OpenVPN: зависает NFS, открываются не все сайты

[DLST]

Доброго времени суток всем. Опишу вкратце ситуацию. Имеется домашняя машина, с белым внешним адресом. Поднял давным-давно openvpn сервер, чтобы иметь доступ к домашним машинам из любого места. К нему подключены многие клиенты, у всех все работает замечательно. У меня же на ноутбуке не открываются некоторые сайты (aliexpress) при установленном VPN соединении. Если соединение разорвать, то все работает нормально. Сначала думал, что вся проблема в openvpn-network-manager, попробовал в консольном режиме создать подключение, ситуация аналогичная.

Да, еще забыл добавить, что зависает соединение с NFS, приходится делать переподключение.

Ноутбук подключен к интернету с помощью телефона, который включен в режим USB модема. На телефоне причем тоже настроен openvpn, там все работает в штатном режиме. Уже не знаю куда копать, может кто сможет подсказать что-нибудь?

[ArcFi]

TUN/TAP?

Код: [Выделить]

push "redirect-gateway def1"?

Код: [Выделить]

tracepath aliexpress?

[DLST]

Интерфейс TUN.

Код: [Выделить]

push "redirect-gateway def1"есть

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

anton@anton-x501a:~$ tracepath aliexpress.com
 1?: [LOCALHOST]                                         pmtu 1500
 1:  192.168.42.129                                        1.052ms
 1:  192.168.42.129                                        0.529ms
 2:  no reply
 3:  10.10.30.254                                         95.714ms
 4:  10.10.30.17                                          89.210ms
 5:  10.10.30.14                                          69.731ms
 6:  10.10.30.70                                          89.792ms
 7:  10.10.30.93                                          98.549ms asymm  6
 8:  10.10.30.101                                         88.777ms asymm  7
 9:  194.186.202.253                                      69.645ms asymm  8
10:  mx01.Stockholm.gldn.net                              90.955ms asymm 11
11:  xe-5-3-2.bar1.Stockholm1.Level3.net                 140.670ms
12:  ae-3-80.edge1.SanJose3.Level3.net                   356.450ms asymm 22
13:  no reply
14:  no reply
15:  no reply
16:  no reply
17:  no reply
18:  no reply
19:  no reply
20:  no reply
21:  no reply
22:  no reply
23:  no reply
24:  no reply
25:  no reply
26:  no reply
27:  no reply
28:  no reply
29:  no reply
30:  no reply
     Too many hops: pmtu 1500
     Resume: pmtu 1500

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

anton@anton-x501a:~$ tracepath aliexpress.com
 1?: [LOCALHOST]                                         pmtu 1500
 1:  192.168.189.1                                       159.293ms
 1:  192.168.189.1                                       199.635ms
 2:  192.168.189.1                                       509.903ms pmtu 1400
 2:  no reply
 3:  no reply
 4:  no reply
 5:  no reply
 6:  no reply
 7:  no reply
 8:  no reply
 9:  no reply
10:  no reply
11:  no reply
12:  no reply
13:  no reply
14:  no reply
15:  no reply
16:  no reply
17:  no reply
18:  no reply
19:  no reply
20:  no reply
21:  no reply
22:  no reply
23:  no reply
24:  no reply
25:  no reply
26:  no reply
27:  no reply
28:  no reply
29:  no reply
30:  no reply
     Too many hops: pmtu 1400
     Resume: pmtu 1400

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

nikolay@nikolay:~$ tracepath aliexpress.com
 1:  192.168.189.4                                         0.110ms pmtu 1500
 1:  192.168.189.1                                         1.102ms
 1:  192.168.189.1                                         0.869ms
 2:  192.168.189.1                                         0.735ms pmtu 1400
 2:  46.174.83.70                                          1.241ms
 3:  46.174.83.69                                         12.355ms
 4:  195.239.229.141                                       1.813ms
 5:  xe-4-0-2.bar1.Stockholm1.Level3.net                  28.126ms asymm  8
 6:  ae-2-70.edge1.SanJose3.Level3.net                   206.012ms asymm 18
 7:  ae-2-70.edge1.SanJose3.Level3.net                   204.362ms asymm 18
 8:  no reply
 9:  no reply
10:  no reply
11:  no reply
12:  no reply
13:  no reply
14:  no reply
15:  no reply
16:  no reply
17:  no reply
18:  no reply
19:  no reply
20:  no reply
21:  no reply
22:  no reply
23:  no reply
24:  no reply
25:  no reply
26:  no reply
27:  no reply
28:  no reply
29:  no reply
30:  no reply
31:  no reply
     Too many hops: pmtu 1400
     Resume: pmtu 1400

