forum.opennet.ru - "Дропаются пакеты на шлюзе FreeBSD 10" (36)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Дропаются пакеты на шлюзе FreeBSD 10"

Форум Открытые системы на сервере (Сеть. проблемы, диагностика / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Дропаются пакеты на шлюзе FreeBSD 10"	+/–
Сообщение от aleksey.melikov (ok) on 12-Мрт-14, 07:28
Ситуация такова, организовал виртуальную сеть в Vmware Workstation. Имеется шлюз на FreeBSD 10 (iptw, dummynet, mpd5) и пара клиентов Ubuntu 13. Задача состоит в том, чтобы при подключении по впн (клиент > шлюз), клиентам раздать интернет. Проблема в том, что при подключении, интернет у клиентов появляется, пингуется и по домену и по ip, но странички в браузере не открываются (находятся в процессе загрузки): http://s019.radikal.ru/i640/1403/5a/aa47f83b0b91.png При этом на шлюзе видно следующее: http://i024.radikal.ru/1403/fc/6f58bbc708ff.png Голову уже сломал. Пытался менять конфиг IPFW, рассчитывал gred, все без результата. Конфиг IPFW такой #!/bin/sh ipfw -f flush ipfw -f pipe flush ipfw -f table 1 flush ipfw -f table 2 flush cmd="ipfw -q" ex_face0="em0" #<<< ex_face1="em" in_face="em1" lo_face="lo0" ng_face="ng*" # -------- raspredelenie userov pool0="192.169.128.0/24{131-137}" #<<< pool1="192.168.0.0/24{138-143}" # --------- out sheip table(1) ipfw table 1 add 192.169.128.131 1 ipfw table 1 add 192.169.128.132 1 # --------- in sheip table(2) ipfw table 2 add 192.169.128.131 2 ipfw table 2 add 192.169.128.132 2 # --------- interfaces ne ogranichenie pravilami (lo0 i local interface) #<<< $cmd add 00100 reass ip from any to any $cmd add 00101 allow all from any to any via $lo_face $cmd add 00111 allow tcp from any to me 1723 in via $in_face $cmd add 00112 allow tcp from me 1723 to any out via $in_face $cmd add 00113 allow tcp from any to me 22 in via $in_face $cmd add 00114 allow tcp from me 22 to any out via $in_face $cmd add 00115 allow gre from any to me in via $in_face $cmd add 00116 allow gre from me to any out via $in_face $cmd add 00119 allow udp from any to me 161 $cmd add 00120 allow udp from me 161 to any $cmd add 00121 allow all from any to me 137-139,445 $cmd add 00122 allow all from me 137-139,445 to any # --------- pravila dlya IN traffica na vneshnih interfaces $cmd add 01010 skipto 01040 ip from $pool0 to any in recv $ng_face #<<< $cmd add 01011 skipto 01060 ip from $pool1 to any in recv $ng_face $cmd add 01011 deny all from any to any in via $in_face $cmd add 01040 setfib 0 ip from any to any in recv $ng_face keep-state $cmd add 01050 allow ip from any to any via $ng_face #<<< $cmd add 01060 setfib 1 ip from any to any in recv $ng_face keep-state #<<< $cmd add 01070 allow ip from any to any via $ng_face $cmd pipe 1 config bw 512Kbit/s queue 80 mask src-ip 0xffffffff gred 0.002/13/39/0.1 $cmd pipe 2 config bw 512Kbit/s queue 80 mask dst-ip 0xffffffff gred 0.002/13/39/0.1 $cmd nat 1 config log if $ex_face0 same_ports reset deny_in #<<< $cmd nat 2 config log if $ex_face1 same_ports reset deny_in $cmd add 10160 pipe tablearg ip from "table(1)" to any out xmit $ex_face0 $cmd add 10170 nat 1 ip from any to any via $ex_face0 $cmd add 10180 pipe tablearg ip from any to "table(2)" in recv $ex_face0 #<<< $cmd add 10190 pipe tablearg ip from "table(1)" to any out xmit $ex_face1 #<<< $cmd add 10200 nat 2 ip from any to any via $ex_face1 #<<< $cmd add 10210 pipe tablearg ip from any to "table(2)" in recv $ex_face1 $cmd add 10220 allow all from any to any $cmd add 65534 deny log logamount 1000000 all from any to any Подытожу на что у меня падают подозрение: 1)Workstation (возможно неполноценно работает виртуализация и следствие отброшенные пакеты) 2)Некорректно настроен IPFW (уж не знаю где проблему искать, конфигурация выше проверенная, работала на FreeBSD 9 около полугода) 3)Конфликт IP (мнение не мое, поэтому куда копать не знаю) Подскажите, где искать проблему? Огромное спасибо за любые ответы.
Ответить \| Правка \| Cообщить модератору

Оглавление

Дропаются пакеты на шлюзе FreeBSD 10, DN, 09:40 , 12-Мрт-14, (1)

Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 11:43 , 12-Мрт-14, (2)

Дропаются пакеты на шлюзе FreeBSD 10, DN, 13:33 , 12-Мрт-14, (3) +2

Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 14:35 , 12-Мрт-14, (4)

Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 17:25 , 12-Мрт-14, (5)

Дропаются пакеты на шлюзе FreeBSD 10, DN, 17:52 , 12-Мрт-14, (6)

Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 21:59 , 12-Мрт-14, (7)

Дропаются пакеты на шлюзе FreeBSD 10, DN, 02:25 , 13-Мрт-14, (8) +1
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 08:38 , 13-Мрт-14, (9)

Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 09:06 , 13-Мрт-14, (10) +1

Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 09:23 , 13-Мрт-14, (11) +1

Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 13:26 , 13-Мрт-14, (12)

Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 13:47 , 13-Мрт-14, (13) +1

Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 14:49 , 13-Мрт-14, (14)

Дропаются пакеты на шлюзе FreeBSD 10, DN, 15:59 , 13-Мрт-14, (15)

Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 16:45 , 13-Мрт-14, (16)

Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 18:00 , 13-Мрт-14, (17)

Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 20:02 , 13-Мрт-14, (18)

Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 21:11 , 13-Мрт-14, (19)
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 11:44 , 14-Мрт-14, (20)
Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 12:32 , 14-Мрт-14, (21) +1
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 12:58 , 14-Мрт-14, (22)
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 14:49 , 14-Мрт-14, (23)
Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 16:12 , 14-Мрт-14, (24)
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 16:47 , 14-Мрт-14, (25)
Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 16:54 , 14-Мрт-14, (26)
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 17:27 , 14-Мрт-14, (27)
Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 17:39 , 14-Мрт-14, (28)
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 18:27 , 14-Мрт-14, (29)
Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 18:28 , 14-Мрт-14, (30)
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 18:43 , 14-Мрт-14, (31)
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 18:52 , 14-Мрт-14, (32)
Дропаются пакеты на шлюзе FreeBSD 10, михалыч, 19:25 , 14-Мрт-14, (33) +1
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 19:37 , 14-Мрт-14, (34)
Дропаются пакеты на шлюзе FreeBSD 10, DN, 20:27 , 14-Мрт-14, (35)
Дропаются пакеты на шлюзе FreeBSD 10, aleksey.melikov, 09:07 , 30-Мрт-14, (36)

Сообщения по теме [Сортировка по времени | RSS]

1. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от DN (ok) on 12-Мрт-14, 09:40

> Ситуация такова, организовал виртуальную сеть в Vmware Workstation. Имеется шлюз на FreeBSD
> 10 (iptw, dummynet, mpd5) и пара клиентов Ubuntu 13. Задача состоит
> в том, чтобы при подключении по впн (клиент > шлюз), клиентам
> раздать интернет. Проблема в том, что при подключении, интернет у клиентов
> появляется, пингуется и по домену и по ip, но странички в
> браузере не открываются (находятся в процессе загрузки):
> http://s019.radikal.ru/i640/1403/5a/aa47f83b0b91.png
Посмотрите в сторону Path MTU discovery, DF bit и MSS .

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 12-Мрт-14, 11:43

>> Ситуация такова, организовал виртуальную сеть в Vmware Workstation. Имеется шлюз на FreeBSD
>> 10 (iptw, dummynet, mpd5) и пара клиентов Ubuntu 13. Задача состоит
>> в том, чтобы при подключении по впн (клиент > шлюз), клиентам
>> раздать интернет. Проблема в том, что при подключении, интернет у клиентов
>> появляется, пингуется и по домену и по ip, но странички в
>> браузере не открываются (находятся в процессе загрузки):
>> http://s019.radikal.ru/i640/1403/5a/aa47f83b0b91.png
> Посмотрите в сторону Path MTU discovery, DF bit и MSS .
в конфиге mpd5 прописано set iface enable tcpmssfix
Все таки думаете что в MTU проблема?
Кстати не знаю вследствие чего, но теперь пакеты дропаются только в одной трубе
http://s018.radikal.ru/i515/1403/b6/eed3e0e19007.png

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Дропаются пакеты на шлюзе FreeBSD 10" +2 +/–

Сообщение от DN (ok) on 12-Мрт-14, 13:33

>>> http://s019.radikal.ru/i640/1403/5a/aa47f83b0b91.png
>> Посмотрите в сторону Path MTU discovery, DF bit и MSS .
> в конфиге mpd5 прописано set iface enable tcpmssfix
> Все таки думаете что в MTU проблема?
Теперь не уверен.
Временно отключите в ipfw все pipe и проверьте, как будет работать.
> Кстати не знаю вследствие чего, но теперь пакеты дропаются только в одной
> трубе
> http://s018.radikal.ru/i515/1403/b6/eed3e0e19007.png
Полагаю, на выход трафик маленький.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 12-Мрт-14, 14:35

