Двойной NAT и двойной VPN

0

1

Имеется такая схема подключения:

Интернет ———(VPN, белый IP)——— Сервер 1 ———(VPN, NAT)——— Сервер 2 ———(Wi-Fi, NAT)——— Мобильный терминал.

На Сервере 1 FreeBSD, на Сервере 2 — Arch Linux. Если работать напрямую с Сервера 2, трафик ходит нормально. Если работать с мобильного терминала (пробовали Андроидный телефон и телефон на винде манго), то много сайтов тупо не открываются.

С чем может быть проблема, кроме как с MTU?

Сменить провайдера, схему подключения и серверы не предлагать.

Ссылка

←	Что скажете про alibabahost.com?

[Gentoo] Проблема при установке php 5.3

→

У tcp много разных опций, tcp window scaling и т.д. Пинги разной длины до всех сайтов ходят?

mky ★★★★★
(30.10.11 15:48:08 MSK)

Ответ на: комментарий от mky 30.10.11 15:48:08 MSK

Пинги ходят (пробовал i.ua и 4.2.2.4), но при размере больше 1000 wireshark пишет про их фрагментацию.

post-factum ★★★★★
(30.10.11 16:25:09 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 30.10.11 15:48:08 MSK

А при открывании сайтов тот же wireshark выдаёт кучу пакетов с пометкой «Bad TCP».

post-factum ★★★★★
(30.10.11 16:26:52 MSK) автор топика

Ссылка

>С чем может быть проблема, кроме как с MTU?

А это и есть проблема с MTU. Причем, такое ощущение, что где-то криворукие админы запретили ICMP, в противном случае должен был сработать PMTU discovery.

ping -M do -s XXX Y.Y.Y.Y как себя ведет?

Macil ★★★★★
(30.10.11 16:40:16 MSK)

Кстати, в что за VPN?

Macil ★★★★★
(30.10.11 16:49:39 MSK)

Ответ на: комментарий от Macil 30.10.11 16:40:16 MSK

Пропускает максимум 1272.

post-factum ★★★★★
(30.10.11 16:54:54 MSK) автор топика

Ответ на: комментарий от Macil 30.10.11 16:49:39 MSK

pptp

post-factum ★★★★★
(30.10.11 16:55:05 MSK) автор топика

Ответ на: комментарий от post-factum 30.10.11 16:55:05 MSK

man -P 'less +/clamp-mss-to-pmtu' iptables пробовал?

maloi ★★★★★
(30.10.11 17:19:18 MSK)

Ответ на: комментарий от maloi 30.10.11 17:19:18 MSK

Спасибо, заработало.

post-factum ★★★★★
(30.10.11 17:23:01 MSK) автор топика

Ответ на: комментарий от post-factum 30.10.11 17:23:01 MSK

вообще насколько я понимаю - кривой нат на сервере 1, но как его исправлять я не в курсе (обычно у меня это был провайдер, от которого хрен чего добьешься), зато знаю какой костыль подставить на сервере 2, чтобы все заработало ;)

maloi ★★★★★
(30.10.11 17:25:21 MSK)

Ответ на: комментарий от maloi 30.10.11 17:25:21 MSK

Я правильно понимаю, что нужного эффекта можно было бы добиться, вручную расставив MTU последовательно на всех интерфейсах в порядке убывания от сервера к клиенту?

post-factum ★★★★★
(30.10.11 17:27:12 MSK) автор топика

Ответ на: комментарий от post-factum 30.10.11 17:27:12 MSK

вроде как да, во всяком случае у меня такое помогало.

maloi ★★★★★
(30.10.11 17:53:41 MSK)

Ссылка

Ответ на: комментарий от post-factum 30.10.11 16:54:54 MSK

>Пропускает максимум 1272.

Что-то кардинально мало. PPTP берет 20 байт на еще один IP заголовок, 12 байт на GRE и 2 байта на PPP. И даже с учетом того, что -s задает размер пейлоада ICMP, т.е. еще 8 байт ICMP плюс IP заголовок, то 1272 ну никак не может быть.

Кстати, а как именно не пропускает? Нет ответа на пинг, или ругань на MTU?

Macil ★★★★★
(30.10.11 18:23:19 MSK)

Ответ на: комментарий от post-factum 30.10.11 17:27:12 MSK

>Я правильно понимаю, что нужного эффекта можно было бы добиться

А вот это — чертовски интересный вопрос. VPN туннель у тебя уменьшает MTU, поэтому на интерфейсе нужно выставить меньшее значение, по идее. Но тогда у тебя будут страдать локальные сервисы на VPN сервере.

И как решать такую проблему — я лично не в курсе.

Macil ★★★★★
(30.10.11 18:26:49 MSK)