DES-2108 веб-морда не работает через VPN

[GeeZeeNburg]

Такую странную вещь словил.

Есть много DES-2108 в железном корпусе. Есть компьютер, который коннектится к сети, где много этих самых DES-2108, через VPN.

У свитчей не до конца прогружается веб-морда через VPN (не видно боковое меню и все картинки), напрямую в сети - все шикарно.

Морды других свитчей (DGS-1100-*, Zyxel ES-2108) открываются прекрасно.

PPTP-сервер поднят на Микротике RouterOS 6.39.1, PPTP-клиент - Windows 7. Винда поднимает коннект с MTU 1400, все сайты открываются. хотя сначала не все, помогло снизить MTU на винде, а затем вернуть на место о_О

 

Куда копать?

Может ли быть такое, что Микротик успешно подстраивает MTU для сайтов за натом, но в случае с простой маршрутизацией не происходит ничего?

[EShirokiy]

Копай мту

[GeeZeeNburg]

Копай мту

А где мне его крутить и в какую сторону? На микротике Max MTU 1460, в винде MTU 1400.

[YuryD]

Копай мту

А где мне его крутить и в какую сторону? На микротике Max MTU 1460, в винде MTU 1400.

Ну тык тест на мту. Пингайте с разными размерами пакета. Реально может быть траблема с маршрутизацией. Я много трахался с пробросами управления на длинках, пока не перевёл вланы управления в один. С тех пор - вёбморды открываются отлично, но только в ИЕ.

[GeeZeeNburg]

А в чем заключается проблема, я не могу понять? Разве не должен микротик фрагментировать пакеты от свитча, а винда затем собирать их снова?

Гугл объясняет, что дропаются пакеты только с Don't Fragmment.

[UglyAdmin]

2108 весьма странноват, да.

От браузера, кстати, очень зависит. Например, в свежем Хроме - невозможно настроить некоторые вещи. А в Файрфоксе легко.

В старых версиях браузеров - бывало и наоборот.

А уж со старыми прошивками 2108 чудил ещё и не так...

[starik-i-more]

Гугл объясняет, что дропаются пакеты только с Don't Fragmment.

 

Как то возился с аналогичной проблемой. Дамп показал, что свитч сам выставляет "do not fragment".

 

Можно на роутере этот флаг сбрасывать. Или делать adjust mss до размера, котрый гарантированно пролезает в туннель.

[Adim]

У свитчей не до конца прогружается веб-морда

надеюсь через осла лазите!!?

[myth]

У меня и на firefox работают. Chrome - даже залогиниться не получается

[GeeZeeNburg]

У DES-2108 в железе веб-морда работает адекватно во всех браузерах.

Только ишак в пластиковых DES-2108 - там разметка невалидная, только ИЕ парсит её.

 

Проблема решена сбросом флага DF на Микротике для пакетов от src-address-list=des2108-iron.

starik-i-more, спасибо. А change tcp mss=yes у меня стояло с самого начала, но никакого эффекта этого не давало, как ни странно.

[GeeZeeNburg]

И снова DES-2108, только пластиковый.

 

Используем функцию Trusted Host для того, чтобы коммутатор не терял управление. Возникли проблемы при попытке порулить свитчом из другой подсети.

Пусть свитч 192.168.10.1/24, шлюз 192.168.10.253. Компьютер, который должен получить управление - 192.168.20.1. В Trusted Host добавлен в виде 192.168.20.1/32.

Но свитч не отвечает, будто IP нет в Trusted Host. С маршрутизатора в сеть 10.0/24 пакеты уходят, с src-ip 20.1 и dst-ip 10.1.

При отключенном Trusted Host доступ есть.

Игрался с TTL, результата не дало.

Подумал, что свитч не хочет общаться с прописанным шлюзом. На маршрутизаторе включаю proxy-arp, расширяю маску до /16 на компьютере и свитче. Свитч не отвечает при любом состоянии функции Trusted Host!

При этом рядом стоящий в том же широковещательном домене DGS-1100-08 192.168.10.2/16 видно прекрасно.

 

Создается впечатление, что внутри фаервола свитча зашито два странных правила:

Если src-mac == маку шлюза и src-ip != шлюз и src-ip входит в подсеть свитча, то drop.

Если src-mac == маку шлюза и src-ip != шлюз и Trusted Host is Enabled, то drop.

 

Сталкивался кто? Нашли решение?

[starik-i-more]

Может сделать на роутере src-nat?

[GeeZeeNburg]

Спасибо за совет. Да, пришлось замаскарадить все запросы к dst-address-list=des2108-plastic.

И это еще не все. Они тоже ставят бит Don't Fragment.

 

Спасибо Д-Линку за счастливое детство.