>>>> http://s019.radikal.ru/i640/1403/5a/aa47f83b0b91.png
>>> Посмотрите в сторону Path MTU discovery, DF bit и MSS .
>> в конфиге mpd5 прописано set iface enable tcpmssfix
>> Все таки думаете что в MTU проблема?
> Теперь не уверен.
> Временно отключите в ipfw все pipe и проверьте, как будет работать.
>> Кстати не знаю вследствие чего, но теперь пакеты дропаются только в одной
>> трубе
>> http://s018.radikal.ru/i515/1403/b6/eed3e0e19007.png
> Полагаю, на выход трафик маленький.
Отключил все трубы, но результат как неудивительно тот же. Вот что при этом происходит в IPFW:
http://s018.radikal.ru/i515/1403/14/6b73110c8782.png
Возможно поможет, общая структура виртуальной сети:
http://i047.radikal.ru/1403/e9/70a0fa6c31c5.png

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 12-Мрт-14, 17:25

>[оверквотинг удален]
>> Временно отключите в ipfw все pipe и проверьте, как будет работать.
>>> Кстати не знаю вследствие чего, но теперь пакеты дропаются только в одной
>>> трубе
>>> http://s018.radikal.ru/i515/1403/b6/eed3e0e19007.png
>> Полагаю, на выход трафик маленький.
> Отключил все трубы, но результат как неудивительно тот же. Вот что при
> этом происходит в IPFW:
> http://s018.radikal.ru/i515/1403/14/6b73110c8782.png
> Возможно поможет, общая структура виртуальной сети:
> http://i047.radikal.ru/1403/e9/70a0fa6c31c5.png
Я в тупике. Удалил уже все что можно из правил IPFW
http://s020.radikal.ru/i717/1403/58/3fd46cb380c5.png
а результат тот же
http://s019.radikal.ru/i643/1403/57/e9b36fea71aa.png
Видимо не в том направлении копаю.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от DN (ok) on 12-Мрт-14, 17:52

>> Отключил все трубы, но результат как неудивительно тот же. Вот что при
>> этом происходит в IPFW:
>> http://s018.radikal.ru/i515/1403/14/6b73110c8782.png
>> Возможно поможет, общая структура виртуальной сети:
>> http://i047.radikal.ru/1403/e9/70a0fa6c31c5.png
Из FreeBSD шлюза через wan интерфейс проблемы доступа есть ?
> Я в тупике. Удалил уже все что можно из правил IPFW
> http://s020.radikal.ru/i717/1403/58/3fd46cb380c5.png
> а результат тот же
> http://s019.radikal.ru/i643/1403/57/e9b36fea71aa.png
> Видимо не в том направлении копаю.
Проверьте MTU из FreeBSD через em0 (wan) и обратно, если есть такая возможность.
Проверьте MTU из FreeBSD через em1 в сторону ubuntu клиентов и обратно.
# ping -S 192.168.244.131 -s SIZE www.ya.ru
# ping -S 192.169.128.100 -s SIZE 192.169.128.131
# ping -S 192.169.128.100 -s SIZE 192.169.128.132
Из 192.169.128.131 и 192.169.128.132
# ping -s SIZE 192.169.128.100

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от михалыч (ok) on 12-Мрт-14, 21:59

> pool0="192.169.128.0/24{131-137}"
Это шутки ради такая сеть выбрана?
Там у вас нат и всё-такое прочее, но чистоты ради лучше брать адреса из 192.168.0.0/16

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Дропаются пакеты на шлюзе FreeBSD 10" +1 +/–

Сообщение от DN (ok) on 13-Мрт-14, 02:25

>> pool0="192.169.128.0/24{131-137}"
> Это шутки ради такая сеть выбрана?
> Там у вас нат и всё-такое прочее, но чистоты ради лучше брать
> адреса из 192.168.0.0/16
Действительно проверьте:
inetnum:         192.169.128.0 - 192.169.255.255
org:             GODAD
netname:         GO-DADDY-COM-LLC
status:          allocation
remarks:         Please send abuse complaints to abuse@godaddy.com

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 08:38

>> pool0="192.169.128.0/24{131-137}"
> Это шутки ради такая сеть выбрана?
> Там у вас нат и всё-такое прочее, но чистоты ради лучше брать
> адреса из 192.168.0.0/16
Это диапазон адресов раздаваемый mpd5.
То есть идея была раздавать интернет тем кто подключен по впн.
Вот кстати конфиг mpd5
startup:
    set user root pass1 admin
    set console self 127.0.0.1 5005
    set console open
    #web
    set web self 192.168.28.1 5006
    set web open
default:
    load vpn
vpn:
    set ippool add poolsat 192.169.128.129 192.169.128.254
    create bundle template B
    set iface enable proxy-arp
    set iface idle 1800
    set iface enable tcpmssfix
    set ipcp yes vjcomp
    set ipcp ranges 192.169.128.100/32 ippool poolsat
    set ipcp dns 8.8.8.8
    set bundle enable compression
    set ccp yes mppc
    set mppc yes e40
    set mppc yes e128
    set mppc yes stateless
    create link template L pptp
    set link action bundle B
    set link enable multilink
    set link yes acfcomp protocomp
    set link mtu 1460
    set link no pap chap
    set link enable chap
    set link keep-alive 10 60
    set pptp self 192.168.28.1
    set link enable incoming
файл mpd.secret
user1        user1            192.169.128.131
user2        user2            192.169.128.132

>> Там у вас нат и всё-такое прочее, но чистоты ради лучше брать
>> адреса из 192.168.0.0/16
> Действительно проверьте:
> inetnum:         192.169.128.0 - 192.169.255.255
> org:
>  GODAD
> netname:         GO-DADDY-COM-LLC
> status:          allocation
> remarks:         Please send abuse
> complaints to abuse@godaddy.com
Не совсем понял что вы имели ввиду?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Дропаются пакеты на шлюзе FreeBSD 10" +1 +/–

Сообщение от михалыч (ok) on 13-Мрт-14, 09:06

>[оверквотинг удален]
>>> адреса из 192.168.0.0/16
>> Действительно проверьте:
>> inetnum:         192.169.128.0 - 192.169.255.255
>> org:
>>  GODAD
>> netname:         GO-DADDY-COM-LLC
>> status:          allocation
>> remarks:         Please send abuse
>> complaints to abuse@godaddy.com
> Не совсем понял что вы имели ввиду?
гы-гыг )) что имею, то и ввиду )), извините, не удержался
да что мы тут имеем? тут вам тонко намекали, а сейчас я вам говорю прямым текстом -
нельзя так вот запросто и вольно обращаться с IP-адресами (они этого страшно не любят!!)
Сегодня вы эти "взяли", а завтра заберёте IP-адреса у Google и Microsoft?
я понимаю, что вы используете nat и mpd, но всё же, возьмите серые адреса для тестов,
так оно надёжнее будет и правильнее. не исключено, что глюки у вас "прут" от неправильного использования IP-адресов (я не уверен на 100%, т.к. не проверял)))
вот серые адреса специально для этого выделенные
RFC1918
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
вот сети и адреса, которые зарезервированы (не стоит их использовать просто так)
draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
0.0.0.0/8
169.254.0.0/16
192.0.2.0/24
224.0.0.0/4
240.0.0.0/4
hint
просто поменяйте у себя 192.169.... на 192.168....

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Дропаются пакеты на шлюзе FreeBSD 10" +1 +/–

Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 09:23

>[оверквотинг удален]
> вот сети и адреса, которые зарезервированы (не стоит их использовать просто так)
> draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
> DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
> 0.0.0.0/8
> 169.254.0.0/16
> 192.0.2.0/24
> 224.0.0.0/4
> 240.0.0.0/4
> hint
> просто поменяйте у себя 192.169.... на 192.168....
Спасибо за доходчивое объяснение ;)
Видимо плохо мат. часть читал.
Позже отпишу о результатах.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 13:26

>[оверквотинг удален]
>> 0.0.0.0/8
>> 169.254.0.0/16
>> 192.0.2.0/24
>> 224.0.0.0/4
>> 240.0.0.0/4
>> hint
>> просто поменяйте у себя 192.169.... на 192.168....
> Спасибо за доходчивое объяснение ;)
> Видимо плохо мат. часть читал.
> Позже отпишу о результатах.
В общем поменял все ip с 192.169... на 192.168.... но по прежнему все та же проблема.
Что удивительно, на самом шлюзе FreeBSD никаких проблем со связью нет, и странички в браузере открываются тоже нормально.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Дропаются пакеты на шлюзе FreeBSD 10" +1 +/–

Сообщение от михалыч (ok) on 13-Мрт-14, 13:47

>[оверквотинг удален]
>>> 240.0.0.0/4
>>> hint
>>> просто поменяйте у себя 192.169.... на 192.168....
>> Спасибо за доходчивое объяснение ;)
>> Видимо плохо мат. часть читал.
>> Позже отпишу о результатах.
> В общем поменял все ip с 192.169... на 192.168.... но по прежнему
> все та же проблема.
> Что удивительно, на самом шлюзе FreeBSD никаких проблем со связью нет, и
> странички в браузере открываются тоже нормально.
было бы реальное железо, а так, искать проблему на виртуалке... ((
ну что ещё могу посоветовать?
1 попробовать другой клиент (windows, *bsd)
2 пробовать без использования mpd (ethernet напрямую)
3 другую виртуалку?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 14:49

>[оверквотинг удален]
>>> Позже отпишу о результатах.
>> В общем поменял все ip с 192.169... на 192.168.... но по прежнему
>> все та же проблема.
>> Что удивительно, на самом шлюзе FreeBSD никаких проблем со связью нет, и
>> странички в браузере открываются тоже нормально.
> было бы реальное железо, а так, искать проблему на виртуалке... ((
> ну что ещё могу посоветовать?
> 1 попробовать другой клиент (windows, *bsd)
> 2 пробовать без использования mpd (ethernet напрямую)
> 3 другую виртуалку?
Всем спасибо, продолжу копать. Сообщу о результате, если что то измениться.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от DN (ok) on 13-Мрт-14, 15:59

