форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Сеть. проблемы, диагностика / Linux)
Изначальное сообщение		[ Отслеживать ]

"Ubuntu Iptables PPTP. Ошибка 619"	+/–
Сообщение от PavelShishkin on 25-Сен-16, 12:53
Уважаемы Коллеги, здравствуйте! Помогите решить проблему. Имеется сервер на базе Ubuntu, на котором настроет NAT наружу. В интернете есть PPTP сервер (Ubuntu + PPTPD). Клиенты успешно подключаются к этому PPTP-серверу. И все ок. Однако клиенты находящиеся за NAT подключаются "один раз, через несколько". Если не подключаются, то выдается ошибка 619. Правила iptables упростил по максимуму. (см. ниже) Подозреваю, что проблема с хождением GRE, однако решения, которые рекомендуются не помогли. Если подключатся с этого-же компьютера, но через домашний роутер (DIR-615) с настроенным NAT, то проблем нет. Подскажите куда копать? Исходные: root@hotspot:/home/pavel# lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description:    Ubuntu 16.04.1 LTS Release:        16.04 Codename:       xenial -------------------------------------------- root@hotspot:/home/pavel# iptables-save # Generated by iptables-save v1.6.0 on Sun Sep 25 12:49:53 2016 *nat :PREROUTING ACCEPT [73628:4367037] :INPUT ACCEPT [28:2340] :OUTPUT ACCEPT [5:343] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o enp3s0 -j MASQUERADE COMMIT # Completed on Sun Sep 25 12:49:53 2016 # Generated by iptables-save v1.6.0 on Sun Sep 25 12:49:53 2016 *mangle :PREROUTING ACCEPT [536577:134229347] :INPUT ACCEPT [1055:76511] :FORWARD ACCEPT [342471:95146872] :OUTPUT ACCEPT [700:104631] :POSTROUTING ACCEPT [343172:95251576] COMMIT # Completed on Sun Sep 25 12:49:53 2016 # Generated by iptables-save v1.6.0 on Sun Sep 25 12:49:53 2016 *filter :INPUT ACCEPT [290:20631] :FORWARD ACCEPT [149198:55443393] :OUTPUT ACCEPT [186:21981] -A INPUT -p gre -j ACCEPT -A FORWARD -i tun0 -o enp3s0 -j ACCEPT -A FORWARD -p gre -j ACCEPT -A OUTPUT -p gre -j ACCEPT COMMIT # Completed on Sun Sep 25 12:49:53 2016 -------------------------------------------- root@hotspot:/home/pavel# lsmod | grep gre nf_nat_proto_gre       16384  1 nf_nat_pptp nf_nat                 24576  4 nf_nat_proto_gre,nf_nat_ipv4,nf_nat_pptp,nf_nat_masquerade_ipv4 nf_conntrack_proto_gre    16384  1 nf_conntrack_pptp ip_gre                 20480  0 ip_tunnel              28672  1 ip_gre gre                    16384  1 ip_gre nf_conntrack          106496  8 nf_conntrack_proto_gre,nf_nat,nf_nat_ipv4,nf_nat_pptp,xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_ipv4,nf_conntrack_pptp
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Ubuntu Iptables PPTP. Ошибка 619"	+/–
Сообщение от PavelShishkin on 25-Сен-16, 15:40
Выяснил один нюанс. Проблема наблюдается только при включенном Coovachilli. Именно он поднимает интерфейс tun0. Теперь вообще не знаю, что делать ( На форумах по Coovachilli информации нет. Помогите...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Ubuntu Iptables PPTP. Ошибка 619"	+/–
	Сообщение от aaa (??) on 25-Сен-16, 16:10
	> Выяснил один нюанс. > Проблема наблюдается только при включенном Coovachilli. Именно он поднимает интерфейс > tun0. > Теперь вообще не знаю, что делать ( > На форумах по Coovachilli информации нет. > Помогите... Раньше, на ядрах 2.4 надо было патчить их и иптаблес, но у вас вроде все модули подгружены. Возможно когда подымается tun0, что-то в таблице маршрутизации меняется, попробуйте уменьшить mtu до 1200 должно хватить на обертку пакетов. И еще проверьте работу при одном клиенте pptp, т.е. только одно подключение через нат, если работает, то пробуйте на втором подключиться.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Ubuntu Iptables PPTP. Ошибка 619"	+/–
