The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Тематический каталог: О PPPoE, MTU и проблеме Path MTU Disco..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: О PPPoE, MTU и проблеме Path MTU Disco..."  +/
Сообщение от auto_topic (?), 16-Мрт-07, 15:24 
Обсуждение статьи тематического каталога: О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe mtu)

Ссылка на текст статьи: http://www.opennet.ru/base/net/pppoe_mtu.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  –1 +/
Сообщение от tau (?), 16-Мрт-07, 15:24 
Отличная статья для начинающих!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +1 +/
Сообщение от scamp (??), 16-Мрт-07, 17:54 
Сам с месяц назад напоролся на такую проблему. решение заняло около 3 часов. после консультации с сетевым специалистом, начал копать в сторону mtu (хотя подозрения на этот счет были сразу). поиск по конфигам shorewall (именно им пользуюсь для удобства управления iptables. рекомендую всем) привел к интересным коментариям:

[From the kernel help:
#
#    This option adds a `TCPMSS' target, which allows you to alter the
#    MSS value of TCP SYN packets, to control the maximum size for that
#    connection (usually limiting it to your outgoing interface's MTU
#    minus 40).
#
#    This is used to overcome criminally braindead ISPs or servers which
#    block ICMP Fragmentation Needed packets.  The symptoms of this
#    problem are that everything works fine from your Linux
#    firewall/router, but machines behind it can never exchange large
#    packets:
#        1) Web browsers connect, then hang with no data received.
#        2) Small mail works fine, but large emails hang.
#        3) ssh works fine, but scp hangs after initial handshaking.
# ]

Собственно решение превратилось в активацию в shorewall опции
CLAMPMSS=Yes

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от riv1329email (?), 03-Фев-12, 17:20 
В 2011 году CLAMPMSS=Yes в конфиге shorewall всё еще актуален. Хотя было-бы логично включать эту опцию по умолчанию.

Спасибо за информацию.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от _Kuzmichemail (??), 19-Мрт-07, 08:53 
>iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

В мануале написано, что данное правило работает только в таблице mangle, незнаю как у вас оно отрабатывает в таблице filter, у меня такое не проходит.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от greg (??), 27-Май-07, 20:13 
поправка :
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от omegasemail (ok), 04-Дек-07, 10:31 
перепробовал все, ограничение мту не помогло. Решилось все красиво, вот такой строчкой в цепочке mangle: -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Variable (?), 18-Дек-09, 14:32 
А вот этому пути лучше не следовать. Дело в том, что если у вас где-то по дороге окажется сайт, у которого MSS окажется меньше 1300 , то он его увеличит до 1300 и у вас могут возникнуть проблемы с фрагментацией пакетов!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от DemoNemail (??), 09-Мрт-08, 16:57 
Была аналогичная проблема с L2TP содинением. Исходищее соединение L2TP с MTU 1460 (от Корбины), внутренная квартирная сеть на Ethernet... Долго понять не мог почему часть сайтов работает, а часть нет...
После длительного установления проблемы, пришел к решению с iptables...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Anton (??), 03-Мрт-18, 21:13 
Та же фигня была недавно... Спасибо автору!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от ciwlemail (??), 03-Апр-08, 02:24 
respect! 3-й день ломаю голову... уже тож хотел проксик ставить =)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Аноним (-), 12-Май-08, 11:26 
Стать класс
Уже вообще хотел от Linux отказаться т.к. прокси не подходил
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Мдя..."  +/
Сообщение от Ламоemail (?), 08-Ноя-08, 02:12 
Век живи, век учись...
Моя ситуация - Ноутбук+обычный ПК подключены к D-Link DSL-2640U, ноут по ВайФай.
На ноуте одноклассники.ру работают, на компе нет, причем на компе явные тормоза при работе в нете - половина сайтов не открывается... Я уж и антивиром прогнал комп, и переустанавливать задумал, но... засада в МТУ. Причем, где-то на Microsoft.com прочитал, что изначальное значение MTU определяется драйверами для сетевой карты. Ессно, я посмотрел в реестре на буке (знач. 1300) и на ПК (1500). На ПК поставил 1300 и все заработало...
Такие вот пироги
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "MTU"  +/
Сообщение от meraxemail (??), 30-Ноя-08, 18:50 
Аналогично была проблема с Cisco 2651 c модулем ADSL. Что самое интересное mail.ru открывался, а вот r.mail.ru посылал в null. Решил проблему вот так -
  
ip tcp adjust-mss 1452
ip policy route-map clear-df
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Борисemail (??), 20-Дек-08, 00:35 
Та же самая проблема, провод от корбины с MTU 1460 попадает на сервер Windows 2000, который через вторую сетевуху раздает инет на клиенты. На серваке стоит RRAS. Инет с клиентов без ручной переустановки MTU не работает (((
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe"  +/
Сообщение от Penguinemail (?), 17-Апр-09, 11:24 
Подниму своим спасибом, напоролся при раздаче Йоты на мелкий офис. Помогло :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe"  +/
Сообщение от Bill Routersemail (??), 02-Июн-09, 01:59 
Перешел  с Ubu на Deb, а он не выставил при настройке ppp0 mtu, искал часов 5 думал с ума сойду,
на ядре 2.6.24 работает на 2.6.26 нет, при этом конечно, как указано в статье, локальный комп. в Internet нормально ходит, а остальные через NAT фиг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от YuStemail (?), 04-Сен-09, 17:51 
Действительно спасибо!, нарвался на "умников", которые закрыли ICMP 3:4, думал мозгами двинусь, пока искал проблему... Самое смешное, что эти "товарищи" - админы банка, у них видете-ли политика безопасности такая ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Greg (??), 13-Апр-10, 09:36 
> Самое смешное, что эти "товарищи" - админы банка, у них видете-ли
> политика безопасности такая ;)

Гы... верняк, только что столкнулся именно с такой ситуацией.
Банк-клиент не хотел работать через ppp туннель, потому что банковский хост не блочит icmp.


  

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от lioxaemail (?), 10-Сен-09, 18:20 
Spasibo dobrij chelovek!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Вася (??), 05-Окт-09, 02:27 
Очень полезная статья! Автору огромнейшее спасибо! Все мои проблемы с настройкой шлюза сразу решились!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe"  +/
Сообщение от TITOemail (?), 28-Окт-09, 18:25 
Спасибо огромное добрый человек, очень выручил, здоровья те и удачи)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Анатолийemail (??), 31-Мрт-10, 13:56 
Автору огромный респект, я тоже столкнулся с такими клоунами (mtu 1490), почтовики через pop3 получали список писем а сами письма нет, соединение вешалось. С самого шлюза все работало нормально
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Andrew.D.Mashkov (?), 10-Дек-10, 15:40 
Та же проблема, не бегает pop3 хоть убей, все остальное - номрально. Добавление строки к сожалению проблемы не решили. Все равно конект есть, письма не забираются.
Может подскажете куда еще копнуть?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Iv (??), 08-Май-10, 12:19 
Автор - мегачеловек! Огромнейшее спасибо! Я бился с клиент-банком 2 дня. После общения с серваком по телнету понял что копать надо в сторону МTU. И тут такой подарок!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Андрей (??), 04-Авг-10, 16:30 
Всё это хорошо, только вот проблема. Почему -j TCPMSS --clamp-mss-to-pmtu высчитывает MSS как MTU-40 (т.е.20-IP, 20-TCP)? Проснифил. У меня на Windows 7 TCP заголовки сплошь и рядом идут более 20 байт. Доходит до 56! Соответственно эти пакеты не проходят и дропаются. Все MSS уменьшать до мин.значения с учётом TCP-56 - равносильно уменьшению скорости для пакетов с размером TCP-20. Почему в iptables нету автоматической определялки MSS?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Андрей (??), 24-Сен-10, 09:06 
Потом уже разобрался. Заголовок TCP+IP более 40 байт только во время установления TCP сессии. В это время пакеты небольшие и не достигают MTU в любом случае. А вот во время передачи, когда пакеты большие, заголовок равен ровно 40 байт.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

24. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Сергейemail (??), 23-Сен-10, 17:30 
Всё это замечательно. Спасибо огромное за статью. В инете вообще мало информации о MTU.
Но есть вопрос такого плана - а что, в обычных пакетах с HTTP нагрузкой (хотя не важно что там внутри, может быть и FTP или что-то ещё) всегда устанавливается бит DF? И если да, то зачем?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Олег Реваemail (?), 23-Дек-10, 16:16 
А вот за это спасибо!!

iptables -I OUTPUT 1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

iptables -I FORWARD 1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Реально помогло.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от OEM_щука (?), 24-Май-11, 23:12 
А теперь для Микротика:

в профайле выбирает no в пункте change mss, и далее выполняем в терминале эту строку:

/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360  disabled=no

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Alexemail (??), 02-Сен-11, 16:12 
Сделал как тут написано через iptables
пипец, раньше сайты грузились 5 минут, теперь вабще не грузятся, пишет чото там про DNS

чо делать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Alexemail (??), 02-Сен-11, 16:16 
причему чтобы команды подействовали нужен префикс sudo

у меня убунту стоит на wmware в винде сайты грузятся, а в убунту нет
причем раньше грузились но по 2-3 минуты, после вашего способа ваще не грузятся пишет:

Веб страница не доступна
проверьте DNS бла бла бла бла бла и тд

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Андрей (??), 02-Сен-11, 16:32 
> причему чтобы команды подействовали нужен префикс sudo
> у меня убунту стоит на wmware в винде сайты грузятся, а в
> убунту нет
> причем раньше грузились но по 2-3 минуты, после вашего способа ваще не
> грузятся пишет:
> Веб страница не доступна
> проверьте DNS бла бла бла бла бла и тд

От этой команды не может перестать грузиться:)

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Alexemail (??), 02-Сен-11, 16:47 
Тем не менее факт остается фактом =)
проблема в том что я даже (как одно из решений) днс сервера задать не могу, потому что мой провайдер их не говорит, в справочники пользователя для всех ОСей пунктик стоит определять dns автоматически =) я хз чо делать
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Alexemail (??), 02-Сен-11, 21:42 
можно как нибудь сбросить iptables ???????
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Alexemail (??), 04-Сен-11, 11:56 
Ухахаха

смотрели видео один день админа? когда он просил ламера перегрузиться 3 раза?)