> Всем спасибо, продолжу копать. Сообщу о результате, если что то измениться.
Проверьте MTU из FreeBSD через em1 в сторону ubuntu клиентов и обратно.
# ping -S 192.168.128.100 -s SIZE 192.168.128.131
# ping -S 192.168.128.100 -s SIZE 192.168.128.132
Из 192.168.128.131 и 192.168.128.132
# ping -s SIZE 192.168.128.100
Покажите таблицы маршрутизации на FreeBSD и Ubuntu, хотя Вы писали, что
все ресолвится и пингуется.
А NAT для 192.168.128.131 и 192.168.128.132 работает ?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 16:45

>> Всем спасибо, продолжу копать. Сообщу о результате, если что то измениться.
> Проверьте MTU из FreeBSD через em1 в сторону ubuntu клиентов и обратно.
> # ping -S 192.168.128.100 -s SIZE 192.168.128.131
> # ping -S 192.168.128.100 -s SIZE 192.168.128.132
> Из 192.168.128.131 и 192.168.128.132
> # ping -s SIZE 192.168.128.100
> Покажите таблицы маршрутизации на FreeBSD и Ubuntu, хотя Вы писали, что
> все ресолвится и пингуется.
> А NAT для 192.168.128.131 и 192.168.128.132 работает ?
Я в недоумении. Винда лечит шлюз :D
В общем что произошло. Решил попробовать в качестве клиента Windows XP.
Поставил, настроил, подключился по впн, открыл браузер. Покликал по страничкам не грузятся. Нажал диагностика неполадок. Мастер диагностики пошуршал пару минут и выдал
http://s018.radikal.ru/i512/1403/d3/50bb0d94d7ef.png
После чего все сайты начали грузиться. Подумал не бывает. Перезагрузил клиента на WinXP, захожу в браузер - не грузиться, запускаю диагностику после чего все отлично грузиться.
Вот полный отчет мастера диагностики
http://gfile.ru/a4fPJ
Проблему пока так и не нашел.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 18:00

>[оверквотинг удален]
> В общем что произошло. Решил попробовать в качестве клиента Windows XP.
> Поставил, настроил, подключился по впн, открыл браузер. Покликал по страничкам не грузятся.
> Нажал диагностика неполадок. Мастер диагностики пошуршал пару минут и выдал
> http://s018.radikal.ru/i512/1403/d3/50bb0d94d7ef.png
> После чего все сайты начали грузиться. Подумал не бывает. Перезагрузил клиента на
> WinXP, захожу в браузер - не грузиться, запускаю диагностику после чего
> все отлично грузиться.
> Вот полный отчет мастера диагностики
> http://gfile.ru/a4fPJ
> Проблему пока так и не нашел.
Нашел проблему
"Обнаружен маршрут по умолчанию (шлюз), не связанный с выбранным сетевым подключением"
Чуть позже отпишу о решении.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 20:02

>[оверквотинг удален]
>> http://s018.radikal.ru/i512/1403/d3/50bb0d94d7ef.png
>> После чего все сайты начали грузиться. Подумал не бывает. Перезагрузил клиента на
>> WinXP, захожу в браузер - не грузиться, запускаю диагностику после чего
>> все отлично грузиться.
>> Вот полный отчет мастера диагностики
>> http://gfile.ru/a4fPJ
>> Проблему пока так и не нашел.
> Нашел проблему
> "Обнаружен маршрут по умолчанию (шлюз), не связанный с выбранным сетевым подключением"
> Чуть позже отпишу о решении.
Уважаемые форумчане. Видимо я что то не понимаю. При подключении по впн у клиента формируется такая таблица маршрутов
http://s003.radikal.ru/i204/1403/92/e3e67d7094c5.png
никак не могу понять почему там основной шлюз именно такой. я же задавал в конфигурации mpd5 - 172.16.1.10
на шлюзе в этот момент такая таблица
http://s020.radikal.ru/i714/1403/4b/e478068ee811.png
вот конфиги ipfw
#!/bin/sh
ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush
ipfw -f table 1 flush
ipfw -f table 2 flush
cmd="ipfw -q"
ex_face0="em0"
in_face="em1"
lo_face="lo0"
ng_face="ng*"
yota0="172.16.1.0/24{11-128}"
# --------- out sheip table(1)
ipfw table 1 add 172.16.1.11 1
ipfw table 1 add 172.16.1.12 1
# --------- in sheip table(2)
ipfw table 2 add 172.16.1.11 2
ipfw table 2 add 172.16.1.12 2

$cmd add 00101 allow all from any to any via $lo_face
$cmd add 00111 allow tcp from any to me 1723 in via $in_face
$cmd add 00112 allow tcp from me 1723 to any out via $in_face
$cmd add 00113 allow tcp from any to me 22 in via $in_face
$cmd add 00114 allow tcp from me 22 to any out via $in_face
$cmd add 00115 allow gre from any to me in via $in_face
$cmd add 00116 allow gre from me to any out via $in_face
$cmd add 00117 allow all from any to me 80 via $in_face
$cmd add 00118 allow all from me 80 to any via $in_face
$cmd add 00119 allow udp from any to me 161
$cmd add 00120 allow udp from me 161 to any
$cmd add 00121 allow all from any to me 137-139,445
$cmd add 00122 allow all from me 137-139,445 to any
$cmd add 01010 skipto 01040 ip from $yota0 to any in recv $ng_face
$cmd add 01011 deny all from any to any in via $in_face
$cmd add 01040 setfib 0 ip from any to any in recv $ng_face keep-state
$cmd add 01050 allow ip from any to any via $ng_face
$cmd nat 1 config log if $ex_face0 same_ports reset deny_in
$cmd add 10170 nat 1 ip from any to any via $ex_face0
$cmd add 10220 allow all from any to any
$cmd add 65534 deny log logamount 1000000 all from any to any

и mpd5
startup:
    set user root pass1 admin
    set console self 127.0.0.1 5005
    set console open
    #web
    set web self 192.168.28.1 5006
    set web open
default:
    load vpn
vpn:
    set ippool add poolsat 172.16.1.11 172.16.1.128
    create bundle template B
    set iface enable proxy-arp
    set iface idle 1800
    set iface enable tcpmssfix
    set ipcp yes vjcomp
    set ipcp ranges 172.16.1.10/32 ippool poolsat
    set ipcp dns 8.8.8.8
    set bundle enable compression
    set ccp yes mppc
    set mppc yes e40
    set mppc yes e128
    set mppc yes stateless
    create link template L pptp
    set link action bundle B
    set link enable multilink
    set link yes acfcomp protocomp
    set link mtu 1460
    set link no pap chap
    set link enable chap
    set link keep-alive 10 60
    set pptp self 192.168.28.1
    set link enable incoming
И опять та же проблема. Страницы грузятся но не загружаются.
Подскажите, что я упуская из виду?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от михалыч (ok) on 13-Мрт-14, 21:11

> И опять та же проблема. Страницы грузятся но не загружаются.
> Подскажите, что я упуская из виду?
С таблицей маршрутизации windows всё в порядке.
Она именно так её и строит. Почитайте.
Конфиг mpd тоже вроде нормальный.
Возможно проблема с файерволом.
Сделайте для проверки
ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush
ipfw -f table 1 flush
ipfw -f table 2 flush
ipfw nat 1 delete
ipfw add 100 nat 10 all from any to any via em0
ipfw nat 10 config if em0
ipfw add 200 allow all from any to any
Проверьте ipfw show и как открываются страницы
Может в вашем конфиге nat виноват ключик deny_in ?
как же пакетики назад пойдут?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 11:44

>[оверквотинг удален]
> ipfw -f queue flush
> ipfw -f table 1 flush
> ipfw -f table 2 flush
> ipfw nat 1 delete
> ipfw add 100 nat 10 all from any to any via em0
> ipfw nat 10 config if em0
> ipfw add 200 allow all from any to any
> Проверьте ipfw show и как открываются страницы
> Может в вашем конфиге nat виноват ключик deny_in ?
> как же пакетики назад пойдут?
Пробовал вашу конфигурацию, нат не схватывает пакеты.
http://s013.radikal.ru/i324/1403/48/4d84c6d289c6.png
Однако если применить эту конфигурацию
#!/bin/sh
ipfw -f flush
ipfw -f pipe flush
ipfw -f queue flush
ipfw -f table 1 flush
ipfw -f table 2 flush
cmd="ipfw -q"
ex_face0="em0"
in_face="em1"
lo_face="lo0"
ng_face="ng*"
yota0="172.16.1.0/24{11-128}"
# --------- out sheip table(1)
ipfw table 1 add 172.16.1.11 1
ipfw table 1 add 172.16.1.12 1
# --------- in sheip table(2)
ipfw table 2 add 172.16.1.11 2
ipfw table 2 add 172.16.1.12 2

$cmd add 00101 allow all from any to any via $lo_face
$cmd add 00111 allow tcp from any to me 1723 in via $in_face
$cmd add 00112 allow tcp from me 1723 to any out via $in_face
$cmd add 00113 allow tcp from any to me 22 in via $in_face
$cmd add 00114 allow tcp from me 22 to any out via $in_face
$cmd add 00115 allow gre from any to me in via $in_face
$cmd add 00116 allow gre from me to any out via $in_face
$cmd add 00117 allow all from any to me 80 via $in_face
$cmd add 00118 allow all from me 80 to any via $in_face
$cmd add 00119 allow udp from any to me 161
$cmd add 00120 allow udp from me 161 to any
$cmd add 00121 allow all from any to me 137-139,445
$cmd add 00122 allow all from me 137-139,445 to any
# убрал >>> $cmd add 01010 skipto 01040 ip from $yota0 to any in recv $ng_face
# убрал >>> $cmd add 01011 deny all from any to any in via $in_face
# убрал >>> $cmd add 01040 setfib 0 ip from any to any in recv $ng_face keep-state
$cmd add 01050 allow ip from any to any via $ng_face
$cmd nat 1 config log if $ex_face0 same_ports reset deny_in
$cmd add 10170 nat 1 ip from any to any via $ex_face0
$cmd add 10220 allow all from any to any
$cmd add 65534 deny log logamount 1000000 all from any to any
при подключении по впн и после(!) проверки мастером диагностики windows работает все хорошо.
Вот как меняется таблица маршрутизации windows до проверки
http://s019.radikal.ru/i608/1403/45/cc05c6b0cedd.png
и после проверки и исправления проблем
http://i056.radikal.ru/1403/6d/fd5e11d4f18a.png
статистика  ipfw
http://s005.radikal.ru/i210/1403/e6/a2dee39c46c8.png
так что действительно думаю проблема в правилах ipfw

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Дропаются пакеты на шлюзе FreeBSD 10" +1 +/–

Сообщение от михалыч (ok) on 14-Мрт-14, 12:32

> так что действительно думаю проблема в правилах ipfw
Да, это так, и ошибка ваша ясна и видна, путь решения тоже ясен))
То, что винда перестраивает свою таблицу маршрутизации вполне объяснимо.
Маршрут по умолчанию устанавливается через впн, после его подключения.
И в качестве дефаулт роутера, винда устанавливает свой впн интерфейс с назначенным ему IP-адресом.
А потом, так как она (винда) видит, что впн она подключила с ip достижимого без шлюза, то она и перестраивает свою таблицу маршрутизации, наплевав на установленный впн.
А так как её ip  (не впн) прекрасно идёт через нат (см.ниже), то инет, веб прекрасно работает.
Интернет у вас не работает из-за того, что в правилах у вас видно,
что ng-интерфейсы (правило 1050) срабатывает раньше, чем нат (правило 10170)
В вашем случае, нужно, чтобы nat был раньше.
А вообще, не в первый раз встречаюсь уже с тем, что скопируют люди чужой конфиг ipfw, слегка изменив его под себя (зачастую только поменяв имена интерфейсов) и удивляются тому, что не работает так, как ожидалось.
начинайте всегда с малого, с конфига из 2-3 строчек,
потом уже начинайте обвязку и постепенно добавлять нагрузку:
трубы, очереди, приоритеты, сквиды, mpd и тд. и тп.
добейтесь чтобы у вас заработал минимальный конфиг из 3 строк
ipfw add 1 nat 1 all from any to any via em0
ipfw nat 1 config if em0
ipfw add 2 allow all from any to any

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 12:58

>[оверквотинг удален]
> люди чужой конфиг ipfw, слегка изменив его под себя (зачастую только
> поменяв имена интерфейсов) и удивляются тому, что не работает так, как
> ожидалось.
> начинайте всегда с малого, с конфига из 2-3 строчек,
> потом уже начинайте обвязку и постепенно добавлять нагрузку:
> трубы, очереди, приоритеты, сквиды, mpd и тд. и тп.
> добейтесь чтобы у вас заработал минимальный конфиг из 3 строк
> ipfw add 1 nat 1 all from any to any via em0
> ipfw nat 1 config if em0
> ipfw add 2 allow all from any to any
Спасибо;) Буду разбираться.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 14:49

>[оверквотинг удален]
> люди чужой конфиг ipfw, слегка изменив его под себя (зачастую только
> поменяв имена интерфейсов) и удивляются тому, что не работает так, как
> ожидалось.
> начинайте всегда с малого, с конфига из 2-3 строчек,
> потом уже начинайте обвязку и постепенно добавлять нагрузку:
> трубы, очереди, приоритеты, сквиды, mpd и тд. и тп.
> добейтесь чтобы у вас заработал минимальный конфиг из 3 строк
> ipfw add 1 nat 1 all from any to any via em0
> ipfw nat 1 config if em0
> ipfw add 2 allow all from any to any
Как вы и посоветовали пошел от самого простого.
Удалось заставить работать следующий конфиг
#!/bin/sh
ipfw -f flush
cmd="ipfw -q"
ex_face="em0"
in_face="em1"
ng_face="ng*"
$cmd nat 1 config if $ex_face reset same_ports deny_in
$cmd add 00101 nat 1 all from any to any via $ex_face
$cmd add 00102 allow all from any to any via $ex_face
$cmd add 00103 allow all from any to any via $ng_face
$cmd add 01001 allow all from any to any via $in_face
Все отлично натится.
Пошел дальше, накрутил впн, получился такой конфиг
#!/bin/sh
ipfw -f flush
cmd="ipfw -q"
ex_face="em0"
in_face="em1"
ng_face="ng*"
$cmd nat 1 config if $ex_face reset same_ports deny_in
$cmd add 00101 nat 1 all from any to any via $ex_face
$cmd add 00102 allow all from any to any via $ex_face
$cmd add 00103 allow all from any to any via $ng_face
$cmd add 01001 allow gre from any to any via $in_face
$cmd add 01006 allow tcp from any to me 1723 in via $in_face
$cmd add 01007 allow tcp from me 1723 to any out via $in_face
Вроде бы все изменения логичные и должны работать, но опять же страницы грузятся и не открываются. Но пингуется все отлично.
НАТ как вы и советовали расположил в самом вверху, что бы ng интерфейсы его не перекрывали. В чем же может быть дело?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от михалыч (ok) on 14-Мрт-14, 16:12

Скопируйте свой старый конфиг в conf.old
Создайте новый, внесите в него буквально
#!/bin/sh
ipfw -f flush
cmd="ipfw -q"
ex_face="em0"
$cmd nat 1 config if $ex_face
$cmd add 1 nat 1 all from any to any via $ex_face
$cmd add 2 allow all from any to any
Ребутнитесь
Запустите mpd
Подключитесь клиентом и проверьте

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 16:47

>[оверквотинг удален]
> #!/bin/sh
> ipfw -f flush
> cmd="ipfw -q"
> ex_face="em0"
> $cmd nat 1 config if $ex_face
> $cmd add 1 nat 1 all from any to any via $ex_face
> $cmd add 2 allow all from any to any
> Ребутнитесь
> Запустите mpd
> Подключитесь клиентом и проверьте
Сделал. Без впн'а работает отлично, подключаю впн сайты не загружаются. делал. Без впн'а работает отлично, подключаю впн сайты не загружаются, и часть серверов не пингуются, хотя ip адреса получены.
http://i031.radikal.ru/1403/1c/46a58353577f.png

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от михалыч (ok) on 14-Мрт-14, 16:54

>[оверквотинг удален]
>> ex_face="em0"
>> $cmd nat 1 config if $ex_face
>> $cmd add 1 nat 1 all from any to any via $ex_face
>> $cmd add 2 allow all from any to any
>> Ребутнитесь
>> Запустите mpd
>> Подключитесь клиентом и проверьте
> Сделал. Без впн'а работает отлично, подключаю впн сайты не загружаются, и часть
> серверов не пингуются, хотя ip адреса получены.
> http://i031.radikal.ru/1403/1c/46a58353577f.png
MTU?
убавьте mtu на клиенте (можно поставить сразу 1400, если заработает можно повышать) http://www.speedguide.net/files/TCPOptimizer.exe
должно помочь

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 17:27

>[оверквотинг удален]
>>> Ребутнитесь
>>> Запустите mpd
>>> Подключитесь клиентом и проверьте
>> Сделал. Без впн'а работает отлично, подключаю впн сайты не загружаются, и часть
>> серверов не пингуются, хотя ip адреса получены.
>> http://i031.radikal.ru/1403/1c/46a58353577f.png
> MTU?
> убавьте mtu на клиенте (можно поставить сразу 1400, если заработает можно повышать)
> http://www.speedguide.net/files/TCPOptimizer.exe
> должно помочь
Потестил, было рекомендовано выставить в 1400. Выставил, но не помогло.
Как только подключаешься к впн все сайты в браузере отваливаются.
Кроме того, при подключеном впн часто бывают такие обрывы во время теста
Pinging [68.67.73.20] with 1500 bytes -> ..fragmented
Pinging [68.67.73.20] with 750 bytes ->Request Timed Out
The host you've chosen does not accept ICMP Pings, please chose a different one.

Pinging [68.67.73.20] with 1500 bytes -> ..fragmented
Pinging [68.67.73.20] with 750 bytes ->bytes=750 time=193ms TTL=127
Pinging [68.67.73.20] with 1125 bytes ->Request Timed Out
The host you've chosen does not accept ICMP Pings, please chose a different one.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от михалыч (ok) on 14-Мрт-14, 17:39

то, что 1tv.ru не пингается - это нормально,
вы ещё kremlin.ru попингайте ))
у них сейчас ddos разбушевался
а по ip сайты открываются? может с dns проблема?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 18:27

> то, что 1tv.ru не пингается - это нормально,
> вы ещё kremlin.ru попингайте ))
> у них сейчас ddos разбушевался
> а по ip сайты открываются? может с dns проблема?
B))) нет по ip тоже не открываются.
Думаю проблема не в ДНС
Вот лог оптимизатора при впн'e
Pinging [68.67.73.20] with 32 bytes ->bytes=32 time=192ms TTL=127
Pinging [68.67.73.20] with 32 bytes ->bytes=32 time=190ms TTL=127
Pinging [68.67.73.20] with 32 bytes ->bytes=32 time=190ms TTL=127
Pinging [193.10.252.19] with 32 bytes ->bytes=32 time=84ms TTL=127
Pinging [193.10.252.19] with 32 bytes ->bytes=32 time=92ms TTL=127
Pinging [193.10.252.19] with 32 bytes ->bytes=32 time=78ms TTL=127
Pinging [128.97.27.37] with 32 bytes ->bytes=32 time=247ms TTL=127
Pinging [128.97.27.37] with 32 bytes ->bytes=32 time=247ms TTL=127
Pinging [128.97.27.37] with 32 bytes ->bytes=32 time=251ms TTL=127
Pinging [188.43.64.251] with 32 bytes ->bytes=32 time=14ms TTL=127
Pinging [188.43.64.251] with 32 bytes ->bytes=32 time=17ms TTL=127
Pinging [188.43.64.251] with 32 bytes ->bytes=32 time=12ms TTL=127
Pinging [67.212.154.218] with 32 bytes ->bytes=32 time=287ms TTL=127
Pinging [67.212.154.218] with 32 bytes ->bytes=32 time=276ms TTL=127
Pinging [67.212.154.218] with 32 bytes ->bytes=32 time=279ms TTL=127
Ping statistics for above hosts:
  Packets: Sent = 15, Received = 15, Lost = 0 (0% loss)
Approximate round trip times (RTT) in milli-seconds:
  Minimum = 12ms, Maximum =  287ms, Average =  163ms
Кажется мне тут проблема как то с mpd5 связана.
Потому что, проблемы начинаются именно после того как по впн соединяешься

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от михалыч (ok) on 14-Мрт-14, 18:28

>> то, что 1tv.ru не пингается - это нормально,
>> вы ещё kremlin.ru попингайте ))
>> у них сейчас ddos разбушевался
>> а по ip сайты открываются? может с dns проблема?
> B))) нет по ip тоже не открываются.
> Кажется мне тут проблема как то с mpd5 связана.
> Потому что, проблемы начинаются именно после того как по впн соединяешься
жесть, душераздирающий триллер ))
отключим ipfw
выполните в консоли
ipfw -f -q flush
(проверьте, чтобы было чисто))
ipfw disable firewall
попробуем другой файервол, pf
создайте файл /etc/pf.conf
в нём
ext_if="em0"
scrub in
nat on $ext_if from !($ext_if) -> ($ext_if:0)
pass all
выполните в консоли
pfctl -e
pfctl -f /etc/pf.conf
и проверьте клиент с/без vpn

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 18:43

>>> то, что 1tv.ru не пингается - это нормально,
>>> вы ещё kremlin.ru попингайте ))
>>> у них сейчас ddos разбушевался
>>> а по ip сайты открываются? может с dns проблема?
>> B))) нет по ip тоже не открываются.
>> Кажется мне тут проблема как то с mpd5 связана.
>> Потому что, проблемы начинаются именно после того как по впн соединяешься
> жесть, душераздирающий триллер ))
Комедия просто)))
Закоментировал параметр set iface enable tcpmssfix в mpd5 все заработало :DD
В общем я в непонятках) и до сих пор не верю, а вы?)). сейчас дальше тестировать буду

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 18:52

>[оверквотинг удален]
>>>> у них сейчас ddos разбушевался
>>>> а по ip сайты открываются? может с dns проблема?
>>> B))) нет по ip тоже не открываются.
>>> Кажется мне тут проблема как то с mpd5 связана.
>>> Потому что, проблемы начинаются именно после того как по впн соединяешься
>> жесть, душераздирающий триллер ))
> Комедия просто)))
> Закоментировал параметр set iface enable tcpmssfix в mpd5 все заработало :DD
> В общем я в непонятках) и до сих пор не верю, а
> вы?)). сейчас дальше тестировать буду
Подгрузил старый конфиг IPFW полет нормальный :DD
В убунте проблемы остались, подозреваю что повлияло еще и то, что МТУ на клиенте был изменен

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Дропаются пакеты на шлюзе FreeBSD 10" +1 +/–

Сообщение от михалыч (ok) on 14-Мрт-14, 19:25

> Закоментировал параметр set iface enable tcpmssfix в mpd5 все заработало :DD
> В общем я в непонятках) и до сих пор не верю
думаю, что это из-за реализации mpd в виртуалке (реализован сервер и клиент), она (виртуалка) и "откусывает" по кусочку у пакетов )) да ещё и mpd своё отгрызает
потому как по дефолту этот параметр отключен,
но его включают (на реальном железе, во всяком случае))
он ведь для чего предназначен?
для того, чтобы максимальный размер пакета не превышал суммы входящих и исходящих TCP SYN сегментов, разрешенного MTU на интерфейсе

1 Попробуйте ради эксперимента выполнить шаги из 30
но с включенным set iface enable tcpmssfix
2 тоже ради эксперимента попробуйте с включенным set iface enable tcpmssfix  и с фаерволом ipfw
на виндовом клиенте ещё больше уменьшить mtu (например 1000)
на linux mtu легко правится (как и на фре впрочем)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 19:37

>[оверквотинг удален]
> но его включают (на реальном железе, во всяком случае))
> он ведь для чего предназначен?
> для того, чтобы максимальный размер пакета не превышал суммы входящих и исходящих
> TCP SYN сегментов, разрешенного MTU на интерфейсе
> 1 Попробуйте ради эксперимента выполнить шаги из 30
> но с включенным set iface enable tcpmssfix
> 2 тоже ради эксперимента попробуйте с включенным set iface enable tcpmssfix
> и с фаерволом ipfw
> на виндовом клиенте ещё больше уменьшить mtu (например 1000)
> на linux mtu легко правится (как и на фре впрочем)
Попробую. Чуть позже отпишусь.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от DN (ok) on 14-Мрт-14, 20:27

>> для того, чтобы максимальный размер пакета не превышал суммы входящих и исходящих
>> TCP SYN сегментов, разрешенного MTU на интерфейсе
>> 1 Попробуйте ради эксперимента выполнить шаги из 30
>> но с включенным set iface enable tcpmssfix
>> 2 тоже ради эксперимента попробуйте с включенным set iface enable tcpmssfix
>> и с фаерволом ipfw
>> на виндовом клиенте ещё больше уменьшить mtu (например 1000)
>> на linux mtu легко правится (как и на фре впрочем)
> Попробую. Чуть позже отпишусь.
Прочитай еще раз 1 пост (Path MTU discovery,DF,MSS), а то
online лабораторный сериал получается. ;-)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Дропаются пакеты на шлюзе FreeBSD 10" +/–

Сообщение от aleksey.melikov (ok) on 30-Мрт-14, 09:07

>[оверквотинг удален]
> но его включают (на реальном железе, во всяком случае))
> он ведь для чего предназначен?
> для того, чтобы максимальный размер пакета не превышал суммы входящих и исходящих
> TCP SYN сегментов, разрешенного MTU на интерфейсе
> 1 Попробуйте ради эксперимента выполнить шаги из 30
> но с включенным set iface enable tcpmssfix
> 2 тоже ради эксперимента попробуйте с включенным set iface enable tcpmssfix
> и с фаерволом ipfw
> на виндовом клиенте ещё больше уменьшить mtu (например 1000)
> на linux mtu легко правится (как и на фре впрочем)
В общем, что получилось в итоге.
При включенном set iface enable tcpmssfix, какой бы мту я не выставлял, в windows не работает. Плюс к этому заметил интересную деталь, изменение мту в windows вовсе ничего не дает (имею ввиду то, что для работы было достаточно отключить set iface enable tcpmssfix во freebsd).
Что касается ubuntu, то отключение опции set iface enable tcpmssfix во freebsd не достаточно, странички в браузере все равно не грузятся. Помогает жесткое определение мту для mpd5 во freebsd - set link mtu 1360. C 1360 все хорошо работает.
Так что вот такая тема получилась. Всем спасибо за помощь ;)

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
Сообщение от DN (ok) on 12-Мрт-14, 09:40
> Ситуация такова, организовал виртуальную сеть в Vmware Workstation. Имеется шлюз на FreeBSD > 10 (iptw, dummynet, mpd5) и пара клиентов Ubuntu 13. Задача состоит > в том, чтобы при подключении по впн (клиент > шлюз), клиентам > раздать интернет. Проблема в том, что при подключении, интернет у клиентов > появляется, пингуется и по домену и по ip, но странички в > браузере не открываются (находятся в процессе загрузки): > http://s019.radikal.ru/i640/1403/5a/aa47f83b0b91.png Посмотрите в сторону Path MTU discovery, DF bit и MSS .
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 12-Мрт-14, 11:43
	>> Ситуация такова, организовал виртуальную сеть в Vmware Workstation. Имеется шлюз на FreeBSD >> 10 (iptw, dummynet, mpd5) и пара клиентов Ubuntu 13. Задача состоит >> в том, чтобы при подключении по впн (клиент > шлюз), клиентам >> раздать интернет. Проблема в том, что при подключении, интернет у клиентов >> появляется, пингуется и по домену и по ip, но странички в >> браузере не открываются (находятся в процессе загрузки): >> http://s019.radikal.ru/i640/1403/5a/aa47f83b0b91.png > Посмотрите в сторону Path MTU discovery, DF bit и MSS . в конфиге mpd5 прописано set iface enable tcpmssfix Все таки думаете что в MTU проблема? Кстати не знаю вследствие чего, но теперь пакеты дропаются только в одной трубе http://s018.radikal.ru/i515/1403/b6/eed3e0e19007.png
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Дропаются пакеты на шлюзе FreeBSD 10"	+2 +/–
	Сообщение от DN (ok) on 12-Мрт-14, 13:33
	>>> http://s019.radikal.ru/i640/1403/5a/aa47f83b0b91.png >> Посмотрите в сторону Path MTU discovery, DF bit и MSS . > в конфиге mpd5 прописано set iface enable tcpmssfix > Все таки думаете что в MTU проблема? Теперь не уверен. Временно отключите в ipfw все pipe и проверьте, как будет работать. > Кстати не знаю вследствие чего, но теперь пакеты дропаются только в одной > трубе > http://s018.radikal.ru/i515/1403/b6/eed3e0e19007.png Полагаю, на выход трафик маленький.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 12-Мрт-14, 14:35
	>>>> http://s019.radikal.ru/i640/1403/5a/aa47f83b0b91.png >>> Посмотрите в сторону Path MTU discovery, DF bit и MSS . >> в конфиге mpd5 прописано set iface enable tcpmssfix >> Все таки думаете что в MTU проблема? > Теперь не уверен. > Временно отключите в ipfw все pipe и проверьте, как будет работать. >> Кстати не знаю вследствие чего, но теперь пакеты дропаются только в одной >> трубе >> http://s018.radikal.ru/i515/1403/b6/eed3e0e19007.png > Полагаю, на выход трафик маленький. Отключил все трубы, но результат как неудивительно тот же. Вот что при этом происходит в IPFW: http://s018.radikal.ru/i515/1403/14/6b73110c8782.png Возможно поможет, общая структура виртуальной сети: http://i047.radikal.ru/1403/e9/70a0fa6c31c5.png
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 12-Мрт-14, 17:25
	>[оверквотинг удален] >> Временно отключите в ipfw все pipe и проверьте, как будет работать. >>> Кстати не знаю вследствие чего, но теперь пакеты дропаются только в одной >>> трубе >>> http://s018.radikal.ru/i515/1403/b6/eed3e0e19007.png >> Полагаю, на выход трафик маленький. > Отключил все трубы, но результат как неудивительно тот же. Вот что при > этом происходит в IPFW: > http://s018.radikal.ru/i515/1403/14/6b73110c8782.png > Возможно поможет, общая структура виртуальной сети: > http://i047.radikal.ru/1403/e9/70a0fa6c31c5.png Я в тупике. Удалил уже все что можно из правил IPFW http://s020.radikal.ru/i717/1403/58/3fd46cb380c5.png а результат тот же http://s019.radikal.ru/i643/1403/57/e9b36fea71aa.png Видимо не в том направлении копаю.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от DN (ok) on 12-Мрт-14, 17:52
	>> Отключил все трубы, но результат как неудивительно тот же. Вот что при >> этом происходит в IPFW: >> http://s018.radikal.ru/i515/1403/14/6b73110c8782.png >> Возможно поможет, общая структура виртуальной сети: >> http://i047.radikal.ru/1403/e9/70a0fa6c31c5.png Из FreeBSD шлюза через wan интерфейс проблемы доступа есть ? > Я в тупике. Удалил уже все что можно из правил IPFW > http://s020.radikal.ru/i717/1403/58/3fd46cb380c5.png > а результат тот же > http://s019.radikal.ru/i643/1403/57/e9b36fea71aa.png > Видимо не в том направлении копаю. Проверьте MTU из FreeBSD через em0 (wan) и обратно, если есть такая возможность. Проверьте MTU из FreeBSD через em1 в сторону ubuntu клиентов и обратно. # ping -S 192.168.244.131 -s SIZE www.ya.ru # ping -S 192.169.128.100 -s SIZE 192.169.128.131 # ping -S 192.169.128.100 -s SIZE 192.169.128.132 Из 192.169.128.131 и 192.169.128.132 # ping -s SIZE 192.169.128.100
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

7. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
Сообщение от михалыч (ok) on 12-Мрт-14, 21:59
> pool0="192.169.128.0/24{131-137}" Это шутки ради такая сеть выбрана? Там у вас нат и всё-такое прочее, но чистоты ради лучше брать адреса из 192.168.0.0/16
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Дропаются пакеты на шлюзе FreeBSD 10"	+1 +/–
	Сообщение от DN (ok) on 13-Мрт-14, 02:25
	>> pool0="192.169.128.0/24{131-137}" > Это шутки ради такая сеть выбрана? > Там у вас нат и всё-такое прочее, но чистоты ради лучше брать > адреса из 192.168.0.0/16 Действительно проверьте: inetnum: 192.169.128.0 - 192.169.255.255 org: GODAD netname: GO-DADDY-COM-LLC status: allocation remarks: Please send abuse complaints to abuse@godaddy.com
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 08:38
	>> pool0="192.169.128.0/24{131-137}" > Это шутки ради такая сеть выбрана? > Там у вас нат и всё-такое прочее, но чистоты ради лучше брать > адреса из 192.168.0.0/16 Это диапазон адресов раздаваемый mpd5. То есть идея была раздавать интернет тем кто подключен по впн. Вот кстати конфиг mpd5 startup: set user root pass1 admin set console self 127.0.0.1 5005 set console open #web set web self 192.168.28.1 5006 set web open default: load vpn vpn: set ippool add poolsat 192.169.128.129 192.169.128.254 create bundle template B set iface enable proxy-arp set iface idle 1800 set iface enable tcpmssfix set ipcp yes vjcomp set ipcp ranges 192.169.128.100/32 ippool poolsat set ipcp dns 8.8.8.8 set bundle enable compression set ccp yes mppc set mppc yes e40 set mppc yes e128 set mppc yes stateless create link template L pptp set link action bundle B set link enable multilink set link yes acfcomp protocomp set link mtu 1460 set link no pap chap set link enable chap set link keep-alive 10 60 set pptp self 192.168.28.1 set link enable incoming файл mpd.secret user1 user1 192.169.128.131 user2 user2 192.169.128.132 >> Там у вас нат и всё-такое прочее, но чистоты ради лучше брать >> адреса из 192.168.0.0/16 > Действительно проверьте: > inetnum: 192.169.128.0 - 192.169.255.255 > org: > GODAD > netname: GO-DADDY-COM-LLC > status: allocation > remarks: Please send abuse > complaints to abuse@godaddy.com Не совсем понял что вы имели ввиду?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "Дропаются пакеты на шлюзе FreeBSD 10"	+1 +/–
	Сообщение от михалыч (ok) on 13-Мрт-14, 09:06
	>[оверквотинг удален] >>> адреса из 192.168.0.0/16 >> Действительно проверьте: >> inetnum: 192.169.128.0 - 192.169.255.255 >> org: >> GODAD >> netname: GO-DADDY-COM-LLC >> status: allocation >> remarks: Please send abuse >> complaints to abuse@godaddy.com > Не совсем понял что вы имели ввиду? гы-гыг )) что имею, то и ввиду )), извините, не удержался да что мы тут имеем? тут вам тонко намекали, а сейчас я вам говорю прямым текстом - нельзя так вот запросто и вольно обращаться с IP-адресами (они этого страшно не любят!!) Сегодня вы эти "взяли", а завтра заберёте IP-адреса у Google и Microsoft? я понимаю, что вы используете nat и mpd, но всё же, возьмите серые адреса для тестов, так оно надёжнее будет и правильнее. не исключено, что глюки у вас "прут" от неправильного использования IP-адресов (я не уверен на 100%, т.к. не проверял))) вот серые адреса специально для этого выделенные RFC1918 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 вот сети и адреса, которые зарезервированы (не стоит их использовать просто так) draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) 0.0.0.0/8 169.254.0.0/16 192.0.2.0/24 224.0.0.0/4 240.0.0.0/4 hint просто поменяйте у себя 192.169.... на 192.168....
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Дропаются пакеты на шлюзе FreeBSD 10"	+1 +/–
	Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 09:23
	>[оверквотинг удален] > вот сети и адреса, которые зарезервированы (не стоит их использовать просто так) > draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, > DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) > 0.0.0.0/8 > 169.254.0.0/16 > 192.0.2.0/24 > 224.0.0.0/4 > 240.0.0.0/4 > hint > просто поменяйте у себя 192.169.... на 192.168.... Спасибо за доходчивое объяснение ;) Видимо плохо мат. часть читал. Позже отпишу о результатах.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 13:26
	>[оверквотинг удален] >> 0.0.0.0/8 >> 169.254.0.0/16 >> 192.0.2.0/24 >> 224.0.0.0/4 >> 240.0.0.0/4 >> hint >> просто поменяйте у себя 192.169.... на 192.168.... > Спасибо за доходчивое объяснение ;) > Видимо плохо мат. часть читал. > Позже отпишу о результатах. В общем поменял все ip с 192.169... на 192.168.... но по прежнему все та же проблема. Что удивительно, на самом шлюзе FreeBSD никаких проблем со связью нет, и странички в браузере открываются тоже нормально.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Дропаются пакеты на шлюзе FreeBSD 10"	+1 +/–
	Сообщение от михалыч (ok) on 13-Мрт-14, 13:47
	>[оверквотинг удален] >>> 240.0.0.0/4 >>> hint >>> просто поменяйте у себя 192.169.... на 192.168.... >> Спасибо за доходчивое объяснение ;) >> Видимо плохо мат. часть читал. >> Позже отпишу о результатах. > В общем поменял все ip с 192.169... на 192.168.... но по прежнему > все та же проблема. > Что удивительно, на самом шлюзе FreeBSD никаких проблем со связью нет, и > странички в браузере открываются тоже нормально. было бы реальное железо, а так, искать проблему на виртуалке... (( ну что ещё могу посоветовать? 1 попробовать другой клиент (windows, *bsd) 2 пробовать без использования mpd (ethernet напрямую) 3 другую виртуалку?
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 14:49
	>[оверквотинг удален] >>> Позже отпишу о результатах. >> В общем поменял все ip с 192.169... на 192.168.... но по прежнему >> все та же проблема. >> Что удивительно, на самом шлюзе FreeBSD никаких проблем со связью нет, и >> странички в браузере открываются тоже нормально. > было бы реальное железо, а так, искать проблему на виртуалке... (( > ну что ещё могу посоветовать? > 1 попробовать другой клиент (windows, *bsd) > 2 пробовать без использования mpd (ethernet напрямую) > 3 другую виртуалку? Всем спасибо, продолжу копать. Сообщу о результате, если что то измениться.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от DN (ok) on 13-Мрт-14, 15:59
	> Всем спасибо, продолжу копать. Сообщу о результате, если что то измениться. Проверьте MTU из FreeBSD через em1 в сторону ubuntu клиентов и обратно. # ping -S 192.168.128.100 -s SIZE 192.168.128.131 # ping -S 192.168.128.100 -s SIZE 192.168.128.132 Из 192.168.128.131 и 192.168.128.132 # ping -s SIZE 192.168.128.100 Покажите таблицы маршрутизации на FreeBSD и Ubuntu, хотя Вы писали, что все ресолвится и пингуется. А NAT для 192.168.128.131 и 192.168.128.132 работает ?
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 16:45
	>> Всем спасибо, продолжу копать. Сообщу о результате, если что то измениться. > Проверьте MTU из FreeBSD через em1 в сторону ubuntu клиентов и обратно. > # ping -S 192.168.128.100 -s SIZE 192.168.128.131 > # ping -S 192.168.128.100 -s SIZE 192.168.128.132 > Из 192.168.128.131 и 192.168.128.132 > # ping -s SIZE 192.168.128.100 > Покажите таблицы маршрутизации на FreeBSD и Ubuntu, хотя Вы писали, что > все ресолвится и пингуется. > А NAT для 192.168.128.131 и 192.168.128.132 работает ? Я в недоумении. Винда лечит шлюз :D В общем что произошло. Решил попробовать в качестве клиента Windows XP. Поставил, настроил, подключился по впн, открыл браузер. Покликал по страничкам не грузятся. Нажал диагностика неполадок. Мастер диагностики пошуршал пару минут и выдал http://s018.radikal.ru/i512/1403/d3/50bb0d94d7ef.png После чего все сайты начали грузиться. Подумал не бывает. Перезагрузил клиента на WinXP, захожу в браузер - не грузиться, запускаю диагностику после чего все отлично грузиться. Вот полный отчет мастера диагностики http://gfile.ru/a4fPJ Проблему пока так и не нашел.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 18:00
	>[оверквотинг удален] > В общем что произошло. Решил попробовать в качестве клиента Windows XP. > Поставил, настроил, подключился по впн, открыл браузер. Покликал по страничкам не грузятся. > Нажал диагностика неполадок. Мастер диагностики пошуршал пару минут и выдал > http://s018.radikal.ru/i512/1403/d3/50bb0d94d7ef.png > После чего все сайты начали грузиться. Подумал не бывает. Перезагрузил клиента на > WinXP, захожу в браузер - не грузиться, запускаю диагностику после чего > все отлично грузиться. > Вот полный отчет мастера диагностики > http://gfile.ru/a4fPJ > Проблему пока так и не нашел. Нашел проблему "Обнаружен маршрут по умолчанию (шлюз), не связанный с выбранным сетевым подключением" Чуть позже отпишу о решении.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 13-Мрт-14, 20:02
