Jump to content
Калькуляторы

DES-2108 веб-морда не работает через VPN

Такую странную вещь словил.

Есть много DES-2108 в железном корпусе. Есть компьютер, который коннектится к сети, где много этих самых DES-2108, через VPN.

У свитчей не до конца прогружается веб-морда через VPN (не видно боковое меню и все картинки), напрямую в сети - все шикарно.

Морды других свитчей (DGS-1100-*, Zyxel ES-2108) открываются прекрасно.

PPTP-сервер поднят на Микротике RouterOS 6.39.1, PPTP-клиент - Windows 7. Винда поднимает коннект с MTU 1400, все сайты открываются. хотя сначала не все, помогло снизить MTU на винде, а затем вернуть на место о_О

 

Куда копать?

Может ли быть такое, что Микротик успешно подстраивает MTU для сайтов за натом, но в случае с простой маршрутизацией не происходит ничего?

Share this post


Link to post
Share on other sites

Копай мту

А где мне его крутить и в какую сторону? На микротике Max MTU 1460, в винде MTU 1400.

Ну тык тест на мту. Пингайте с разными размерами пакета. Реально может быть траблема с маршрутизацией. Я много трахался с пробросами управления на длинках, пока не перевёл вланы управления в один. С тех пор - вёбморды открываются отлично, но только в ИЕ.

Share this post


Link to post
Share on other sites

А в чем заключается проблема, я не могу понять? Разве не должен микротик фрагментировать пакеты от свитча, а винда затем собирать их снова?

Гугл объясняет, что дропаются пакеты только с Don't Fragmment.

Share this post


Link to post
Share on other sites

2108 весьма странноват, да.

От браузера, кстати, очень зависит. Например, в свежем Хроме - невозможно настроить некоторые вещи. А в Файрфоксе легко.

В старых версиях браузеров - бывало и наоборот.

А уж со старыми прошивками 2108 чудил ещё и не так...

Share this post


Link to post
Share on other sites

Гугл объясняет, что дропаются пакеты только с Don't Fragmment.

 

Как то возился с аналогичной проблемой. Дамп показал, что свитч сам выставляет "do not fragment".

 

Можно на роутере этот флаг сбрасывать. Или делать adjust mss до размера, котрый гарантированно пролезает в туннель.

Share this post


Link to post
Share on other sites

У DES-2108 в железе веб-морда работает адекватно во всех браузерах.

Только ишак в пластиковых DES-2108 - там разметка невалидная, только ИЕ парсит её.

 

Проблема решена сбросом флага DF на Микротике для пакетов от src-address-list=des2108-iron.

starik-i-more, спасибо. А change tcp mss=yes у меня стояло с самого начала, но никакого эффекта этого не давало, как ни странно.

Share this post


Link to post
Share on other sites

И снова DES-2108, только пластиковый.

 

Используем функцию Trusted Host для того, чтобы коммутатор не терял управление. Возникли проблемы при попытке порулить свитчом из другой подсети.

Пусть свитч 192.168.10.1/24, шлюз 192.168.10.253. Компьютер, который должен получить управление - 192.168.20.1. В Trusted Host добавлен в виде 192.168.20.1/32.

Но свитч не отвечает, будто IP нет в Trusted Host. С маршрутизатора в сеть 10.0/24 пакеты уходят, с src-ip 20.1 и dst-ip 10.1.

При отключенном Trusted Host доступ есть.

Игрался с TTL, результата не дало.

Подумал, что свитч не хочет общаться с прописанным шлюзом. На маршрутизаторе включаю proxy-arp, расширяю маску до /16 на компьютере и свитче. Свитч не отвечает при любом состоянии функции Trusted Host!

При этом рядом стоящий в том же широковещательном домене DGS-1100-08 192.168.10.2/16 видно прекрасно.

 

Создается впечатление, что внутри фаервола свитча зашито два странных правила:

Если src-mac == маку шлюза и src-ip != шлюз и src-ip входит в подсеть свитча, то drop.

Если src-mac == маку шлюза и src-ip != шлюз и Trusted Host is Enabled, то drop.

 

Сталкивался кто? Нашли решение?

Share this post


Link to post
Share on other sites

Спасибо за совет. Да, пришлось замаскарадить все запросы к dst-address-list=des2108-plastic.

И это еще не все. Они тоже ставят бит Don't Fragment.

 

Спасибо Д-Линку за счастливое детство.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.