https://opennet.ru/openforum/vsluhforumID1/88851.html FreeBSD 8.0. Два интерфейса sk0(lan) rl0(wan). mpd5 подымает соединение к провайдеру(ng0)<br>На ng0 и rl0 запущен NAT. Фаервол практически пуст:<br><br>00100 allow ip from any to any via lo0<br>00200 deny ip from any to 127.0.0.0/8<br>00300 deny ip from 127.0.0.0/8 to any<br>00450 divert 8558 ip from any to 10.0.0.0/8 via rl0<br>00500 divert 8448 ip from any to any via ng0<br>65535 allow ip from any to any<br><br>Скрипт который всё запускает:<br><br>#!/bin/sh<br>/usr/local/etc/rc.d/mpd5 onestart<br>sleep 15<br>natd -f /usr/local/etc/natdvpn.conf -n ng0<br>natd -f /usr/local/etc/natdlan.conf -n rl0<br>/sbin/ipfw add 450 divert 8558 ip from any to 10.0.0.0/8 via rl0<br>/sbin/ipfw add 500 divert 8448 ip from any to any via ng0<br><br>natdvpn.conf:<br><br>port 8448<br>interface ng0<br>same_ports yes<br>unregistered_only yes<br>dynamic yes<br><br>На сервере(через elinks) rutracker грузиться нормально. На клиенте отображается только первая страница с надписью, а редирект не происходит. Также speedtest.net грузиться до половини. все остальные сайты работают. Чего посовет https://opennet.ru/openforum/vsluhforumID1/88851.html#15 Sat, 03 Jul 2010 10:51:54 GMT &gt;[оверквотинг удален]<br>&gt;интерфейсе, работающем поверх ethernet можно поставить MTU 1500 и как оно <br>&gt;будет передавать большие пакеты в этом случае. <br>&gt;<br>&gt;Когда разберетесь с этим вопросом и поймете каким образом невозможность сего действия <br>&gt;приводит к проблемам с MTU/MSS и в каких случаях это происходит, <br>&gt;вот тогда и ненавидьте наздоровье. <br>&gt;<br>&gt;Это я к тому, что ISP тут совершенно не при чём, ну <br>&gt;разве только что он сам не озаботился _для всех_ включить TCPMSSFIX, <br>&gt;чего он делать и не обязан. <br><br>А вам не кажется, что использование нестандартных (отличающиеся от принятых по умолчанию в популярных на сегодняшний день ОС) значений MTU/MCP в контексте предоставления услуг<br>доступа к сети является признаком крайней "шаражности" конторы, которая гордо зовет себя "ISP" ?<br><br><br> https://opennet.ru/openforum/vsluhforumID1/88851.html#14 Fri, 02 Jul 2010 13:27:41 GMT &gt;[оверквотинг удален]<br>&gt;соединением быть не должно. <br>&gt;<br>&gt;<br>&gt;&gt;&gt;Что такое MSS и зачем оно надо я и без вас знаю. <br>&gt;&gt;<br>&gt;&gt;Знание "всего и вся" - это пройдет. <br>&gt;<br>&gt;Ещё раз, но более явно вас прошу. Давайте без этой мании величия. <br>&gt;Мне действительно хочется понять вашу позицию, но выслушивать вот эти "знание <br>&gt;придёт" я не желаю. <br><br> https://opennet.ru/openforum/vsluhforumID1/88851.html#13 Wed, 19 May 2010 14:55:08 GMT &gt;&gt;AFAIK, TCPMSSFIX требуется только _в тех_ случаях, когда _зачем-то_ блокированы соотвествующие ICMP-пакеты. <br>&gt;<br>&gt;Мы живем в реальном, а не идеальном мире. <br><br>Вот я собственно и интересуюсь, зачем это блокировать? Т.е. даже на соседнего клиента того же ISP нормально за-ssh-иться нельзя. БредЪ.<br><br><br>&gt;&gt;2.) А куда делись следующие вещи: фрагментация на роутерах и PMTU? <br>&gt;<br>&gt;Роутеры не занимаются фрагментацией, они от этого устают сильно. <br><br>Ну зачем так категорично? Какие-то занимаются, а какие-то нет. А кто как оправдывает почему их роутер этим не занимается - вопрос к администраторам данных роутеров. Например там, где работал я, проблем с перенагрузкой роутеров никогда небыло. А если они есть, то это проблема ISP, а не клиента.<br><br>&gt;Именно для этого MSS и придуман, чтобы роутеры фрагментацией/пересборкой пакетов не занимались. <br><br>А ещё был придуман PMTU. И если нужные ICMP-пакеты не блокированы то на пути _нормальных_ (с моей точки зрения) ISP никаких проблем с соединением быть не должно.<br><br><br>&gt;&gt;Что такое MS https://opennet.ru/openforum/vsluhforumID1/88851.html#12 Wed, 19 May 2010 05:31:09 GMT &gt;AFAIK, TCPMSSFIX требуется только _в тех_ случаях, когда _зачем-то_ блокированы соотвествующие ICMP-пакеты. <br><br>Мы живем в реальном, а не идеальном мире.<br><br>&gt;2.) А куда делись следующие вещи: фрагментация на роутерах и PMTU? <br><br>Роутеры не занимаются фрагментацией, они от этого устают сильно.<br>Именно для этого MSS и придуман, чтобы роутеры фрагментацией/пересборкой пакетов не занимались.<br><br>&gt;Что такое MSS и зачем оно надо я и без вас знаю. <br><br>Знание "всего и вся" - это пройдет.