lanc Posted February 24, 2007 Posted February 24, 2007 Система FreeBSD 6.0, mpd 3.18, ipfw из портов радиус сервер на виндовой машине UTM Win32 Проблема c MTU так и не решена, на VPN интерфейсах ng mtu стоит 1500 ровно до тех пор пока виндовая машина не зацепится... т.е. сразу после подключения по VPN на фряху виндового клиента, интерфейс ng сразу же получает MTU 1396 руками запросто могу переделать на 1500...типа ifconfig ng0 mtu 1500 как сделать МТУ 1500 Весь инет перерыл, Уже ставил и убирал и в комбинации пробовал mpd.conf set iface mtu 1500 set link mtu 1500 и так пробовал mpd.conf set iface enable tcpmssfix и опять же в комбинации.. Знающие люди откликнитесь пожалуста... что я делаю нетак? [b] mpd.conf [/b] default: load pptp1 load pptp2 load pptp3 load pptp4 load pptp5 pptp1: new -i ng01 pptp1 pptp1 load pptp_standart pptp2: new -i ng02 pptp2 pptp2 load pptp_standart pptp3: new -i ng03 pptp3 pptp3 load pptp_standart pptp4: new -i ng04 pptp4 pptp4 load pptp_standart pptp5: new -i ng05 pptp5 pptp5 load pptp_standart pptp_standart: set iface disable on-demand set iface enable proxy-arp set iface enable tcpmssfix set bundle disable multilink set bundle enable compression # set bundle enable noretry # set bundle yes crypt-reqd set link yes acfcomp protocomp set link no pap chap set link enable chap-msv2 set link keep-alive 60 180 set ipcp yes vjcomp set ipcp dns xxxxxxx set ccp yes mppc set ccp yes mpp-e40 set ccp yes mpp-e128 set ccp yes mpp-stateless set pptp self 192.168.1.254 1723 set pptp enable always-ack set pptp disable delayed-ack set pptp disable windowing set pptp enable incoming set pptp disable originate set iface mtu 1500 set link mtu 1500 set link mru 1500 set radius config /etc/radius.conf set radius retries 3 set radius timeout 5 set radius server 10.1.1.2 xcxcxcxc 1812 1813 set radius acct-update 300 set ipcp enable radius-ip set bundle enable radius-auth radius-fallback set bundle enable radius-acct # set iface enable radius-idle radius-session radius-route # set iface enable radius-idle radius-session radius-mtu radius-route set ccp enable radius [b] тут я уже пробую раные комбинации... типа вдруг где то правильно... т.е. показываю вам какие варианты уже перепробовал mpd.link [/b] pptp1: set link type pptp set pptp enable incoming set pptp disable originate set pptp disable windowing set pptp enable always-ack pptp2: set link type pptp set pptp enable incoming set pptp disable originate set pptp disable windowing set pptp enable always-ack pptp3: set link type pptp set pptp enable incoming set pptp disable originate pptp4: set link type pptp set pptp enable originate incoming outcall pptp5: set link type pptp set pptp enable incoming set pptp disable originate #ifconfig ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500 ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 inet 172.28.0.253 --> 132.116.5.200 netmask 0xffffffff ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 inet 172.28.0.253 --> 132.116.5.39 netmask 0xffffffff ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 inet 172.28.0.253 --> 132.116.5.47 netmask 0xffffffff ng4: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1396 ng5: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 inet 172.28.0.253 --> 132.116.5.107 netmask 0xffffffff ng6: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 inet 172.28.0.253 --> 132.116.5.29 netmask 0xffffffff ng7: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500 ng8: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500 Вставить ник Quote
mr.Scamp Posted February 25, 2007 Posted February 25, 2007 (edited) Вашим клиентам такие странные адреса выдаются.. Или Вы поправили для форума? Edited February 25, 2007 by mr.Scamp Вставить ник Quote
PommeFritz Posted February 26, 2007 Posted February 26, 2007 (edited) как сделать МТУ 1500 Вопрос: а зачем? Вот непонятно, зачем все гонятся за 1500? С учетом инкапсуляции, размер пакета (GRE) будет больше 1500! У меня не первый год и вполне нормально работает set link mtu 1400 + set iface enable tcpmssfix, без всяких "iface mtu" и "link mru". Ну хочет винда 1396, пусть их получает (1400 - 4). ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 Не выдумывайте себе проблемы! Edited February 26, 2007 by PommeFritz Вставить ник Quote
lanc Posted February 26, 2007 Author Posted February 26, 2007 как сделать МТУ 1500Вопрос: а зачем? Вот непонятно, зачем все гонятся за 1500? С учетом инкапсуляции, размер пакета (GRE) будет больше 1500! У меня не первый год и вполне нормально работает set link mtu 1400 + set iface enable tcpmssfix, без всяких "iface mtu" и "link mru". Ну хочет винда 1396, пусть их получает (1400 - 4). ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396 Не выдумывайте себе проблемы! Ну с тдугой стороны Вы правы, проблем я незаметил, все отлично работает. Единственное какой-то (непомню) банк-клиент неработал. Вот и стал подозревать МТУ.. потому что вроде как больше грегить неначто было. Т.е. это нормально когда к вышестояшему провайдеру Езер и на нем МТУ 1500 а своим клиентам VPN и на VPN МТУ 1396??? Вставить ник Quote
