VPN сервер на Fedora Core 4 (kernel-2.6.15.4, iptables-1.3.5), крутится демон pptpd-1.2.3. Обновил ядро до 2.6.16.18. Всё замечательно загружается, тунель поднимается до сервера, но когда пытаюсь скачать что-нибудь с ftp (который находится за сервером и подключен на 100 мегабит) - после 1-2 мегабайт канал тухнет: по тунелю идут данные только в одну сторону - на сервер. Если же скорость скачивания на клиенте ограничить 500kbs - всё просто замечательно работает. Опытным путём было установлено, что виновник iptables (service iptables stop - всё ок). Пересобрал iptables - непомогло. Подскажите, люди добрые, где копать и что с этим делать?

• pptpd, kernel-2.6.16.18 и iptables,paul2, 21:56 , 31-Май-06
  • pptpd, kernel-2.6.16.18 и iptables,DenisK, 09:46 , 07-Июн-06
  • pptpd, kernel-2.6.16.18 и iptables,msv_asb, 16:45 , 15-Июн-06
    • pptpd, kernel-2.6.16.18 и iptables,Xottabych, 21:08 , 15-Июн-06
      • pptpd, kernel-2.6.16.18 и iptables,msv_asb, 09:46 , 16-Июн-06
      • pptpd, kernel-2.6.16.18 и iptables,msv_asb, 11:53 , 16-Июн-06
      • pptpd, kernel-2.6.16.18 и iptables,msv_asb, 16:08 , 18-Июн-06
• pptpd, kernel-2.6.16.18 и iptables,vvvua, 16:31 , 19-Июн-06
  • pptpd, kernel-2.6.16.18 и iptables,Al_Nightmare, 10:20 , 20-Июн-06
    • pptpd, kernel-2.6.16.18 и iptables,justas, 16:19 , 20-Июн-06
  • pptpd, kernel-2.6.16.18 и iptables,justas, 14:15 , 20-Июн-06
  • pptpd, kernel-2.6.16.18 и iptables,justas, 17:21 , 20-Июн-06
    • pptpd, kernel-2.6.16.18 и iptables,msv_asb, 17:28 , 25-Июн-06
      • pptpd, kernel-2.6.16.18 и iptables,justas, 11:24 , 26-Июн-06

>Подскажите, люди добрые, где копать и что с этим делать?

FC5 ядро 2.6.16.19 pptpd-1.3.0
та же проблема, только iptables stop не помогает, увы ;)
Нашел решение? Уже несколько дней локти кусаю.
Когда начинаешь с сервака клиент пинговать вылазит
такая штука.
ping: sendmsg: No buffer space available

Пока на 2.6.15.4 сижу.

>>Подскажите, люди добрые, где копать и что с этим делать?
>
>FC5 ядро 2.6.16.19 pptpd-1.3.0
>та же проблема, только iptables stop не помогает, увы ;)
>Нашел решение? Уже несколько дней локти кусаю.
>Когда начинаешь с сервака клиент пинговать вылазит
>такая штука.
>ping: sendmsg: No buffer space available

У меня проблема в этом-же...FC5.
Только ядра я уже все перепробовал из апдейта с fedora.redhat.com .
Сейчас стоит 2.6.16-1.2133 .
На FC4 все прекрасно работало. Угораздило же 5-ую поставить... :-(
Кто-нибудь решил эту проблему?

посмотри сниффером, какой размер окна говорит tcp

>посмотри сниффером, какой размер окна говорит tcp
Значит так:
В основном у TCP размер окна 7504.
Попадались пакеты с размерами 8190, 6930 и 9180.
Однако, при работе снифера пропадание канала не  происходило.
Я поставил на WinXP ethereal 0.99.0 и WinPcap 3.1 и слушал
WAN (PPP/SLIP) Interface.

P.S. при загрузке файлов с depositfiles.com размер TCP окна
     стал 17680.

>посмотри сниффером, какой размер окна говорит tcp

VPN сервер стабильно перестает отвечать при загрузке файлов с Рапидшары...
При этом TCP окно бывает как 7504, так и 65535.

>посмотри сниффером, какой размер окна говорит tcp

Похоже, что вопрос про размер TCP окна был чисто риторическим...
Неужели больше ни у кого нет проблем с VPN в 5-ой Федоре?

Проапдейтить ядро до 2.6.17.
Там пофиксили.

>Проапдейтить ядро до 2.6.17.
>Там пофиксили.
попробуй вот это
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-
mss-to-pmtu

>iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS
>--clamp-
>mss-to-pmtu

Не-а, не помогает, попробовал.

>Проапдейтить ядро до 2.6.17.
>Там пофиксили.

2.6.17 - Это релиз кандидат. Ставить это на core-сервер сети чревато.

У меня, кстати, подобная проблема. Обновили-таки сервер для биллинга и терминирования VPN, 2*ксеон. Система fedora core 5 с последними апдейтами ядра.
Поставил pptpd 1.3.0, настроил всё как обычно. Клиенты vpn коннектятся, получают доступ в интернет. Всё отлично, схема отработана на прошлом сервере. На новый сервер pptp добавлено лишь шифрование require-mschap-v2 mppe-128 (ну раз ядром сразу поддерживается, почему бы и не использовать).

Но появилась проблема: при большом трафике (например, серфинг по сайтам на широких каналах, когда вся страница вываливается за секунду) на интерфейс ppp, он "засыпает". То есть vpn-соединение не рвется, а просто перестает принимать трафик. При этом по tcpdump я вижу, что запросы от клиента уходят и даже на сервер приходит ответ из интернета, но трафик почему-то на ppp-интерфейс не передается. При этом остальные ppp-интерфейсы в это же время работают нормально вплоть до того момента, пока и через них не начать принимать данные на высокой скорости.

Это я тут (http://www.opennet.me/openforum/vsluhforumID1/67046.html ) отпостился. Просмотрел эту тему.

Сейчас попробую совет, данный выше Al_Nightmare.

>Проапдейтить ядро до 2.6.17.
>Там пофиксили.

Всё, перерерыл всё по этому поводу. Stable-версия ядра уже вышла, ждем официальный .rpm. Действительно, баг в некоторых ветках ядра 2.6 есть (напр., 2.6.15, 16) и нужно патчить ядро. Если интересно, патч тут - http://marc.theaimsgroup.com/?l=linux-kernel&m=1150078819064...

>>Проапдейтить ядро до 2.6.17.
>>Там пофиксили.
>
>
>Всё, перерерыл всё по этому поводу. Stable-версия ядра уже вышла, ждем официальный
>.rpm. Действительно, баг в некоторых ветках ядра 2.6 есть (напр., 2.6.15,
>16) и нужно патчить ядро. Если интересно, патч тут - http://marc.theaimsgroup.com/?l=linux-kernel&m=1150078819064...
>
На fedora.redhat.com в обновлениях лежит новое ядро kernel-2.6.17-1.2139_FC5.i686.rpm .
Кто-нибудь уже пробовал его? В нем все исправлено или нет?

>На fedora.redhat.com в обновлениях лежит новое ядро kernel-2.6.17-1.2139_FC5.i686.rpm .
>Кто-нибудь уже пробовал его? В нем все исправлено или нет?

Я поставил. Всё исправлено, всё пашет замечательно.