<br> https://opennet.ru/openforum/vsluhforumID1/88851.html#11 Tue, 18 May 2010 16:25:46 GMT &gt;[оверквотинг удален]<br>&gt;интерфейсе, работающем поверх ethernet можно поставить MTU 1500 и как оно <br>&gt;будет передавать большие пакеты в этом случае. <br>&gt;<br>&gt;Когда разберетесь с этим вопросом и поймете каким образом невозможность сего действия <br>&gt;приводит к проблемам с MTU/MSS и в каких случаях это происходит, <br>&gt;вот тогда и ненавидьте наздоровье. <br>&gt;<br>&gt;Это я к тому, что ISP тут совершенно не при чём, ну <br>&gt;разве только что он сам не озаботился _для всех_ включить TCPMSSFIX, <br>&gt;чего он делать и не обязан. <br><br>AFAIK, TCPMSSFIX требуется только _в тех_ случаях, когда _зачем-то_ блокированы соотвествующие ICMP-пакеты.<br><br>А по поводу вашего поста чуть ниже:<br>1.) Ничего нового я не узнал.<br>2.) А куда делись следующие вещи: фрагментация на роутерах и PMTU?<br><br>Я, конечно, не отважусь говорить так смело как вы, по-скольку я в отличие от вас не ставлю целью оскарбить собеседника, но мне просто хочется узнать, где же я что не так понимаю.<br><br>P.S.: И не надо со мной как с ребёнком. Что такое MSS и зачем оно надо я и без ва https://opennet.ru/openforum/vsluhforumID1/88851.html#10 Mon, 17 May 2010 08:06:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Когда разберетесь с этим вопросом и поймете каким образом невозможность сего действия <br>&gt;&gt;приводит к проблемам с MTU/MSS и в каких случаях это происходит, <br>&gt;&gt;вот тогда и ненавидьте наздоровье. <br>&gt;&gt;<br>&gt;&gt;Это я к тому, что ISP тут совершенно не при чём, ну <br>&gt;&gt;разве только что он сам не озаботился _для всех_ включить TCPMSSFIX, <br>&gt;&gt;чего он делать и не обязан. <br>&gt;<br>&gt;Расскажите пожалуйста <br><br>Считаем, что между VPN-сервером и VPN-клиентом ethernet-среда, MTU 1500.<br>Когда подымаются VPN-соединения, каждый IP-пакет, который должен передаться по этому соединению, передается внутри IP-пакета между VPN-сервером и VPN-клиентом.<br><br>Каждый пакет VPN-канала вкладывается в IP пакет между VPN-сервером и VPN-клиентом,<br>соответственно максимальный размер пакета = MTU 1500 - 40 = 1460, что и будет значением MTU для VPN-интерфейса.<br><br>Компы локальной сети подключаются к серверу через тот же самый Ethernet, MTU у них 1500.<br>Они устанавливают соединение наружу, указывают при этом MSS (максимальный раз https://opennet.ru/openforum/vsluhforumID1/88851.html#9 Mon, 17 May 2010 06:22:31 GMT &gt;[оверквотинг удален]<br>&gt;интерфейсе, работающем поверх ethernet можно поставить MTU 1500 и как оно <br>&gt;будет передавать большие пакеты в этом случае. <br>&gt;<br>&gt;Когда разберетесь с этим вопросом и поймете каким образом невозможность сего действия <br>&gt;приводит к проблемам с MTU/MSS и в каких случаях это происходит, <br>&gt;вот тогда и ненавидьте наздоровье. <br>&gt;<br>&gt;Это я к тому, что ISP тут совершенно не при чём, ну <br>&gt;разве только что он сам не озаботился _для всех_ включить TCPMSSFIX, <br>&gt;чего он делать и не обязан. <br><br>Расскажите пожалуйста<br><br> https://opennet.ru/openforum/vsluhforumID1/88851.html#8 Mon, 17 May 2010 03:10:22 GMT &gt;&gt;Разобрался. В мпд нужно было "set iface enable tcpmssfix" прописать! <br>&gt;<br>&gt;Очень частая проблема... ненавижу таких ISP. А если заглянуть в man iptables, <br>&gt;то там вообще такие ISP названы "criminally braindead ISPs". <br><br>Что еще вы так глубоко ненавидите ?<br><br>Попробуйте понять приниципы пакетной передачи данных и принципы инкапсуляции, передачи данных внутри туннелей, которые применяются в PPTP-VPN, потом объясните, каким образом на туннельном интерфейсе, работающем поверх ethernet можно поставить MTU 1500 и как оно будет передавать большие пакеты в этом случае.<br><br>Когда разберетесь с этим вопросом и поймете каким образом невозможность сего действия приводит к проблемам с MTU/MSS и в каких случаях это происходит, вот тогда и ненавидьте наздоровье.<br><br>Это я к тому, что ISP тут совершенно не при чём, ну разве только что он сам не озаботился _для всех_ включить TCPMSSFIX, чего он делать и не обязан.<br> https://opennet.ru/openforum/vsluhforumID1/88851.html#7 Sat, 15 May 2010 11:31:48 GMT &gt;Разобрался. В мпд нужно было "set iface enable tcpmssfix" прописать! <br><br>Очень частая проблема... ненавижу таких ISP. А если заглянуть в man iptables, то там вообще такие ISP названы "criminally braindead ISPs".<br>