Перейти к содержимому
Калькуляторы

DES-2108 веб-морда не работает через VPN

Такую странную вещь словил.

Есть много DES-2108 в железном корпусе. Есть компьютер, который коннектится к сети, где много этих самых DES-2108, через VPN.

У свитчей не до конца прогружается веб-морда через VPN (не видно боковое меню и все картинки), напрямую в сети - все шикарно.

Морды других свитчей (DGS-1100-*, Zyxel ES-2108) открываются прекрасно.

PPTP-сервер поднят на Микротике RouterOS 6.39.1, PPTP-клиент - Windows 7. Винда поднимает коннект с MTU 1400, все сайты открываются. хотя сначала не все, помогло снизить MTU на винде, а затем вернуть на место о_О

 

Куда копать?

Может ли быть такое, что Микротик успешно подстраивает MTU для сайтов за натом, но в случае с простой маршрутизацией не происходит ничего?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Копай мту

А где мне его крутить и в какую сторону? На микротике Max MTU 1460, в винде MTU 1400.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Копай мту

А где мне его крутить и в какую сторону? На микротике Max MTU 1460, в винде MTU 1400.

Ну тык тест на мту. Пингайте с разными размерами пакета. Реально может быть траблема с маршрутизацией. Я много трахался с пробросами управления на длинках, пока не перевёл вланы управления в один. С тех пор - вёбморды открываются отлично, но только в ИЕ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем заключается проблема, я не могу понять? Разве не должен микротик фрагментировать пакеты от свитча, а винда затем собирать их снова?

Гугл объясняет, что дропаются пакеты только с Don't Fragmment.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2108 весьма странноват, да.

От браузера, кстати, очень зависит. Например, в свежем Хроме - невозможно настроить некоторые вещи. А в Файрфоксе легко.

В старых версиях браузеров - бывало и наоборот.

А уж со старыми прошивками 2108 чудил ещё и не так...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гугл объясняет, что дропаются пакеты только с Don't Fragmment.

 

Как то возился с аналогичной проблемой. Дамп показал, что свитч сам выставляет "do not fragment".

 

Можно на роутере этот флаг сбрасывать. Или делать adjust mss до размера, котрый гарантированно пролезает в туннель.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У свитчей не до конца прогружается веб-морда

надеюсь через осла лазите!!?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня и на firefox работают. Chrome - даже залогиниться не получается

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У DES-2108 в железе веб-морда работает адекватно во всех браузерах.

Только ишак в пластиковых DES-2108 - там разметка невалидная, только ИЕ парсит её.

 

Проблема решена сбросом флага DF на Микротике для пакетов от src-address-list=des2108-iron.

starik-i-more, спасибо. А change tcp mss=yes у меня стояло с самого начала, но никакого эффекта этого не давало, как ни странно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И снова DES-2108, только пластиковый.

 

Используем функцию Trusted Host для того, чтобы коммутатор не терял управление. Возникли проблемы при попытке порулить свитчом из другой подсети.

Пусть свитч 192.168.10.1/24, шлюз 192.168.10.253. Компьютер, который должен получить управление - 192.168.20.1. В Trusted Host добавлен в виде 192.168.20.1/32.

Но свитч не отвечает, будто IP нет в Trusted Host. С маршрутизатора в сеть 10.0/24 пакеты уходят, с src-ip 20.1 и dst-ip 10.1.

При отключенном Trusted Host доступ есть.

Игрался с TTL, результата не дало.

Подумал, что свитч не хочет общаться с прописанным шлюзом. На маршрутизаторе включаю proxy-arp, расширяю маску до /16 на компьютере и свитче. Свитч не отвечает при любом состоянии функции Trusted Host!

При этом рядом стоящий в том же широковещательном домене DGS-1100-08 192.168.10.2/16 видно прекрасно.

 

Создается впечатление, что внутри фаервола свитча зашито два странных правила:

Если src-mac == маку шлюза и src-ip != шлюз и src-ip входит в подсеть свитча, то drop.

Если src-mac == маку шлюза и src-ip != шлюз и Trusted Host is Enabled, то drop.

 

Сталкивался кто? Нашли решение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за совет. Да, пришлось замаскарадить все запросы к dst-address-list=des2108-plastic.

И это еще не все. Они тоже ставят бит Don't Fragment.

 

Спасибо Д-Линку за счастливое детство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.