OpenVZ Forum


Home » International » Russian » Проблема ppp и route.
icon5.gif  Проблема ppp и route. [message #39226] Wed, 31 March 2010 09:08 Go to next message
sebas is currently offline  sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius
Junior Member

From: *metasite.lt
Есть виртуалка с запущенным ppp vpn. Когда использую sftp на самой виртуалке все ок. А если добавляю route у себя на компе то невозможно выслать болшие файлы. Пробовал на разных компах, на всех тоже самое. После подключения ppp делаю следующее:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Ping до машины в vpn проходит, а вот пакеты нет. Подскажите пожалуйста где искать проблему.

[Updated on: Wed, 31 March 2010 09:10]

Report message to a moderator

Re: Проблема ppp и route. [message #39234 is a reply to message #39226] Wed, 31 March 2010 17:28 Go to previous messageGo to next message
RXL_ is currently offline  RXL_
Messages: 147
Registered: July 2009
Location: Moscow/Russia
Senior Member
From: *static.corbina.ru
Туннель имеет MTU меньшего размера, чем стандартный Ethernet-интерфейс. Необходима коррекция MSS в TCP-пакетах.

На машине с VPN введите следующее:

iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --syn -j TCPMSS --clamp-mss-to-pmtu


Если не поможет - разбирайтесь, что у вас в таблицах iptables. И не забудьте сохранить, а то при перезагрузке слетит.


... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Re: Проблема ppp и route. [message #39238 is a reply to message #39234] Thu, 01 April 2010 06:45 Go to previous messageGo to next message
sebas is currently offline  sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius
Junior Member

From: *metasite.lt
Не помогло. Но самое странное что вчера заметили так это то что на лаптопе коллеги у которого ОС и WinSCP те же все работает нормально. Пробую на третьем компе. Ну вот на третьем тоже неработает. Наверное на том на котором работает MTU уменьшен. Пробую ping -l 2500 и тот проходит. Странно. Что насчет iptables то нету никаких рулсов кроме тех двух. Что еще можете посоветовать?
Re: Проблема ppp и route. [message #39239 is a reply to message #39238] Thu, 01 April 2010 07:49 Go to previous messageGo to next message
RXL_ is currently offline  RXL_
Messages: 147
Registered: July 2009
Location: Moscow/Russia
Senior Member
From: 82.204.178*
Вы не гадайте, а запустите снифер - он вам все покажет и расскажет.
Это типичная проблема отбрасывания пакетов с флагом DF, которые не пролезают в канал с зауженным MTU.

У меня с провайдером аналогичная проблема из-за VPN. Решил просто:

# ip l sh dev ppp0

17413: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast qlen 3
    link/ppp


Видим, что MTU - 1460 (на ethernet - 1500).
MSS = MTU - 40.
Пишем такое вот правило:

iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m tcpmss --mss 1421:65535 -j TCPMSS --set-mss 1420



... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.

[Updated on: Thu, 01 April 2010 07:54]

Report message to a moderator

Re: Проблема ppp и route. [message #39337 is a reply to message #39239] Tue, 06 April 2010 14:05 Go to previous messageGo to next message
sebas is currently offline  sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius
Junior Member

From: *metasite.lt
RXL_ wrote on Thu, 01 April 2010 02:49
Вы не гадайте, а запустите снифер - он вам все покажет и расскажет.
Это типичная проблема отбрасывания пакетов с флагом DF, которые не пролезают в канал с зауженным MTU.

У меня с провайдером аналогичная проблема из-за VPN. Решил просто:

# ip l sh dev ppp0

17413: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast qlen 3
    link/ppp


Видим, что MTU - 1460 (на ethernet - 1500).
MSS = MTU - 40.
Пишем такое вот правило:

iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m tcpmss --mss 1421:65535 -j TCPMSS --set-mss 1420




Спасибо. Слишком поздно прочитал. Wink Сам решил проблему просто - уменшил MTU до 1392 на eth0 в самой виртуалке Wink
Re: Проблема ppp и route. [message #39389 is a reply to message #39238] Wed, 14 April 2010 11:51 Go to previous messageGo to next message
sebas is currently offline  sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius
Junior Member

From: *metasite.lt
И всетаки проблема осталась. Посмотрел что у меня PPP подключается с MTU 1396. Добавляю iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1356

Часть пакетов проходит и зависает, прогресс хотя бы в том что часть проходит и можно используя resume слать, но это тоже непрактично. Может еще чтонибудь посоветуете?
Re: Проблема ppp и route. [message #39400 is a reply to message #39389] Fri, 16 April 2010 08:39 Go to previous messageGo to next message
RXL_ is currently offline  RXL_
Messages: 147
Registered: July 2009
Location: Moscow/Russia
Senior Member
From: 82.204.178*
Попробуйте

--tcp-flags FIN,SYN,RST,ACK SYN


... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Re: Проблема ppp и route. [message #39401 is a reply to message #39400] Fri, 16 April 2010 08:50 Go to previous messageGo to next message
sebas is currently offline  sebas
Messages: 11
Registered: March 2010
Location: Lithuania, Vilnius
Junior Member

From: *metasite.lt
В таком случае tcpdump показывает 11:46:24.519167 IP (tos 0x0, ttl 64, id 3246, offset 0, flags [DF], proto: TCP (6), length: 1420) 192.168.52.100.59941 > 192.168.25.12.ssh: P 2287:3667(1380) ack 5836 win 16296

т.е. он почему то нереагирует на параметр -j TCPMSS --set-mss 1356 и проставляет mss 1380

А если добавляю роут iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1356

То он нормально меняет mss на 1356. Но всеравно местами зависает, наверное проблема кроется в самом HN.

Re: Проблема ppp и route. [message #39407 is a reply to message #39401] Fri, 16 April 2010 12:33 Go to previous message
RXL_ is currently offline  RXL_
Messages: 147
Registered: July 2009
Location: Moscow/Russia
Senior Member
From: 82.204.178*
Посмотрите правила iptables - выведите их со счетчиками. Вероятно правило не срабатывает - разберитесь, почему.

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Previous Topic: Квоты не поддерживаются, но они есть.
Next Topic: SLM MODE есть в OVZ или только в virtuozo ?
Goto Forum:
  


Current Time: Sun Oct 22 21:01:11 GMT 2017