[ArcFi]

2:  192.168.189.1                                       509.903ms pmtu 1400

https://help.ubuntu.ru/wiki/mtu

[fisher74]

Тут ещё надо понять: а как задумывалось попадать на тот самый али - через OpenVPN или напрямую?
Если напрямую, то указанный параметр redirect-gateway лишний, если через VPN, то обратить внимание на mtu

[DLST]

На али пытался попадать разумеется через OpenVPN. Как я понял, проблема на машине клиента OpenVPN или на стороне сервера?

ArcFi,
Вам не сложно будет написать более подробно ответ на вопрос? Я понял, что проблема в MTU, пытался решить ее фрагментацией с помощью iptables, однако не помогает.

Код: [Выделить]

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -I OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

[fisher74]

Я понял, что проблема в MTU, пытался решить ее фрагментацией с помощью iptables, однако не помогает.

Это один из вариантов.
И делается это на сервере

[DLST]

И делается это на сервере

На сервере у меня уже была строчка с FORWARD, добавил OUTPUT, реакции никакой(

[fisher74]

Код: [Выделить]

sudo iptables-saveс сервера сюда под спойлер

[DLST]

eth0 - внутренняя локальная сеть провайдера
ppp+ - PPTP соединение с провайдером (внешка)
br0 - домашняя локальная сеть
tun0 - OpenVPN

(Нажмите, чтобы показать/скрыть)

root@debian:~# iptables-save
# Generated by iptables-save v1.4.14 on Wed Nov 19 22:30:22 2014
*mangle
:PREROUTING ACCEPT [30:2876]
:INPUT ACCEPT [30:2876]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [22:2612]
:POSTROUTING ACCEPT [22:2612]
COMMIT
# Completed on Wed Nov 19 22:30:22 2014
# Generated by iptables-save v1.4.14 on Wed Nov 19 22:30:22 2014
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [6:360]
:POSTROUTING ACCEPT [6:360]
-A PREROUTING -s 192.168.188.3/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8118
-A PREROUTING -s 192.168.189.14/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8118
-A POSTROUTING -s 192.168.0.0/16 -o ppp+ -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Nov 19 22:30:22 2014
# Generated by iptables-save v1.4.14 on Wed Nov 19 22:30:22 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp+ -p tcp -m tcp --dport 22 -m recent --update --seconds 3600 --hitcount 4 --name ssh --rsource -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ppp+ -p tcp -m tcp --dport 22 -m recent --set --name ssh --rsource
-A INPUT -i ppp+ -p tcp -m tcp --dport 22 -m recent ! --rcheck --seconds 30 --hitcount 2 --name ssh --rsource -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ppp+ -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.12.32.72/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o ppp+ -j ACCEPT
-A FORWARD -i ppp+ -o br0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o br0 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Nov 19 22:30:22 2014

[fisher74]

А какой IP у tun0 Вашего ноута?

И это.. дело, конечно, Ваше, но зачем

Код: [Выделить]

:FORWARD DROP [0:0]если

Код: [Выделить]

-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT?

[DLST]

fisher74,
В iptables я вовсе не гуру, в одно время собирал информацию по примерам. Изначально закрыл доступ ко всему, а потом открывал к нужным к нужным. Видимо пример просто был неудачным.

Значит строка:

Код: [Выделить]

iptables -P FORWARD DROPне нужна?


ip адрес у tun0 192.168.188.6.

[AnrDaemon]

На али пытался попадать разумеется через OpenVPN. Как я понял, проблема на машине клиента OpenVPN или на стороне сервера?

ArcFi,
Вам не сложно будет написать более подробно ответ на вопрос? Я понял, что проблема в MTU, пытался решить ее фрагментацией с помощью iptables, однако не помогает.

Код: [Выделить]

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -I OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

-t mangle
Таргет TCPMSS не работает в других таблицах. Вообще.

[bukass]

AnrDaemon,

-t mangle
Таргет TCPMSS не работает в других таблицах. Вообще.

Работает... К стати почему хз...

