VPN: ping идет, все остальное - нет

0

0

Здравствуйте! Такая вот странная ситуация. На компьютере установлены Windows и AltLinux 4.1. Из под виндов Интернет через VPN работает нормально. Под Linux'ом настраивал его через kvpnc и, после того, как прописал несколько команд route, ping на внешние узлы ( ping www.yandex.ru, например ) пошел нормально. Но вот броузер ответа не получает. Соединение с сайтом устанавливается - и все. Пробовал ftp - та же история: open ftp.asplinux.ru - соединяется ls - молчит. В iptables - пусто, только Policy ACCEPT на все. Где искать заковыку ?

Александр.

Ссылка

←	[proftpd]как запретить юзерам выходить из домашнего каталога?

PPPoE и динамические IP

→

Может быть как то так? http://www.linux.org.ru/wiki/en/Network#%D0%9F%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%...

KblCb ★★★★★
(21.12.08 13:52:07 MSK)

Проверьте ещё на MTU (попингуйте большими пакетами и покрутите mss в iptables).

mky ★★★★★
(21.12.08 14:01:45 MSK)

Ссылка

Ответ на: комментарий от KblCb 21.12.08 13:52:07 MSK

Здесь: http://www.linux.org.ru/wiki/en/Network#%D0%9F%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%.. . , как я понял, даны рекомендации на случай, если нет выхода за пределы VPN, в моем же случае этот выход есть, нет чего-то другого, чего не пойму. Во всяком случае, все пункты оттуда у меня выполнены. Менял размер пакета в ping - все равно работает, зараза :), а browser - нет.

alkresin
(21.12.08 15:02:16 MSK) автор топика

Ссылка

смотреть tcpdump.

Komintern ★★★★★
(21.12.08 17:43:35 MSK)

Ответ на: комментарий от Komintern 21.12.08 17:43:35 MSK

Та что тут смотреть,конфины в студию в студию

Tok ★★
(23.12.08 03:48:19 MSK)

Ответ на: комментарий от Tok 23.12.08 03:48:19 MSK

Какие именно конфиги нужны ? Что может привести к тому, что ping проходит, а tcp пакеты - нет ( iptables ограничений не ставит ) ?

alkresin
(25.12.08 16:51:50 MSK) автор топика

Ссылка

Ответ на: комментарий от Komintern 21.12.08 17:43:35 MSK

А tcpdump при попытке открыть www.yandex.ru выдает следующее:

18:28:58.334640 IP 172.20.2.142.52777 > www.yandex.ru.http: S 1956442672:1956442672(0) win 5808 <mss 1452,nop,nop,sackOK,nop,wscale 4> 18:28:58.360693 IP www.yandex.ru.http > 172.20.2.142.52777: S 665220814:665220814(0) ack 1956442673 win 65535 <mss 1410,nop,wscale 3,sackOK,eol> 18:28:58.360820 IP 172.20.2.142.52777 > www.yandex.ru.http: . ack 1 win 363 18:28:58.361082 IP 172.20.2.142.52777 > www.yandex.ru.http: P 1:374(373) ack 1 win 363 18:28:58.417716 IP www.yandex.ru.http > 172.20.2.142.52777: . 1411:2821(1410) ack 374 win 8283 18:28:58.417807 IP 172.20.2.142.52777 > www.yandex.ru.http: . ack 1 win 363 <nop,nop,sack 1 {1411:2821}> 18:28:58.445222 IP www.yandex.ru.http > 172.20.2.142.52777: . 2821:4231(1410) ack 374 win 8283 18:28:58.445353 IP 172.20.2.142.52777 > www.yandex.ru.http: . ack 1 win 363 <nop,nop,sack 1 {1411:4231}> 18:28:58.693799 IP www.yandex.ru.http > 172.20.2.142.52777: . 4231:5641(1410) ack 374 win 8283 18:28:58.693877 IP 172.20.2.142.52777 > www.yandex.ru.http: . ack 1 win 363 <nop,nop,sack 1 {1411:5641}>

Не вижу, какие из этого можно сделать новые выводы ...

alkresin
(25.12.08 20:54:45 MSK) автор топика

Ответ на: комментарий от alkresin 25.12.08 20:54:45 MSK

Чего то у вас tcpdump не показывает флаг "Don't Fragment", который обычно стоит на tcp-пакетах,
но это вроде не должно влиять.

http://www.linux.org.ru/view-message.jsp?msgid=2355326#2391691

То есть можно:

1) Проверить, что под виндой трафик идёт напрямую, а не через прокси (wireshark).
2) Установить MSS c помощью iptables (--clamp-mss-to-pmtu или --set-mss 1200)
3) Поковырять window_scaling ( tcp_window_scaling = 0 )

mky ★★★★★
(25.12.08 22:28:46 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[proftpd]как запретить юзерам выходить из домашнего каталога?

Admin

PPPoE и динамические IP

→

Похожие темы