	Сообщение от PavelShishkin on 25-Сен-16, 17:23
	> Раньше, на ядрах 2.4 надо было патчить их и иптаблес, но у > вас вроде все модули подгружены. > Возможно когда подымается tun0, что-то в таблице маршрутизации меняется, попробуйте уменьшить > mtu до 1200 должно хватить на обертку пакетов. И еще проверьте > работу при одном клиенте pptp, т.е. только одно подключение через нат, > если работает, то пробуйте на втором подключиться. Спасибо за ответ! Пробую именно одним клиентом. PPTP поднимается в одном случае из 5-7 (закономерности нет) Тоже грешу в сторону MTU. На tun0 снижал mtu до 1000. На все инкапсуляции хватило бы с лихвой, но безрезультатно. Только что заметил очень странную вещь, с которой не встречался ранее. CoovaChilli в данный момент включен. xxx.xxx.xxx.179 - адрес PPTP сервера. Разница во времени между введенными командами - меньше минуты. ----------------------------------------------------- Обмен пакетами с xxx.xxx.xxx.179 по с 1000 байтами данных: Ответ от xxx.xxx.xxx.179: Требуется фрагментация пакета, но установлен запрещающий флаг. Ответ от xxx.xxx.xxx.179: Требуется фрагментация пакета, но установлен запрещающий флаг. Статистика Ping для xxx.xxx.xxx.179:     Пакетов: отправлено = 5, получено = 5, потеряно = 0     (0% потерь) C:\Users\Pavel>ping xxx.xxx.xxx.179 -l 1000 -n 5 Обмен пакетами с xxx.xxx.xxx.179 по с 1000 байтами данных: Ответ от xxx.xxx.xxx.179: число байт=1000 время=18мс TTL=57 Ответ от xxx.xxx.xxx.179: число байт=1000 время=17мс TTL=57 Статистика Ping для xxx.xxx.xxx.179:     Пакетов: отправлено = 5, получено = 5, потеряно = 0     (0% потерь) Приблизительное время приема-передачи в мс:     Минимальное = 16мсек, Максимальное = 18 мсек, Среднее = 16 мсек ----------------------------------------------------- Учитывая, что PPTP иногда цепляется, а иногда нет. А также то, что в течение минуты пакеты одного размера то ходят, то нет. Действительно, проблема в MTU. Но как исправить? Без CoovaChilli, повторюсь, все работает в 100% случаях.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Ubuntu Iptables PPTP. Ошибка 619"	+/–
	Сообщение от aaa (??) on 26-Сен-16, 18:45
	>[оверквотинг удален] >     (0% потерь) > Приблизительное время приема-передачи в мс: >     Минимальное = 16мсек, Максимальное = 18 мсек, Среднее > = 16 мсек > ----------------------------------------------------- > Учитывая, что PPTP иногда цепляется, а иногда нет. А также то, что > в течение минуты пакеты одного размера то ходят, то нет. Действительно, > проблема в MTU. > Но как исправить? > Без CoovaChilli, повторюсь, все работает в 100% случаях. Если: Разница во времени между введенными командами - меньше минуты. то маршрут кэширован и потом идет по новому маршруту. mtu надо уменьшать на физическом интерфейсе. Ну и должно спасти iptables -t mangle -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Ubuntu Iptables PPTP. Ошибка 619"	+/–
	Сообщение от aaa (??) on 26-Сен-16, 18:54
	>[оверквотинг удален] >> проблема в MTU. >> Но как исправить? >> Без CoovaChilli, повторюсь, все работает в 100% случаях. > Если: > Разница во времени между введенными командами - меньше минуты. > то маршрут кэширован и потом идет по новому маршруту. > mtu надо уменьшать на физическом интерфейсе. > Ну и должно спасти > iptables -t mangle -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN > -j TCPMSS --clamp-mss-to-pmtu про: > mtu надо уменьшать на физическом интерфейсе. попутал маленько
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема