Перейти к содержимому
Калькуляторы

protocol 47 unreachable, length 556 От клиента pptp такое приходит

Есть сервер pptp, работает, все хорошо.

Иногда, от подключившихся клиентов (Виста и Виндовс 7, в ХР такого не наблюдается, хотяяяя...) прилетает такой пакет:

 

ICMP 192.168.52.26 protocol 47 unreachable, length

 

Сервер пишет в логи:

Dec 13 04:41:25 LinuxVPNr4 pppd[8735]: Modem hangup

И соединение закрывает.

 

Борюсь с этим вот так:

iptables -I INPUT -i eth0 -p icmp --icmp-type protocol-unreachable -j DROP

Но, по моему, это не есть замечательно.

 

А с чего оно вообще прилетает то ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Борюсь с этим вот так:
И коннект не обрывается тогда?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Неа, коннекты с такой строчкой не рвутся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ИМХО, надо самому поставить Win7 или Vist-у, подключиться через VPN и пробовать ходить. Никаких доп. настроек не производить, оставить все, что возможно, по умолчанию. Сделать правило iptables -I INPUT -i eth0 -s <test_host_IP> -p icmp --icmp-type protocol-unreachable -j RETURN, это чтобы точно знать, были ли такие пакеты с тестового хоста. Если удастся добиться самопроизвольного разрыва - попытаться настройками убрать нежелательный эффект. Если самопроизвольный разрыв не получается - надо посмотреть, желательно, на как можно большее кол-во клиентских систем, наступающих на такие грабли, и попытаться найти в них общее в настройках (ПО, etc.). Ну и опять же устранить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно. Повесил у себя iptables -I INPUT -i eth0 -p icmp --icmp-type protocol-unreachable -j LOG , посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно. Повесил у себя iptables -I INPUT -i eth0 -p icmp --icmp-type protocol-unreachable -j LOG , посмотрю.
За полтора суток - 780 штук.

Всего - от 21 адресов.

С длинной 576 - 12 штук.

Немало, надо сказать.

 

В основном - из "неблагополучных" районов.

Это что ж получается - можно запретить это всё и станет меньше обрывов?

Изменено пользователем Abram

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы столкнулись с этим еще в году 2004 (на Windows 2000). Помню, тогда пришли к выводу, что ICMP с некоторой вероятностью приходит, когда ОС делает DHCPREQUEST. Сейчас уже не скажу, насколько это верный был вывод. Но --icmp-type protocol-unreachable -j DROP помог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

столкнулись с тем же. спасибо за решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем была причина ваших разрывов? Столкнулся с тем же. В каких-то районах у абонентов происходят разрывы PPTP соединения. В основной части сети такой проблемы нет.

 

В логе MPD это выглядит вот так (то есть абонент нормально работает, потом бах и ни с того ни с сего PPTP call terminated), хотя по сети пинги до него ходят без перебоя:

vpn# tail -f /var/log/mpd.log | grep "\[L-37\]"

Jan 21 14:46:30 vpn1 mpd: [L-37] PPTP call terminated

Jan 21 14:46:30 vpn1 mpd: [L-37] Link: DOWN event

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: Close event

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: state change Opened --> Closing

Jan 21 14:46:30 vpn1 mpd: [L-37] Link: Leave bundle "B-283"

Jan 21 14:46:30 vpn1 mpd: [L-37] RADIUS: Accounting user 'testlogin' (Type: 2)

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: SendTerminateReq #4

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: LayerDown

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: Down event

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: LayerFinish

Jan 21 14:46:30 vpn1 mpd: [L-37] LCP: state change Closing --> Initial

Jan 21 14:46:31 vpn1 mpd: [L-37] RADIUS: Rec'd RAD_ACCOUNTING_RESPONSE for user 'testlogin'

Jan 21 14:46:31 vpn1 mpd: [L-37] Link: SHUTDOWN event

Jan 21 14:46:31 vpn1 mpd: [L-37] Link: Shutdown

 

Пробовал запретить ICMP сообщения на сервер отклиентов, но это не помогло. Может есть идеи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не удивлюсь, если в этих "проблемных" районах наблюдаются new root и topology change события на устройствах в предверии отсылки unreachable protocol 47 length 556.

Так же, если засесть у одного из самых проблемных абонентов с tcp-dump'ом, наверняка можно будет пронаблюдать многотонную пачку arp who-has.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот блин,вот он прикол автоматического вырубания vpn на клиентском компе.

бывают такие приколы-клиент жалуется на то что соединение через некоторое время само берет и закрывается,обычно отсылаем разбиратся с антивиром или винду ставить нормальную,во всех случаях помогает)

надо попробовать проверить на этот виндовый косяк.

Изменено пользователем g7001

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.