(Нажмите, чтобы показать/скрыть)

root@vyatta:~# iptables-save
# Generated by iptables-save v1.4.12.2 on Fri Nov 21 10:20:52 2014
*nat
:PREROUTING ACCEPT [9739465:752851811]
:INPUT ACCEPT [4557131:350457281]
:OUTPUT ACCEPT [67877:4097053]
:POSTROUTING ACCEPT [68763:4189600]
:VYATTA_PRE_DNAT_HOOK - [0:0]
:VYATTA_PRE_SNAT_HOOK - [0:0]
-A PREROUTING -j VYATTA_PRE_DNAT_HOOK
-A POSTROUTING -j VYATTA_PRE_SNAT_HOOK
-A POSTROUTING -s 10.0.0.0/24 -o pppoe1 -m comment --comment SRC-NAT-10 -j MASQUERADE
-A POSTROUTING -s 10.0.1.0/24 -o pppoe1 -m comment --comment SRC-NAT-11 -j MASQUERADE
-A VYATTA_PRE_DNAT_HOOK -j RETURN
-A VYATTA_PRE_SNAT_HOOK -j RETURN
COMMIT
# Completed on Fri Nov 21 10:20:52 2014
# Generated by iptables-save v1.4.12.2 on Fri Nov 21 10:20:52 2014
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:NAT_CONNTRACK - [0:0]
:VYATTA_CT_HELPER - [0:0]
:VYATTA_CT_IGNORE - [0:0]
:VYATTA_CT_OUTPUT_HOOK - [0:0]
:VYATTA_CT_PREROUTING_HOOK - [0:0]
:VYATTA_CT_TIMEOUT - [0:0]
-A PREROUTING -j VYATTA_CT_IGNORE
-A PREROUTING -j VYATTA_CT_HELPER
-A PREROUTING -j VYATTA_CT_TIMEOUT
-A PREROUTING -j VYATTA_CT_PREROUTING_HOOK
-A PREROUTING -j NAT_CONNTRACK
-A PREROUTING -j NOTRACK
-A OUTPUT -j VYATTA_CT_IGNORE
-A OUTPUT -j VYATTA_CT_HELPER
-A OUTPUT -j VYATTA_CT_TIMEOUT
-A OUTPUT -j VYATTA_CT_OUTPUT_HOOK
-A OUTPUT -j NAT_CONNTRACK
-A OUTPUT -j NOTRACK
-A NAT_CONNTRACK -j ACCEPT
-A VYATTA_CT_HELPER -p tcp -m tcp --dport 1525 -j CT --helper tns
-A VYATTA_CT_HELPER -p tcp -m tcp --dport 1521 -j CT --helper tns
-A VYATTA_CT_HELPER -p udp -m udp --dport 111 -j CT --helper rpc
-A VYATTA_CT_HELPER -p tcp -m tcp --dport 111 -j CT --helper rpc
-A VYATTA_CT_HELPER -j RETURN
-A VYATTA_CT_IGNORE -j RETURN
-A VYATTA_CT_OUTPUT_HOOK -j RETURN
-A VYATTA_CT_PREROUTING_HOOK -j RETURN
-A VYATTA_CT_TIMEOUT -j RETURN
COMMIT
# Completed on Fri Nov 21 10:20:52 2014
# Generated by iptables-save v1.4.12.2 on Fri Nov 21 10:20:52 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:VYATTA_POST_FW_FWD_HOOK - [0:0]
:VYATTA_POST_FW_IN_HOOK - [0:0]
:VYATTA_POST_FW_OUT_HOOK - [0:0]
:VYATTA_PRE_FW_FWD_HOOK - [0:0]
:VYATTA_PRE_FW_IN_HOOK - [0:0]
:VYATTA_PRE_FW_OUT_HOOK - [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -j VYATTA_PRE_FW_IN_HOOK
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -j VYATTA_POST_FW_IN_HOOK
-A FORWARD -j VYATTA_PRE_FW_FWD_HOOK
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j VYATTA_POST_FW_FWD_HOOK
-A OUTPUT -j VYATTA_PRE_FW_OUT_HOOK
-A OUTPUT -j VYATTA_POST_FW_OUT_HOOK
-A VYATTA_POST_FW_FWD_HOOK -j ACCEPT
-A VYATTA_POST_FW_IN_HOOK -j ACCEPT
-A VYATTA_POST_FW_OUT_HOOK -j ACCEPT
-A VYATTA_PRE_FW_FWD_HOOK -j RETURN
-A VYATTA_PRE_FW_IN_HOOK -j RETURN
-A VYATTA_PRE_FW_OUT_HOOK -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT

[DLST]

Ребята, вся надежда на вас. До сих пор не победил проблему с недоступностью некоторых сайтов.