Jump to content
Калькуляторы

protocol 47 unreachable, length 556 От клиента pptp такое приходит

Есть сервер pptp, работает, все хорошо.

Иногда, от подключившихся клиентов (Виста и Виндовс 7, в ХР такого не наблюдается, хотяяяя...) прилетает такой пакет:

 

ICMP 192.168.52.26 protocol 47 unreachable, length

 

Сервер пишет в логи:

Dec 13 04:41:25 LinuxVPNr4 pppd[8735]: Modem hangup

И соединение закрывает.

 

Борюсь с этим вот так:

iptables -I INPUT -i eth0 -p icmp --icmp-type protocol-unreachable -j DROP

Но, по моему, это не есть замечательно.

 

А с чего оно вообще прилетает то ?

Share this post


Link to post
Share on other sites
Борюсь с этим вот так:
И коннект не обрывается тогда?

 

Share this post


Link to post
Share on other sites

ИМХО, надо самому поставить Win7 или Vist-у, подключиться через VPN и пробовать ходить. Никаких доп. настроек не производить, оставить все, что возможно, по умолчанию. Сделать правило iptables -I INPUT -i eth0 -s <test_host_IP> -p icmp --icmp-type protocol-unreachable -j RETURN, это чтобы точно знать, были ли такие пакеты с тестового хоста. Если удастся добиться самопроизвольного разрыва - попытаться настройками убрать нежелательный эффект. Если самопроизвольный разрыв не получается - надо посмотреть, желательно, на как можно большее кол-во клиентских систем, наступающих на такие грабли, и попытаться найти в них общее в настройках (ПО, etc.). Ну и опять же устранить...

Share this post


Link to post
Share on other sites

Интересно. Повесил у себя iptables -I INPUT -i eth0 -p icmp --icmp-type protocol-unreachable -j LOG , посмотрю.

Share this post


Link to post
Share on other sites
Интересно. Повесил у себя iptables -I INPUT -i eth0 -p icmp --icmp-type protocol-unreachable -j LOG , посмотрю.
За полтора суток - 780 штук.

Всего - от 21 адресов.

С длинной 576 - 12 штук.

Немало, надо сказать.

 

В основном - из "неблагополучных" районов.

Это что ж получается - можно запретить это всё и станет меньше обрывов?

Edited by Abram

Share this post


Link to post
Share on other sites

Мы столкнулись с этим еще в году 2004 (на Windows 2000). Помню, тогда пришли к выводу, что ICMP с некоторой вероятностью приходит, когда ОС делает DHCPREQUEST. Сейчас уже не скажу, насколько это верный был вывод. Но --icmp-type protocol-unreachable -j DROP помог.

Share this post


Link to post
Share on other sites

А в чем была причина ваших разрывов? Столкнулся с тем же. В каких-то районах у абонентов происходят разрывы PPTP соединения. В основной части сети такой проблемы нет.

 

В логе MPD это выглядит вот так (то есть абонент нормально работает, потом бах и ни с того ни с сего PPTP call terminated), хотя по сети пинги до него ходят без перебоя:

vpn# tail -f /var/log/mpd.log | grep "\[L-37\]"

Jan 21 14:46:30 vpn1 mpd: [L-37] PPTP call terminated

Jan 21 14:46:30 vpn1 mpd: [L-37] Link: DOWN event

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: Close event

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: state change Opened --> Closing

Jan 21 14:46:30 vpn1 mpd: [L-37] Link: Leave bundle "B-283"

Jan 21 14:46:30 vpn1 mpd: [L-37] RADIUS: Accounting user 'testlogin' (Type: 2)

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: SendTerminateReq #4

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: LayerDown

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: Down event

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: LayerFinish

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: state change Closing --> Initial

Jan 21 14:46:31 vpn1 mpd: [L-37] RADIUS: Rec'd RAD_ACCOUNTING_RESPONSE for user 'testlogin'

Jan 21 14:46:31 vpn1 mpd: [L-37] Link: SHUTDOWN event

Jan 21 14:46:31 vpn1 mpd: [L-37] Link: Shutdown

 

Пробовал запретить ICMP сообщения на сервер отклиентов, но это не помогло. Может есть идеи?

Share this post


Link to post
Share on other sites

Не удивлюсь, если в этих "проблемных" районах наблюдаются new root и topology change события на устройствах в предверии отсылки unreachable protocol 47 length 556.

Так же, если засесть у одного из самых проблемных абонентов с tcp-dump'ом, наверняка можно будет пронаблюдать многотонную пачку arp who-has.

Share this post


Link to post
Share on other sites

вот блин,вот он прикол автоматического вырубания vpn на клиентском компе.

бывают такие приколы-клиент жалуется на то что соединение через некоторое время само берет и закрывается,обычно отсылаем разбиратся с антивиром или винду ставить нормальную,во всех случаях помогает)

надо попробовать проверить на этот виндовый косяк.

Edited by g7001

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this