 2013
*mangle
:PREROUTING ACCEPT [18345022:9045075063]
:INPUT ACCEPT [10522949:3795114110]
:FORWARD ACCEPT [7821808:5249934386]
:OUTPUT ACCEPT [12319793:8720774200]
:POSTROUTING ACCEPT [19605659:13893010528]
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:1500 -j TCPMSS --set-mss 1356
COMMIT
# Completed on Fri Sep 27 18:29:21 2013

[Nik_x]

Скрипт в /etc/network/if-up.d/

(Нажмите, чтобы показать/скрыть)

#!/sbin/iptables-restore
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1401:1500 -j TCPMSS --set-mss 1400
COMMIT

Да, адреса действительно из одной подсети. Разве это криминал?

(Нажмите, чтобы показать/скрыть)

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNO                                                                                                                               WN qlen 1000
    link/ether 00:0c:29:97:cb:e8 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.10/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::20c:29ff:fe97:cbe8/64 scope link
       valid_lft forever preferred_lft forever
3: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1392 qdisc pfifo_fast sta                                                                                                                               te UNKNOWN qlen 3
    link/ppp
    inet 192.168.1.10 peer 192.168.1.200/32 scope global ppp0

[AnrDaemon]

Вы вопроса, видимо, не поняли.
С какого компьютера вы мне диагностику приводите?

[Nik_x]

Это шлюз ubuntu из цепочки Клиент VPN <- Шлюз ubuntu <- Машина локальной сети