cray
NoDeny
Пользователь
Карма: 0
 Offline
Сообщений: 61
|
 |
« : 10 Августа 2009, 16:02:36 » |
|
У меня такой вопрос к знающим. Поставил Нодени+радиус+мпд5. В принципе ошибок нет, система работает стабильно. Но вот такие чудеса происходят. ICMP пакеты ходят нормально, клиенты по ПППОЕ видят себя тоже по ICMP. Но вот пытаюсь c тестового клиента войти например на www.ua, браузер долго-долго ждёт потом по таймауту грит что такого узла нет, т.е. не открывает страницы захожу на гугл, там всё в порядке, и поиск работает и весь остальной сервис гугловский, захожу на другой сайт, не работает, SMTP и POP3 тоже бегают, т.е. сказать что фаирвол что-то блокирует-режет не скажешь, как так получается что часть инета работает, а часть нет? Шо за скаски на яву...  Кто-то с таким сталкивался? Подозреваю два варианта, либ из-за того что у меня два ната работают, либо сам IPFW курочет пакеты. Другого думаю не дано. Вот мой листинг: # ipfw list
00050 allow tcp from any to me dst-port 22
00051 allow tcp from me 22 to any
00100 deny tcp from any to any dst-port 445
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00140 deny ip from any to table(120)
00150 deny ip from table(120) to any
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via fxp0
00300 skipto 4500 ip from any to any in
00400 skipto 450 ip from any to any recv fxp0
00420 divert 1 ip from any to any
00450 divert 2 ip from any to any
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00510 divert 1 ip from any to any
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state
01020 allow udp from any to any keep-state
01100 allow ip from any to any
02000 check-state
02010 allow icmp from any to any
02020 allow tcp from any to any dst-port 80,443
02050 deny ip from any to any via fxp0
02060 allow udp from any to any dst-port 53,7723
02100 deny ip from any to any
05000 deny ip from not table(0) to any
05001 skipto 5010 ip from table(127) to table(126)
05002 skipto 5030 ip from any to not table(2)
05003 deny ip from any to not table(1)
05004 pipe tablearg ip from table(21) to any
05005 deny ip from any to any
05010 pipe tablearg ip from table(127) to any
05030 deny tcp from table(15) to any dst-port 25
05400 pipe tablearg ip from table(11) to any
32000 deny ip from any to any
32000 deny ip from any to any
32490 deny ip from any to any
33000 pipe tablearg ip from table(126) to table(127)
33001 skipto 33010 ip from not table(2) to any
33002 pipe tablearg ip from any to table(20)
33003 deny ip from any to any
33400 pipe tablearg ip from any to table(10)
65535 allow ip from any to any # ipfw table 10 list
192.168.5.2/32 1004 # ipfw pipe 1005 list
01005: 512.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 icmp 192.168.5.2/0 193.239.250.34/0 7220 436407 0 0 0 |
|
|
|
« Последнее редактирование: 11 Августа 2009, 16:38:17 от cray »
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #1 : 10 Августа 2009, 17:40:35 » |
|
Вообщем, что удалось выяснить.
Отключил полностью ipfw, точнее в rc.firewall временно указал any to any, без изменений, часть инета работает, часть отдыхает. Потом полностью вырубил PF всё заработало, разкоментарил правила в rc.firewall вообще, даже icmp пакеты не ходили...
Вывод, PF по какой-то причине курочит пакеты, какие-то из них нормально доходят, какие-то повреждённые.
Народ, подскажите, как лечится эта проблема, ведь ни каких ошибок нет что бы знать где копать.
Заранее благодарю.
|
|
|
|
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #2 : 10 Августа 2009, 21:38:17 » |
|
Люди, ну помогите кто нибудь, не знаю как идентифицировать эту проблему. Весь биллинг настроен, работает, единственное не пускает толком в инет, часть сайтов открываются, часть нет, 25 и 110 порты тоже работают. Может в Ноудени какой прокси режущий встроенный именно по 80, 21 порту, уже незнаю что и думать, вчера-сегодня убил на это время, результатов ноль.
У кого какие мысли, соображения на этот счёт...
Софтинка нравится, не охота расстоватся с ней из-за этого пустяка...
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #3 : 11 Августа 2009, 00:08:03 » |
|
ты дай людям хоть на форум зайти и вникнуть. ответы не получаются мгновенно
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #4 : 11 Августа 2009, 10:35:52 » |
|
какой mtu показывает ifconfig у поднятых соединений?
|
|
|
|
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #5 : 11 Августа 2009, 11:26:51 » |
|
Блииин, трындец какой-то, как это я провтыкал... грит что на ng0, 576... а должно быть 1460 насколько знаю...
Да, но ещё один момент, када просто пппое и без ipfw и pf, т.е. тачка просто в режиме роутера, то нормально хоть и по пппое. Может ещё добавляется цепочки вот и пакеты киляются... Хто его знает...
|
|
|
|
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #6 : 11 Августа 2009, 11:27:21 » |
|
щас попробую поменять, о результатах отпишусь...
Да, ещё такая фишка, величина пинга пппое соединения, у меня тазики радом, а пинг составляет 15 мс стабильно, такогож не должно быть правильно? Ну пусть сам тунель скока там занимает, но не такая же величина...
|
|
|
|
« Последнее редактирование: 11 Августа 2009, 15:44:01 от cray »
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #7 : 11 Августа 2009, 12:06:02 » |
|
Вообщем, похоже точно что это пппое, выключал его, пробовал без пппое, нормально бегает, пинг маленький.
Пытался прописать set link mtu 1460 в mpd5.conf - не применяется, всё равно старое значение показывает...
|
|
|
|
|
Записан
|
|
|
|
leliksan
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 56
|
|
« Ответ #8 : 11 Августа 2009, 12:11:53 » |
|
Так же mtu смотри в raddb/users
...
Framed-MTU =
...
Я тоже наступил на те же грабли
|
|
|
|
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #9 : 11 Августа 2009, 12:54:16 » |
|
поставил, чуть больше узлов в инете стал видеть по 80-му, но всё равно лагает. пинг так и остался 15 мс. Что так и должно быть в связи с рррое
|
|
|
|
« Последнее редактирование: 11 Августа 2009, 16:33:13 от cray »
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #10 : 11 Августа 2009, 15:42:10 » |
|
Всё, наконец, общими усилиями побороли...  Тему переименовал, потому как были проблемы с диагностированием проблемы на начальном этапе, када она всплала. Может тоже, кому-то такие траблы попадутся, что бы могли прочитать как лечится. Решил проблему следующим образом, по советам с выше обратил внимание на размер mtu и сначала поменял в /usr/local/etc/raddb/users Framed-MTU=1460, чего оказалось мало, поставил 1500, заработало как надо. Посмотрим как будет работать на длинных линках, возможно там надо будет меньше значение ставить. Выставление в /usr/local/etc/mpd5/mpd.conf "set link mtu 1460" не дало ни какого результата, по всей видимости радиус назначает свои параметры, поверх мпд5, как и выдаёт IP, логин... Особая благодарность Efendy и leliksan, за то что ткнули в нужное направление где искать, а то бы я и не вспомнил, что существует такая вещь как mtu. |
|
|
|
« Последнее редактирование: 11 Августа 2009, 16:40:52 от cray »
|
Записан
|
|
|
|
|