	>[оверквотинг удален] >> http://s018.radikal.ru/i512/1403/d3/50bb0d94d7ef.png >> После чего все сайты начали грузиться. Подумал не бывает. Перезагрузил клиента на >> WinXP, захожу в браузер - не грузиться, запускаю диагностику после чего >> все отлично грузиться. >> Вот полный отчет мастера диагностики >> http://gfile.ru/a4fPJ >> Проблему пока так и не нашел. > Нашел проблему > "Обнаружен маршрут по умолчанию (шлюз), не связанный с выбранным сетевым подключением" > Чуть позже отпишу о решении. Уважаемые форумчане. Видимо я что то не понимаю. При подключении по впн у клиента формируется такая таблица маршрутов http://s003.radikal.ru/i204/1403/92/e3e67d7094c5.png никак не могу понять почему там основной шлюз именно такой. я же задавал в конфигурации mpd5 - 172.16.1.10 на шлюзе в этот момент такая таблица http://s020.radikal.ru/i714/1403/4b/e478068ee811.png вот конфиги ipfw #!/bin/sh ipfw -f flush ipfw -f pipe flush ipfw -f queue flush ipfw -f table 1 flush ipfw -f table 2 flush cmd="ipfw -q" ex_face0="em0" in_face="em1" lo_face="lo0" ng_face="ng*" yota0="172.16.1.0/24{11-128}" # --------- out sheip table(1) ipfw table 1 add 172.16.1.11 1 ipfw table 1 add 172.16.1.12 1 # --------- in sheip table(2) ipfw table 2 add 172.16.1.11 2 ipfw table 2 add 172.16.1.12 2 $cmd add 00101 allow all from any to any via $lo_face $cmd add 00111 allow tcp from any to me 1723 in via $in_face $cmd add 00112 allow tcp from me 1723 to any out via $in_face $cmd add 00113 allow tcp from any to me 22 in via $in_face $cmd add 00114 allow tcp from me 22 to any out via $in_face $cmd add 00115 allow gre from any to me in via $in_face $cmd add 00116 allow gre from me to any out via $in_face $cmd add 00117 allow all from any to me 80 via $in_face $cmd add 00118 allow all from me 80 to any via $in_face $cmd add 00119 allow udp from any to me 161 $cmd add 00120 allow udp from me 161 to any $cmd add 00121 allow all from any to me 137-139,445 $cmd add 00122 allow all from me 137-139,445 to any $cmd add 01010 skipto 01040 ip from $yota0 to any in recv $ng_face $cmd add 01011 deny all from any to any in via $in_face $cmd add 01040 setfib 0 ip from any to any in recv $ng_face keep-state $cmd add 01050 allow ip from any to any via $ng_face $cmd nat 1 config log if $ex_face0 same_ports reset deny_in $cmd add 10170 nat 1 ip from any to any via $ex_face0 $cmd add 10220 allow all from any to any $cmd add 65534 deny log logamount 1000000 all from any to any и mpd5 startup: set user root pass1 admin set console self 127.0.0.1 5005 set console open #web set web self 192.168.28.1 5006 set web open default: load vpn vpn: set ippool add poolsat 172.16.1.11 172.16.1.128 create bundle template B set iface enable proxy-arp set iface idle 1800 set iface enable tcpmssfix set ipcp yes vjcomp set ipcp ranges 172.16.1.10/32 ippool poolsat set ipcp dns 8.8.8.8 set bundle enable compression set ccp yes mppc set mppc yes e40 set mppc yes e128 set mppc yes stateless create link template L pptp set link action bundle B set link enable multilink set link yes acfcomp protocomp set link mtu 1460 set link no pap chap set link enable chap set link keep-alive 10 60 set pptp self 192.168.28.1 set link enable incoming И опять та же проблема. Страницы грузятся но не загружаются. Подскажите, что я упуская из виду?
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от михалыч (ok) on 13-Мрт-14, 21:11
	> И опять та же проблема. Страницы грузятся но не загружаются. > Подскажите, что я упуская из виду? С таблицей маршрутизации windows всё в порядке. Она именно так её и строит. Почитайте. Конфиг mpd тоже вроде нормальный. Возможно проблема с файерволом. Сделайте для проверки ipfw -f flush ipfw -f pipe flush ipfw -f queue flush ipfw -f table 1 flush ipfw -f table 2 flush ipfw nat 1 delete ipfw add 100 nat 10 all from any to any via em0 ipfw nat 10 config if em0 ipfw add 200 allow all from any to any Проверьте ipfw show и как открываются страницы Может в вашем конфиге nat виноват ключик deny_in ? как же пакетики назад пойдут?
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 11:44
	>[оверквотинг удален] > ipfw -f queue flush > ipfw -f table 1 flush > ipfw -f table 2 flush > ipfw nat 1 delete > ipfw add 100 nat 10 all from any to any via em0 > ipfw nat 10 config if em0 > ipfw add 200 allow all from any to any > Проверьте ipfw show и как открываются страницы > Может в вашем конфиге nat виноват ключик deny_in ? > как же пакетики назад пойдут? Пробовал вашу конфигурацию, нат не схватывает пакеты. http://s013.radikal.ru/i324/1403/48/4d84c6d289c6.png Однако если применить эту конфигурацию #!/bin/sh ipfw -f flush ipfw -f pipe flush ipfw -f queue flush ipfw -f table 1 flush ipfw -f table 2 flush cmd="ipfw -q" ex_face0="em0" in_face="em1" lo_face="lo0" ng_face="ng*" yota0="172.16.1.0/24{11-128}" # --------- out sheip table(1) ipfw table 1 add 172.16.1.11 1 ipfw table 1 add 172.16.1.12 1 # --------- in sheip table(2) ipfw table 2 add 172.16.1.11 2 ipfw table 2 add 172.16.1.12 2 $cmd add 00101 allow all from any to any via $lo_face $cmd add 00111 allow tcp from any to me 1723 in via $in_face $cmd add 00112 allow tcp from me 1723 to any out via $in_face $cmd add 00113 allow tcp from any to me 22 in via $in_face $cmd add 00114 allow tcp from me 22 to any out via $in_face $cmd add 00115 allow gre from any to me in via $in_face $cmd add 00116 allow gre from me to any out via $in_face $cmd add 00117 allow all from any to me 80 via $in_face $cmd add 00118 allow all from me 80 to any via $in_face $cmd add 00119 allow udp from any to me 161 $cmd add 00120 allow udp from me 161 to any $cmd add 00121 allow all from any to me 137-139,445 $cmd add 00122 allow all from me 137-139,445 to any # убрал >>> $cmd add 01010 skipto 01040 ip from $yota0 to any in recv $ng_face # убрал >>> $cmd add 01011 deny all from any to any in via $in_face # убрал >>> $cmd add 01040 setfib 0 ip from any to any in recv $ng_face keep-state $cmd add 01050 allow ip from any to any via $ng_face $cmd nat 1 config log if $ex_face0 same_ports reset deny_in $cmd add 10170 nat 1 ip from any to any via $ex_face0 $cmd add 10220 allow all from any to any $cmd add 65534 deny log logamount 1000000 all from any to any при подключении по впн и после(!) проверки мастером диагностики windows работает все хорошо. Вот как меняется таблица маршрутизации windows до проверки http://s019.radikal.ru/i608/1403/45/cc05c6b0cedd.png и после проверки и исправления проблем http://i056.radikal.ru/1403/6d/fd5e11d4f18a.png статистика ipfw http://s005.radikal.ru/i210/1403/e6/a2dee39c46c8.png так что действительно думаю проблема в правилах ipfw
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "Дропаются пакеты на шлюзе FreeBSD 10"	+1 +/–
	Сообщение от михалыч (ok) on 14-Мрт-14, 12:32
	> так что действительно думаю проблема в правилах ipfw Да, это так, и ошибка ваша ясна и видна, путь решения тоже ясен)) То, что винда перестраивает свою таблицу маршрутизации вполне объяснимо. Маршрут по умолчанию устанавливается через впн, после его подключения. И в качестве дефаулт роутера, винда устанавливает свой впн интерфейс с назначенным ему IP-адресом. А потом, так как она (винда) видит, что впн она подключила с ip достижимого без шлюза, то она и перестраивает свою таблицу маршрутизации, наплевав на установленный впн. А так как её ip (не впн) прекрасно идёт через нат (см.ниже), то инет, веб прекрасно работает. Интернет у вас не работает из-за того, что в правилах у вас видно, что ng-интерфейсы (правило 1050) срабатывает раньше, чем нат (правило 10170) В вашем случае, нужно, чтобы nat был раньше. А вообще, не в первый раз встречаюсь уже с тем, что скопируют люди чужой конфиг ipfw, слегка изменив его под себя (зачастую только поменяв имена интерфейсов) и удивляются тому, что не работает так, как ожидалось. начинайте всегда с малого, с конфига из 2-3 строчек, потом уже начинайте обвязку и постепенно добавлять нагрузку: трубы, очереди, приоритеты, сквиды, mpd и тд. и тп. добейтесь чтобы у вас заработал минимальный конфиг из 3 строк ipfw add 1 nat 1 all from any to any via em0 ipfw nat 1 config if em0 ipfw add 2 allow all from any to any