Так вот пока писал эту команду ребутился раза 2 инет так и не заработал! забил вот наследующий день загрузил убунту все летает =)

надо было просто ребутиться 3 раза ;)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Андрейemail (??), 15-Сен-11, 14:15 
Включите реакцию на ICMP и не парьтесь.
По секрету - ICMP бывает с полезным payload`ом. В частности, получатель может попросить уменьшить размер пакета.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от wolf10 (?), 19-Авг-12, 19:03 
Большой поклон автору :) Второй день мучаюсь почему rutracker.org не может открыться. Решил проблему с iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от funditus (?), 22-Авг-12, 09:02 
> Большой поклон автору :) Второй день мучаюсь почему rutracker.org не может открыться.
> Решил проблему с iptables -A FORWARD -p tcp -m tcp --tcp-flags
> SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Правильней было бы:
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Именно в таблице mangle. См. man iptables.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Ivan Drago (?), 02-Сен-12, 06:18 
У меня такая ситуация.
Провайдер NetByNet, протокол PPPoE.
Если шнур воткнуть в комп напрямую, инет замечательно работает.
Если через роутер Asus RX3041H (работает на линуксе), начинаются проблемы:
- многие сайты грузятся с тормозами;
- при попытке проиграть видео на ютубе, оно может загрузиться частично, для дальнейшей загрузки нужно передвинуть ползунок;
- на сайте нтв.ру видео либо не проигрывается вообще, либо грузится по 1% за полчаса.
Ставил разные значения MSS в роутере. Ничего не меняется.
Как заставить роутер нормально работать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Nas_tradamus (ok), 30-Окт-12, 10:23 
Ну у меня на dd-wrt помогло NetBynet такое:

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Таких глюков как у вас я не наблюдал, но иногда они возникали: то какой-нибудь сайт перестает открываться на одном из компов (не более минуты глюк), то еще какой прикол с ютьюбом. Главное что бесило: после ребута роутера сайты минут 5 нормально не открывались - открывалось лишь несколько, а остальные не были доступны, потом все становилось нормально. Но 99% времени все работало хорошо. Кстати, посмотрите выставлено ли значение MTU 1492 в самом подключении pppoe.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

43. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Ivan Drago (?), 02-Сен-13, 07:19 
(Разгребая закладки, наткнулся на сайт, где я год назад оставил сообщение.)
Спасибо за помощь. Скорее всего, старый роутер (ASUS RX3041H) вышел из строя, поэтому работал с такими глюками. С новым роутером (ASUS RT-N66U) всё работает как надо.
Где нужно прописывать команду "iptables..."?
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

40. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от DrTiEemail (?), 18-Окт-12, 00:09 
У меня провайдер NetByNet модем ZTE ZXV10 W300 все настраиваю но в инет не входит. в чем проблема...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от netc (??), 14-Июл-13, 12:55 
спасибо большое - если не сказать огромное !!!

правило с iptables сработало

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Алексейemail (??), 03-Ноя-13, 20:39 
этой волшебной строчки не хватало для полноценного моста из ящика на линуксе с ppp на wlan
вот весь мост
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от funditus (?), 04-Ноя-13, 08:24 
> этой волшебной строчки не хватало для полноценного моста из ящика на линуксе
> с ppp на wlan
> вот весь мост
> echo 1 > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
> iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Это не мост, а маршрутизатор, да и очень специфичный (натится на оба интерфейса).

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от Vittoemail (?), 12-Май-15, 00:39 
Сегодня столкнулся, чуть умом не тронулся пока искал в чем засада..

В убунте, в /etc/ppp/ip-up.d/0clampmss лежит эта настройка такого вида:


iptables -t mangle -o "$PPP_IFACE" --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu

так вот, если луна стоит в правильной позиции и ты вдруг про эту настройку не знаешь и трешь все правила iptables перед тем, как залить свой набор правил, жди сюрпризов..

В любом случае спасибо за статью!!!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe..."  +/
Сообщение от procsik (ok), 09-Дек-18, 15:49 
Если сам шлюз инициирует соединение, то пакет не пройдёт через FORWARD, поэтому лучше записать это на выходе в POSTROUTING (например, для интерфейса ppp0):

iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ppp0 -j TCPMSS --clamp-mss-to-pmtu

И нужно учесть то, что по-умолчанию pppd через pppoeconf ставить mtu:1492. Придётся замерить с другого шлюза реальный MTU:

ping -M do <ipaddr> -s <MTU>, где MTU это значение с учётом ICMP. Например, если 1452 проходит, то в конфиг pppoe нужно записать 1452+28, т.е. 1480. Тогда --clamp-mss-to-pmtu сам будет выставлять 1480-20-20, т.е. 1440 Что является правильным.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру
Hosting by Ihor