PommeFritz Posted February 26, 2007 Posted February 26, 2007 Проблемы могут быть только с фаерволами, управляемыми очумелыми ручками безбашенных админов, кои даже не догадываются, что протокол icmp это не только echo-request/reply. Ну еще, пожалуй, с кривыми реализациями IP стэка. Вставить ник Quote
lanc Posted February 26, 2007 Author Posted February 26, 2007 Проблемы могут быть только с фаерволами, управляемыми очумелыми ручками безбашенных админов, кои даже не догадываются, что протокол icmp это не только echo-request/reply. Ну еще, пожалуй, с кривыми реализациями IP стэка.Может вы и правы...вот мой конфик IPFW на сервере крутится: VPN, он же рутер между подсетями check-state allow ip from any to any via lo0 allow udp from 0.0.0.0 2054 to 0.0.0.0 deny ip from any to 127.0.0.0/8 reject ip from 127.0.0.0/8 to any in via xl0 reject ip from 10.0.0.0/8 to any in via xl0 reject ip from 172.16.0.0/12 to any in via xl0 reject ip from 192.168.0.0/16 to any in via xl0 deny ip from any to any dst-port 135-139,445,1433,1434 allow tcp from any to any dst-port 80 allow tcp from me to any keep-state deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 deny icmp from any to any frag allow icmp from any to me icmptypes 0,3,4,8,11,12 allow icmp from me to any out icmptypes 3,8,12 allow udp from me to any dst-port 53 keep-state allow udp from [b]Подсеть белых ИП для VPN на этом сервере[/b]/24 to me dst-port 53 via xl1 allow ip from me to any allow log logamount 500 tcp from ХХ.ХХ.ХХ.ХХ to me dst-port 22 setup allow ip from 10.хх.хх.хх/16 to me allow ip from 192.168.0.0/16 to 192.168.0.0/16 allow ip from [b]VPN белый ИП[/b] to any limit src-addr 100 allow ip from any to [b]VPN белый ИП[/b] allow tcp from [b]Подсеть белых ИП для VPN на этом сервере[/b]/24 to any keep-state allow tcp from any to [b]Подсеть белых ИП для VPN на этом сервере[/b]/24 keep-state allow gre from any to me allow tcp from any to any established deny ip from any to any подскажите может я и впрямь нетот ICMP зарубил на сервере.. который впоследствии возможно недает установить MTU 1500 Вставить ник Quote
lanc Posted February 27, 2007 Author Posted February 27, 2007 возможно я и намудрил с ICMP тык.. дайте знать что оставить а что убрать Вставить ник Quote
PommeFritz Posted February 27, 2007 Posted February 27, 2007 icmp на mtu интерфейсов не влияет никак, он влияет на path mtu discovery и процесс фрагментации пакетов: http://www.znep.com/~marcs/mtu Вставить ник Quote
lanc Posted February 27, 2007 Author Posted February 27, 2007 Проблемы могут быть только с фаерволами, управляемыми очумелыми ручками безбашенных админов, кои даже не догадываются, что протокол icmp это не только echo-request/reply. Ну еще, пожалуй, с кривыми реализациями IP стэка.читая постом выше!!! icmp на mtu интерфейсов не влияет никак, он влияет на path mtu discovery и процесс фрагментации пакетов: http://www.znep.com/~marcs/mtu что жы вы мне тогда голову морочите... проблемы могут быть только с файрволами!!!теперь уже и правила выложил а вы мне уже говорите... не в файрволе дело... тык в чем тогда? Вставить ник Quote
PommeFritz Posted February 27, 2007 Posted February 27, 2007 Проблемы могут быть только с фаерволами, управляемыми очумелыми ручками безбашенных админов, кои даже не догадываются, что протокол icmp это не только echo-request/reply. Ну еще, пожалуй, с кривыми реализациями IP стэка.читая постом выше!!! icmp на mtu интерфейсов не влияет никак, он влияет на path mtu discovery и процесс фрагментации пакетов: http://www.znep.com/~marcs/mtu что жы вы мне тогда голову морочите... проблемы могут быть только с файрволами!!!теперь уже и правила выложил а вы мне уже говорите... не в файрволе дело... тык в чем тогда? Еще раз: icmp протокол сам по себе никак не влияет на выставленное mtu на ваших интерфейсах. У вас что-то не работает? Все работает? Тогда не изобретайте себе проблем и не морочте голову. Есть проблемы с коннектом? Тогда читайте http://www.znep.com/~marcs/mtu до просветления. Вставить ник Quote
zidex Posted February 27, 2007 Posted February 27, 2007 lanc: Вас это волнует, Вы хотите об этом поговорить? :) Сам использую почти такую же связку. Не подними вы этот вопрос, наверное и не заметил бы. У меня тоже для виндовых клиентов MTU 1396, а для linux - 1498. Вставить ник Quote
ShumBor Posted February 28, 2007 Posted February 28, 2007 Тут про mtu в windows http://support.microsoft.com/kb/826159/ru Вставить ник Quote
ftech Posted February 28, 2007 Posted February 28, 2007 Дело никак не в MTU :) man tcpdump наверно увидишь ответ. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.