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 12:58
	>[оверквотинг удален] > люди чужой конфиг ipfw, слегка изменив его под себя (зачастую только > поменяв имена интерфейсов) и удивляются тому, что не работает так, как > ожидалось. > начинайте всегда с малого, с конфига из 2-3 строчек, > потом уже начинайте обвязку и постепенно добавлять нагрузку: > трубы, очереди, приоритеты, сквиды, mpd и тд. и тп. > добейтесь чтобы у вас заработал минимальный конфиг из 3 строк > ipfw add 1 nat 1 all from any to any via em0 > ipfw nat 1 config if em0 > ipfw add 2 allow all from any to any Спасибо;) Буду разбираться.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 14:49
	>[оверквотинг удален] > люди чужой конфиг ipfw, слегка изменив его под себя (зачастую только > поменяв имена интерфейсов) и удивляются тому, что не работает так, как > ожидалось. > начинайте всегда с малого, с конфига из 2-3 строчек, > потом уже начинайте обвязку и постепенно добавлять нагрузку: > трубы, очереди, приоритеты, сквиды, mpd и тд. и тп. > добейтесь чтобы у вас заработал минимальный конфиг из 3 строк > ipfw add 1 nat 1 all from any to any via em0 > ipfw nat 1 config if em0 > ipfw add 2 allow all from any to any Как вы и посоветовали пошел от самого простого. Удалось заставить работать следующий конфиг #!/bin/sh ipfw -f flush cmd="ipfw -q" ex_face="em0" in_face="em1" ng_face="ng" $cmd nat 1 config if $ex_face reset same_ports deny_in $cmd add 00101 nat 1 all from any to any via $ex_face $cmd add 00102 allow all from any to any via $ex_face $cmd add 00103 allow all from any to any via $ng_face $cmd add 01001 allow all from any to any via $in_face Все отлично натится. Пошел дальше, накрутил впн, получился такой конфиг #!/bin/sh ipfw -f flush cmd="ipfw -q" ex_face="em0" in_face="em1" ng_face="ng" $cmd nat 1 config if $ex_face reset same_ports deny_in $cmd add 00101 nat 1 all from any to any via $ex_face $cmd add 00102 allow all from any to any via $ex_face $cmd add 00103 allow all from any to any via $ng_face $cmd add 01001 allow gre from any to any via $in_face $cmd add 01006 allow tcp from any to me 1723 in via $in_face $cmd add 01007 allow tcp from me 1723 to any out via $in_face Вроде бы все изменения логичные и должны работать, но опять же страницы грузятся и не открываются. Но пингуется все отлично. НАТ как вы и советовали расположил в самом вверху, что бы ng интерфейсы его не перекрывали. В чем же может быть дело?
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	24. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от михалыч (ok) on 14-Мрт-14, 16:12
	Скопируйте свой старый конфиг в conf.old Создайте новый, внесите в него буквально #!/bin/sh ipfw -f flush cmd="ipfw -q" ex_face="em0" $cmd nat 1 config if $ex_face $cmd add 1 nat 1 all from any to any via $ex_face $cmd add 2 allow all from any to any Ребутнитесь Запустите mpd Подключитесь клиентом и проверьте
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 16:47
	>[оверквотинг удален] > #!/bin/sh > ipfw -f flush > cmd="ipfw -q" > ex_face="em0" > $cmd nat 1 config if $ex_face > $cmd add 1 nat 1 all from any to any via $ex_face > $cmd add 2 allow all from any to any > Ребутнитесь > Запустите mpd > Подключитесь клиентом и проверьте Сделал. Без впн'а работает отлично, подключаю впн сайты не загружаются. делал. Без впн'а работает отлично, подключаю впн сайты не загружаются, и часть серверов не пингуются, хотя ip адреса получены. http://i031.radikal.ru/1403/1c/46a58353577f.png
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	26. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от михалыч (ok) on 14-Мрт-14, 16:54
	>[оверквотинг удален] >> ex_face="em0" >> $cmd nat 1 config if $ex_face >> $cmd add 1 nat 1 all from any to any via $ex_face >> $cmd add 2 allow all from any to any >> Ребутнитесь >> Запустите mpd >> Подключитесь клиентом и проверьте > Сделал. Без впн'а работает отлично, подключаю впн сайты не загружаются, и часть > серверов не пингуются, хотя ip адреса получены. > http://i031.radikal.ru/1403/1c/46a58353577f.png MTU? убавьте mtu на клиенте (можно поставить сразу 1400, если заработает можно повышать) http://www.speedguide.net/files/TCPOptimizer.exe должно помочь
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 17:27
	>[оверквотинг удален] >>> Ребутнитесь >>> Запустите mpd >>> Подключитесь клиентом и проверьте >> Сделал. Без впн'а работает отлично, подключаю впн сайты не загружаются, и часть >> серверов не пингуются, хотя ip адреса получены. >> http://i031.radikal.ru/1403/1c/46a58353577f.png > MTU? > убавьте mtu на клиенте (можно поставить сразу 1400, если заработает можно повышать) > http://www.speedguide.net/files/TCPOptimizer.exe > должно помочь Потестил, было рекомендовано выставить в 1400. Выставил, но не помогло. Как только подключаешься к впн все сайты в браузере отваливаются. Кроме того, при подключеном впн часто бывают такие обрывы во время теста Pinging [68.67.73.20] with 1500 bytes -> ..fragmented Pinging [68.67.73.20] with 750 bytes ->Request Timed Out The host you've chosen does not accept ICMP Pings, please chose a different one. Pinging [68.67.73.20] with 1500 bytes -> ..fragmented Pinging [68.67.73.20] with 750 bytes ->bytes=750 time=193ms TTL=127 Pinging [68.67.73.20] with 1125 bytes ->Request Timed Out The host you've chosen does not accept ICMP Pings, please chose a different one.
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от михалыч (ok) on 14-Мрт-14, 17:39
	то, что 1tv.ru не пингается - это нормально, вы ещё kremlin.ru попингайте )) у них сейчас ddos разбушевался а по ip сайты открываются? может с dns проблема?
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	29. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от aleksey.melikov (ok) on 14-Мрт-14, 18:27
	> то, что 1tv.ru не пингается - это нормально, > вы ещё kremlin.ru попингайте )) > у них сейчас ddos разбушевался > а по ip сайты открываются? может с dns проблема? B))) нет по ip тоже не открываются. Думаю проблема не в ДНС Вот лог оптимизатора при впн'e Pinging [68.67.73.20] with 32 bytes ->bytes=32 time=192ms TTL=127 Pinging [68.67.73.20] with 32 bytes ->bytes=32 time=190ms TTL=127 Pinging [68.67.73.20] with 32 bytes ->bytes=32 time=190ms TTL=127 Pinging [193.10.252.19] with 32 bytes ->bytes=32 time=84ms TTL=127 Pinging [193.10.252.19] with 32 bytes ->bytes=32 time=92ms TTL=127 Pinging [193.10.252.19] with 32 bytes ->bytes=32 time=78ms TTL=127 Pinging [128.97.27.37] with 32 bytes ->bytes=32 time=247ms TTL=127 Pinging [128.97.27.37] with 32 bytes ->bytes=32 time=247ms TTL=127 Pinging [128.97.27.37] with 32 bytes ->bytes=32 time=251ms TTL=127 Pinging [188.43.64.251] with 32 bytes ->bytes=32 time=14ms TTL=127 Pinging [188.43.64.251] with 32 bytes ->bytes=32 time=17ms TTL=127 Pinging [188.43.64.251] with 32 bytes ->bytes=32 time=12ms TTL=127 Pinging [67.212.154.218] with 32 bytes ->bytes=32 time=287ms TTL=127 Pinging [67.212.154.218] with 32 bytes ->bytes=32 time=276ms TTL=127 Pinging [67.212.154.218] with 32 bytes ->bytes=32 time=279ms TTL=127 Ping statistics for above hosts: Packets: Sent = 15, Received = 15, Lost = 0 (0% loss) Approximate round trip times (RTT) in milli-seconds: Minimum = 12ms, Maximum = 287ms, Average = 163ms Кажется мне тут проблема как то с mpd5 связана. Потому что, проблемы начинаются именно после того как по впн соединяешься
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	30. "Дропаются пакеты на шлюзе FreeBSD 10"	+/–
	Сообщение от михалыч (ok) on 14-Мрт-14, 18:28
	>> то, что 1tv.ru не пингается - это нормально, >> вы ещё kremlin.ru попингайте )) >> у них сейчас ddos разбушевался >> а по ip сайты открываются? может с dns проблема? > B))) нет по ip тоже не открываются. > Кажется мне тут проблема как то с mpd5 связана. > Потому что, проблемы начинаются именно после того как по впн соединяешься жесть, душераздирающий триллер )) отключим ipfw выполните в консоли ipfw -f -q flush (проверьте, чтобы было чисто)) ipfw disable firewall попробуем другой файервол, pf создайте файл /etc/pf.conf в нём ext_if="em0" scrub in nat on $ext_if from !($ext_if) -> ($ext_if:0) pass all выполните в консоли pfctl -e pfctl -f /etc/pf.conf и проверьте клиент с/без vpn
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору