OlAB Posted June 10, 2003 Posted June 10, 2003 Помогите пожалуйста - никак не могу придумать - всю голову поломал... Есть VPN-server (Freebsd 4.8 + mpd(мною поправленный на предмет авторизации из базы данных)) + natd на этой-же машине схема такая - клиент по сети (с адреса 192.168.1.n) заходит на впн - по mschapv2 проверяется пароль, устанавливается mppc шифрация, по логину проверяются полномочия клиента (можно/нельзя в инет, ширина полосы пропускания, сколько трафика можно скачать и.т.д.) ему присваивается адрес (192.169.100.n) на этого клиента поднимаются ipfw правила: 00010 divert 8668 ip from any to any in recv rl0 00100 allow ip from any to 192.168.100.100 out xmit ng0 00100 allow ip from 192.168.100.100 to any in recv ng0 00100 divert 8668 ip from 192.168.100.100 to any out xmit rl0 00100 deny log logamount 100 ip from any to any via ng0 65535 allow ip from any to any для divert через natd результат - для win98 все работает просто отлично - ни одного глюка пока не было замечено, но с winxp все выглядит несколько хуже - соединение проходит нормально, пинги ходят без проблемм везде, но как только пытаешься обратиться на реальные ресурсы - ничего не работает(кроме пингов) заметил такую закономерность при поднятии ng интерфейсов разный MTU: это win98se ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492 inet 192.168.100.254 --> 192.168.100.100 netmask 0xffffffff это winxp ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 inet 192.168.100.254 --> 192.168.100.101 netmask 0xffffffff посоветуйте что с этим можно сделать? Заранее спасибо. Вставить ник Quote
John1979 Posted June 10, 2003 Posted June 10, 2003 а можно посмотреть на конфиг mpd ? у тебя там жестко указан mtu ? Вставить ник Quote
OlAB Posted June 10, 2003 Author Posted June 10, 2003 а можно посмотреть на конфиг mpd ?у тебя там жестко указан mtu ? Все! большое спасибо - разобрался сам - я закрыл (как оказалось) механизм договаривания сервера с клиентом о понижении мту через ICMP - после разрешения ICMP справедливось восторжесствовала!!! а mtu я пробовал устанавливать жестко - непомогало.... Вставить ник Quote
Azzi Posted July 26, 2003 Posted July 26, 2003 Как закрыл? Подскажи. Такая же проблема... Вставить ник Quote
Kornet Posted July 28, 2003 Posted July 28, 2003 2Azzi: Это возникает когда файервалом закрыт icmp-протокол к клиенту: при изменении mtu канала, шлюз при настройке запрета фрагментации, не может передать пакет по более "узкому" каналу и отбрасывает его, а сообщить клиенту что надо уменьшить mtu не может, так как файервалом закрыто. Проблема решается разрешением icmp-протокола к клиентам в файервале. Вставить ник Quote
Azzi Posted July 28, 2003 Posted July 28, 2003 2kornet, дело наверное в маскарадинге, но выход нашелся... после поднятия очередного ppp* срабатывает скрип, который меняет MTU на 1500. Наверное не очень красиво, но работает :) Вставить ник Quote
Kornet Posted July 29, 2003 Posted July 29, 2003 2kornet, дело наверное в маскарадинге, но выход нашелся... после поднятия очередного ppp* срабатывает скрип, который меняет MTU на 1500. Наверное не очень красиво, но работает :) Я эту проблему решал, но это было давно и непомница. Вот ссылка с ещё одним вариантом решения: http://mordor.strace.net/iptables/ Вставить ник Quote
Azzi Posted July 29, 2003 Posted July 29, 2003 Интересно, что проблема возникала только с google.com.ru, остальные сайты грузились без проблем... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.