On 15.07.2013 12:16, alexander barakin wrote:
On Mon, Jul 15, 2013 at 10:52:47AM +0400, Владимир Скубриев wrote:
Столкнулся с проблемой на новом сервере шлюзе на выходных.
Почему то не открывались не которые сайты.
Например mirror.yandex.ru и speedetest.net
При чем на самом шлюзе wget mirror.yandex.ru | wget speedetest.net работали
А на клиентах в лучшем случае 30% yandex'а загружались.
Нашел описание этой проблемы на [1]http://www.opennet.ru/base/net/
pppoe_mtu.txt.html
Сделал
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Помогло.
Но также там сказано, что можно данную проблему обойти и через опцию pppd
нет у pppd ничего подобного.
зато есть у pppoe:
$ grep 'pty.*-m' /etc/ppp/peers/dsl-provider
pty "/usr/sbin/pppoe -I eth0 -T 80 -m 1452"
#pty "/usr/sbin/pppoe -I eth0 -T 80 -m 1412"
<http://habrahabr.ru/post/136871/>сейчас начинаю понимать, что поидее
был не прав по поводу pppd, т.к. мне надо передавать каким то образом
параметр плагину rp-pppoe.so
очень хорошую статью нашел http://habrahabr.ru/post/136871/
вот конфиг моего пира:
user "username"
noipdefault
defaultroute
# Номер ppp-интерфейса (в данном случае будет ppp100)
unit 50
replacedefaultroute
hide-password
lcp-echo-interval 20
lcp-echo-failure 3
noauth
persist
mtu 1492
maxfail 0
plugin rp-pppoe.so ethtop
mtu выставлен как и на старом сервере шлюзе, но при этом на старом
сервере шлюзе все работало.
я также пробывал ставить 1412, как сказано в статье, но и это не помогало.
При этом mtu менялся у интерфейса ppp50 - это было видно из команды ip link
Сейчас посмотрел iptables-save и увидел там правило
iptables-save | grep clamp
-A POSTROUTING -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu
Вот где она истина. Я так понимаю, раз автоматически размер данных
режется до необходимого, то
1. Нужно чтобы был открыт icmp на шлюзе, т.к. скорее всего алгоритм
определения размера максимального mtu/mss работает не без него
2. Размер mtu в /etc/ppp/peers/provider вообще побарабану если включено
волшебное iptables правило ?
И как вообще лучше обходить данную проблему через iptables | ppp option ?
как удобнее.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru