OpenVZ Forum: Russian » Проблема ppp и route.

Home » International » Russian » Проблема ppp и route.

Show: Today's Messages :: Show Polls :: Message Navigator
E-mail to friend

Проблема ppp и route. [message #39226]

Wed, 31 March 2010 09:08

sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius

Junior Member

Есть виртуалка с запущенным ppp vpn. Когда использую sftp на самой виртуалке все ок. А если добавляю route у себя на компе то невозможно выслать болшие файлы. Пробовал на разных компах, на всех тоже самое. После подключения ppp делаю следующее:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Ping до машины в vpn проходит, а вот пакеты нет. Подскажите пожалуйста где искать проблему.

[Updated on: Wed, 31 March 2010 09:10]

Report message to a moderator

Re: Проблема ppp и route. [message #39234 is a reply to message #39226]

Wed, 31 March 2010 17:28

RXL_
Messages: 147
Registered: July 2009
Location: Moscow/Russia

Senior Member

Туннель имеет MTU меньшего размера, чем стандартный Ethernet-интерфейс. Необходима коррекция MSS в TCP-пакетах.

На машине с VPN введите следующее:

iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --syn -j TCPMSS --clamp-mss-to-pmtu

Если не поможет - разбирайтесь, что у вас в таблицах iptables. И не забудьте сохранить, а то при перезагрузке слетит.

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.

Report message to a moderator

Re: Проблема ppp и route. [message #39238 is a reply to message #39234]

Thu, 01 April 2010 06:45

sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius

Junior Member

Не помогло. Но самое странное что вчера заметили так это то что на лаптопе коллеги у которого ОС и WinSCP те же все работает нормально. Пробую на третьем компе. Ну вот на третьем тоже неработает. Наверное на том на котором работает MTU уменьшен. Пробую ping -l 2500 и тот проходит. Странно. Что насчет iptables то нету никаких рулсов кроме тех двух. Что еще можете посоветовать?

Report message to a moderator

Re: Проблема ppp и route. [message #39239 is a reply to message #39238]

Thu, 01 April 2010 07:49

RXL_
Messages: 147
Registered: July 2009
Location: Moscow/Russia

Senior Member

Вы не гадайте, а запустите снифер - он вам все покажет и расскажет.
Это типичная проблема отбрасывания пакетов с флагом DF, которые не пролезают в канал с зауженным MTU.

У меня с провайдером аналогичная проблема из-за VPN. Решил просто:

# ip l sh dev ppp0

17413: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast qlen 3
    link/ppp

Видим, что MTU - 1460 (на ethernet - 1500).
MSS = MTU - 40.
Пишем такое вот правило:

iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m tcpmss --mss 1421:65535 -j TCPMSS --set-mss 1420

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.

[Updated on: Thu, 01 April 2010 07:54]

Report message to a moderator

Re: Проблема ppp и route. [message #39337 is a reply to message #39239]

Tue, 06 April 2010 14:05

sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius

Junior Member

RXL_ wrote on Thu, 01 April 2010 02:49

# ip l sh dev ppp0

17413: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast qlen 3
    link/ppp

Видим, что MTU - 1460 (на ethernet - 1500).
MSS = MTU - 40.
Пишем такое вот правило:

iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m tcpmss --mss 1421:65535 -j TCPMSS --set-mss 1420

Спасибо. Слишком поздно прочитал. Wink

Сам решил проблему просто - уменшил MTU до 1392 на eth0 в самой виртуалке Wink

Report message to a moderator

Re: Проблема ppp и route. [message #39389 is a reply to message #39238]

Wed, 14 April 2010 11:51

sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius

Junior Member

И всетаки проблема осталась. Посмотрел что у меня PPP подключается с MTU 1396. Добавляю iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1356

Часть пакетов проходит и зависает, прогресс хотя бы в том что часть проходит и можно используя resume слать, но это тоже непрактично. Может еще чтонибудь посоветуете?

Report message to a moderator

Re: Проблема ppp и route. [message #39400 is a reply to message #39389]

Fri, 16 April 2010 08:39

RXL_
Messages: 147
Registered: July 2009
Location: Moscow/Russia

Senior Member

Попробуйте

--tcp-flags FIN,SYN,RST,ACK SYN

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.

Report message to a moderator

Re: Проблема ppp и route. [message #39401 is a reply to message #39400]

Fri, 16 April 2010 08:50

sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius

Junior Member

В таком случае tcpdump показывает 11:46:24.519167 IP (tos 0x0, ttl 64, id 3246, offset 0, flags [DF], proto: TCP (6), length: 1420) 192.168.52.100.59941 > 192.168.25.12.ssh: P 2287:3667(1380) ack 5836 win 16296

т.е. он почему то нереагирует на параметр -j TCPMSS --set-mss 1356 и проставляет mss 1380

А если добавляю роут iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1356

То он нормально меняет mss на 1356. Но всеравно местами зависает, наверное проблема кроется в самом HN.

Report message to a moderator

Re: Проблема ppp и route. [message #39407 is a reply to message #39401]

Fri, 16 April 2010 12:33

RXL_
Messages: 147
Registered: July 2009
Location: Moscow/Russia

Senior Member

Посмотрите правила iptables - выведите их со счетчиками. Вероятно правило не срабатывает - разберитесь, почему.

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.

Report message to a moderator

Previous Topic:	Квоты не поддерживаются, но они есть.
Next Topic:	SLM MODE есть в OVZ или только в virtuozo ?

Goto Forum:

-=] Back to Top [=-

[ Syndicate this forum (XML) ] [

] [

]

Current Time: Thu Nov 07 18:55:55 GMT 2024

Total time taken to generate the page: 0.03349 seconds