Пользователи сети под Windoй не могут попасть на ftp.
Хотя под RH с помощью mc у меня заходит без проблем.

tcpdump говорит
fd.dlink.ru: icmp: 10.0.1.7 unreachable - need to frag (mtu 1352) [tos 0xc8]

при выставлении need mtu в следующий раз при подключении просит его еще раз уменьшить, и так до значения когда к серверу подключится неудается вообще.

На VPN сервере установлен RH9, iptables c NAT.

• VPN & FTP,John, 09:22 , 29-Мрт-06
  • VPN & FTP,zorro1, 11:39 , 29-Мрт-06
    • VPN & FTP,John, 14:38 , 29-Мрт-06
  • VPN & FTP,toor99, 14:47 , 29-Мрт-06
    • VPN & FTP,John, 16:40 , 29-Мрт-06

>Пользователи сети под Windoй не могут попасть на ftp.
>Хотя под RH с помощью mc у меня заходит без проблем.
>
>tcpdump говорит
>fd.dlink.ru: icmp: 10.0.1.7 unreachable - need to frag (mtu 1352) [tos 0xc8]
>
>
>при выставлении need mtu в следующий раз при подключении просит его еще
>раз уменьшить, и так до значения когда к серверу подключится неудается
>вообще.
>
>На VPN сервере установлен RH9, iptables c NAT.

Возможно проблема в том, что в винде после одного из последних обновленийперестал работать PMTU dicsovery (мелкософт так борется с ошибками - винда просто не реагирует на need to frag).
Его можно отключить:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnablePMTUDiscovery"=dword:00000000

Но вроде бы после этого все пакеты вовне(не для локальной сети) винда будет отправлять размером в 576 байт. В общем, попробуйте поковырять в этом направлении.

>Возможно проблема в том, что в винде после одного из последних обновленийперестал
>работать PMTU dicsovery (мелкософт так борется с ошибками - винда просто
>не реагирует на need to frag).
>Его можно отключить:
>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
>"EnablePMTUDiscovery"=dword:00000000
>
>Но вроде бы после этого все пакеты вовне(не для локальной сети) винда
>будет отправлять размером в 576 байт. В общем, попробуйте поковырять в
>этом направлении.
Похоже дело действительно в XP так как 2000 и линух работает по ftp без проблем.
Можно ли решить эту проблему на стороне фаервола?

>>Возможно проблема в том, что в винде после одного из последних обновленийперестал
>>работать PMTU dicsovery (мелкософт так борется с ошибками - винда просто
>>не реагирует на need to frag).
>>Его можно отключить:
>>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
>>"EnablePMTUDiscovery"=dword:00000000
>>
>>Но вроде бы после этого все пакеты вовне(не для локальной сети) винда
>>будет отправлять размером в 576 байт. В общем, попробуйте поковырять в
>>этом направлении.
>Похоже дело действительно в XP так как 2000 и линух работает по
>ftp без проблем.
>Можно ли решить эту проблему на стороне фаервола?

На файрволе не знаю, но вот VPN на клиенте(винде) как раз и должен говорить стеку TCP/IP какой максимальный размер пакета допустим.

>Возможно проблема в том, что в винде после одного из последних обновленийперестал
>работать PMTU dicsovery (мелкософт так борется с ошибками - винда просто
>не реагирует на need to frag).
>Его можно отключить:
>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
>"EnablePMTUDiscovery"=dword:00000000

Дык если он перестал работать, то наверное, все-таки, надо его включить (00000001), а не отключать (00000000)?

>>Возможно проблема в том, что в винде после одного из последних обновленийперестал
>>работать PMTU dicsovery (мелкософт так борется с ошибками - винда просто
>>не реагирует на need to frag).
>>Его можно отключить:
>>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
>>"EnablePMTUDiscovery"=dword:00000000
>
>Дык если он перестал работать, то наверное, все-таки, надо его включить (00000001),
>а не отключать (00000000)?

Перестал работать - это не реагирует на ICMP сообщения о необходимости фрагментации и PMTU подбирает как бог на душу положил(виндоз подход). Поэтому и отключить. Тогда предсказуемое поведение.