Задачка. Найти причину почему не работают некоторые сайты в локалке

0

1

Столкнулся со странной проблемой.

Как известно если интернет-ресурс не пингуется - это ещё не значит что он не работает, может у него просто заблокирован icmp-трафик. Вот, например, ресурсы: support.microsoft.com, amazon.com, openvpn.net.

iskatel@gate:~$ ping -c 5 support.microsoft.com
PING support.microsoft.akadns.net (157.56.121.21) 56(84) bytes of data.

--- support.microsoft.akadns.net ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 3999ms

iskatel@gate:~$ ping -c 5 amazon.com
PING amazon.com (176.32.98.166) 56(84) bytes of data.

--- amazon.com ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 3999ms

iskatel@gate:~$ ping -c 5 openvpn.net
PING openvpn.net (54.215.128.159) 56(84) bytes of data.

--- openvpn.net ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4031ms

Но проверка ресурсов по tcp говорит, что он всё-таки доступен:

iskatel@gate:~$ sudo nmap -sS support.microsoft.com

Starting Nmap 6.00 ( http://nmap.org ) at 2013-10-02 14:25 MSK
Nmap scan report for support.microsoft.com (157.56.121.21)
Host is up (0.075s latency).
Not shown: 998 filtered ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 6.76 seconds
iskatel@gate:~$ sudo nmap -sS amazon.com

Starting Nmap 6.00 ( http://nmap.org ) at 2013-10-02 14:25 MSK
Nmap scan report for amazon.com (72.21.215.232)
Host is up (0.14s latency).
Other addresses for amazon.com (not scanned): 176.32.98.166 205.251.242.54 72.21.194.212
Not shown: 998 filtered ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 10.07 seconds
iskatel@gate:~$ sudo nmap -sS openvpn.net

Starting Nmap 6.00 ( http://nmap.org ) at 2013-10-02 14:23 MSK
Nmap scan report for openvpn.net (54.215.128.159)
Host is up (0.21s latency).
rDNS record for 54.215.128.159: ec2-54-215-128-159.us-west-1.compute.amazonaws.com
Not shown: 983 filtered ports
PORT     STATE  SERVICE
20/tcp   closed ftp-data
21/tcp   closed ftp
22/tcp   open   ssh
25/tcp   closed smtp
53/tcp   closed domain
80/tcp   open   http
110/tcp  closed pop3
143/tcp  closed imap
161/tcp  closed snmp
443/tcp  open   https
465/tcp  closed smtps
587/tcp  closed submission
993/tcp  closed imaps
995/tcp  closed pop3s
3306/tcp open   mysql
3389/tcp closed ms-wbt-server
9102/tcp open   jetdirect

Nmap done: 1 IP address (1 host up) scanned in 9.45 seconds

А теперь внимание, компьютер с которого я это проверяю - является шлюзом. Ноутбуки из локалки получают доступ в Интернет при помощи правила SNAT и на всех ноутбуках не работают сайты support.microsoft.com, amazon.com и openvpn.net. Все остальные сайты, google.ru, например, работают. На тех же ноутбуках, но подключённых к другой сети, работает всё. На шлюзе никаких блокировок указанных сайтов нет, но то что на данных серверах заблокирован icmp я не считаю совпадением. В чём же причина?

Ссылка

←	DHCP Server на виртуальной машине с двумя сетевыми интерфейсами

Перенос субмодуля на другой адрес

→

Как обычно — mss/mtu. Туннель, небось, до инторнетов.

hizel ★★★★★
(02.10.13 14:54:43 MSK)

доступ в Интернет при помощи правила SNAT

Попробуйте просто маскарадинг.

iptables -t nat -A POSTROUTING -s NET/MASK -j MASQUERADE

kostik87 ★★★★★
(02.10.13 14:55:51 MSK)

Ссылка

Ответ на: комментарий от hizel 02.10.13 14:54:43 MSK

Точняк! Я в локалке mtu уменьшал до 1468, пытаясь ускорить сеть. Вернул 1500 - сразу всё заработало.

sunny1983 ★★★★★
(02.10.13 15:10:24 MSK) автор топика

Ответ на: комментарий от sunny1983 02.10.13 15:10:24 MSK

А подробнее про ускорение сети путём уменьшения mtu?

frob ★★★★★
(02.10.13 15:30:15 MSK)

Ответ на: комментарий от frob 02.10.13 15:30:15 MSK

А подробнее про ускорение сети путём уменьшения mtu?

Нужно ли в ядре 3.2 оптимизировать TCP/IP
Ethernet+WiFi в одной локалке

sunny1983 ★★★★★
(02.10.13 17:18:05 MSK) автор топика
Последнее исправление: sunny1983 02.10.13 17:18:30 MSK (всего исправлений: 1)

Ответ на: комментарий от sunny1983 02.10.13 17:18:05 MSK

Не вижу по приведённым ссылкам никакого обоснования того, как уменьшение MTU может увеличить пропускную способность сети.

frob ★★★★★
(02.10.13 17:47:00 MSK)

Ответ на: комментарий от frob 02.10.13 17:47:00 MSK

Ну это я шаманил по всякому, и при помощи mtu, и при помощи бубна.

sunny1983 ★★★★★
(02.10.13 18:34:04 MSK) автор топика

Ссылка

Ответ на: комментарий от frob 02.10.13 15:30:15 MSK

В некоторых случаях бывает целесообразно уменьшить mtu что-бы избежать фрагментации пакетов. Или когда-то было целесообразно. В общем какая-то логика всё-же прослеживается.

MrClon ★★★★★
(03.10.13 00:24:09 MSK)

Как известно если интернет-ресурс не пингуется - это ещё не значит что он не работает, может у него просто заблокирован icmp-трафик.

Как известно, если интернет-ресурс не пингуется - это ещё не значит что у него заблокирован icmp-трафик. У него заблокированы только icmp-эхо-сообщения, а icmp-сообщения с требованием уменьшить размер пакета вполне разрешены.

ansky ★★★★★
(03.10.13 01:09:19 MSK)

Ссылка

Ответ на: комментарий от MrClon 03.10.13 00:24:09 MSK

Если только линуксовый роутер при уменьшении размера MTU ниже «стандартного» не начинает шаманить с MSS в проходящих пакетах, уменьшение MTU на его интерфейсах не поможет избежать фрагментации пакетов.

frob ★★★★★
(03.10.13 02:50:44 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	DHCP Server на виртуальной машине с двумя сетевыми интерфейсами

Admin

Перенос субмодуля на другой адрес

→

Похожие темы