OpenForum RSS: ipatbles+masquerade pptp. Не могу понять где ошибка https://www.opennet.me/openforum/vsluhforumID1/93892.html CentOS 5.4 <br>Есть локальная сеть Eth1 192.168.255.0/24, сеть провайдера eth0 DHCP. Доступ в интернет осуществляется через pptp. Адрес VPN сервера всегда разный и лежит в подсети 192.168.0.0/255.255.255.0. DNS 81.28.160.1 81.28.160.111. Для ДНС и ВПН сервера прописаны постоянные маршруты при поднятии eth0.<br><br>В /etc/sysctl.conf net.ipv4.ip_forward=1<br>Сделаны:<br>/sbin/modprobe ipt_nat<br>/sbin/modprobe ipt_masquerade<br><br>Pptp поднимается на линух машине и с него все пингуется и через wget можно скачать страницу, например ya.ru. На Вынь ХР, находящейся в сети пинги, проходят нормально, но через explorer страницы не грузятся. <br><br>Не могу понять где затык...<br><br>Все листинги сняты при поднятом pptp.<br><br>[root@homegate tmp]# ifconfig<br>eth0 Link encap:Ethernet HWaddr 00:1B:11:C3:06:DB<br> inet addr:10.13.136.29 Bcast:10.13.136.63 Mask:255.255.255.192<br> inet6 addr: fe80::21b:11ff:fec3:6db/64 Scope:Link<br> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br> RX packets:10769 erro ipatbles+masquerade pptp. Не могу понять где ошибка (FragMaster) https://www.opennet.me/openforum/vsluhforumID1/93892.html#9 Thu, 11 Oct 2012 15:16:24 GMT &gt;&gt; Проблему решили строки <br>&gt;&gt; $IPTABLES -A icmp_packets -p ICMP -s 0/0 -j ACCEPT <br>&gt; не обязательно все типы пропускать, но это уже мелочи <br><br>Решение временное, буду копать дальше.<br>Если следовать http://www.cymru.com/Documents/icmp-messages.html, то достаточно<br>NAME TYPE CODE COMMENT <br>ICMP_ECHO 8 0 /* Ping. */ <br>ICMP_ECHOREPLY 0 0 /* Ping response. */ <br>ICMP_UNREACH 3 4 /* ICMP_UNREACH_NEEDFRAG - Used by Path */ <br> /* MTU to determine the optimal MTU setting. */ <br>ICMP_TIMXCEED 11 0 /* TTL expired in transit. Used by UNIX */ <br> /* traceroute and Windows tracert. Note that */ <br> /* UNIX traceroute also uses a high UDP port. */ <br> /* This message is also important when */ <br> /* routing loops occur. */<br><br><br>Если не сложно, поделитесь минимально необходимыми типами icmp.<br> ipatbles+masquerade pptp. Не могу понять где ошибка (ALex_hha) https://www.opennet.me/openforum/vsluhforumID1/93892.html#8 Thu, 11 Oct 2012 11:01:36 GMT &gt; Проблему решили строки<br>&gt; $IPTABLES -A icmp_packets -p ICMP -s 0/0 -j ACCEPT<br><br>не обязательно все типы пропускать, но это уже мелочи<br> ipatbles+masquerade pptp. Не могу понять где ошибка (Frag) https://www.opennet.me/openforum/vsluhforumID1/93892.html#7 Wed, 10 Oct 2012 18:17:23 GMT Конфиг был полностью взят с http://www.opennet.ru/docs/RUS/iptables/iptables-rus.tar.gz, там почему-то <br>$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT<br>$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT<br>и в самом конфиге есть строки <br>if [ $PPPOE_PMTU == "yes" ] ; then<br> $IPTABLES -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN \<br> -j TCPMSS --clamp-mss-to-pmtu<br>fi<br>Только вот по ночи забыл PPPOE_PMTU = "yes" прописать.<br>Зато теперь буду полностью знать что такое --clamp-mss-to-pmtu<br><br>Полезные ссылки<br>http://www.opennet.ru/base/net/pppoe_mtu.txt.html - полностью описание проявления проблемы и ее исправление<br>http://tldp.org/HOWTO/IP-Masquerade-HOWTO/mtu-issues.html<br><br>Проблему решили строки<br>$IPTABLES -A icmp_packets -p ICMP -s 0/0 -j ACCEPT<br>$IPTABLES -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br><br>Всем спасибо.<br> ipatbles+masquerade pptp. Не могу понять где ошибка (Frag) https://www.opennet.me/openforum/vsluhforumID1/93892.html#6 Wed, 10 Oct 2012 18:16:40 GMT ---<br> ipatbles+masquerade pptp. Не могу понять где ошибка (Дядя_Федор) https://www.opennet.me/openforum/vsluhforumID1/93892.html#5 Wed, 10 Oct 2012 17:03:44 GMT Вот, кстати целый трактат от cisco. :) http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml<br> ipatbles+masquerade pptp. Не могу понять где ошибка (Дядя_Федор) https://www.opennet.me/openforum/vsluhforumID1/93892.html#4 Wed, 10 Oct 2012 17:01:33 GMT &gt; спс, посмотрю...<br><br> Как верно указал выше коллега - подобная проблема именно в МТУ. :) И в том, что в файрволле не разрешены ICMP Path MTU Discovery. <br>Это в дополнение.<br>1. http://www.znep.com/~marcs/mtu/<br>2. http://en.wikipedia.org/wiki/Path_MTU_Discovery<br><br><br> ipatbles+masquerade pptp. Не могу понять где ошибка (ALex_hha) https://www.opennet.me/openforum/vsluhforumID1/93892.html#3 Wed, 10 Oct 2012 07:27:33 GMT Попробуй <br><br># iptables -t mangle -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br> ipatbles+masquerade pptp. Не могу понять где ошибка (Frag) https://www.opennet.me/openforum/vsluhforumID1/93892.html#2 Wed, 10 Oct 2012 06:53:32 GMT &gt; Пинг работает на icmp протоколе, "explorer" на tcp. Это так для <br>&gt; справки.<br>&gt; попробуйте с линукс машины wget -d http://gosuslugi.ru <br><br>Пробовал сразу после пинга, wget ya.ru загружает вполне читабельный index.html<br><br>&gt; Посмотрите tcpdump'ом на шлюзе, проблема скорее всего в mtu/mss.<br><br>спс, посмотрю...<br><br><br> ipatbles+masquerade pptp. Не могу понять где ошибка (КуКу) https://www.opennet.me/openforum/vsluhforumID1/93892.html#1 Wed, 10 Oct 2012 06:39:00 GMT Пинг работает на icmp протоколе, "explorer" на tcp. Это так для справки.<br>попробуйте с линукс машины wget -d http://gosuslugi.ru <br><br>Посмотрите tcpdump'ом на шлюзе, проблема скорее всего в mtu/mss.<br>