cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« : 10 Августа 2009, 16:02:36 » |
|
У меня такой вопрос к знающим. Поставил Нодени+радиус+мпд5. В принципе ошибок нет, система работает стабильно. Но вот такие чудеса происходят. ICMP пакеты ходят нормально, клиенты по ПППОЕ видят себя тоже по ICMP. Но вот пытаюсь c тестового клиента войти например на www.ua, браузер долго-долго ждёт потом по таймауту грит что такого узла нет, т.е. не открывает страницы захожу на гугл, там всё в порядке, и поиск работает и весь остальной сервис гугловский, захожу на другой сайт, не работает, SMTP и POP3 тоже бегают, т.е. сказать что фаирвол что-то блокирует-режет не скажешь, как так получается что часть инета работает, а часть нет? Шо за скаски на яву... Кто-то с таким сталкивался? Подозреваю два варианта, либ из-за того что у меня два ната работают, либо сам IPFW курочет пакеты. Другого думаю не дано. Вот мой листинг: # ipfw list 00050 allow tcp from any to me dst-port 22 00051 allow tcp from me 22 to any 00100 deny tcp from any to any dst-port 445 00110 allow ip from any to any via lo0 00120 skipto 1000 ip from me to any 00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00140 deny ip from any to table(120) 00150 deny ip from table(120) to any 00160 skipto 2000 ip from any to me 00200 skipto 500 ip from any to any via fxp0 00300 skipto 4500 ip from any to any in 00400 skipto 450 ip from any to any recv fxp0 00420 divert 1 ip from any to any 00450 divert 2 ip from any to any 00490 allow ip from any to any 00500 skipto 32500 ip from any to any in 00510 divert 1 ip from any to any 00540 allow ip from any to any 01000 allow udp from any 53,7723 to any 01010 allow tcp from any to any setup keep-state 01020 allow udp from any to any keep-state 01100 allow ip from any to any 02000 check-state 02010 allow icmp from any to any 02020 allow tcp from any to any dst-port 80,443 02050 deny ip from any to any via fxp0 02060 allow udp from any to any dst-port 53,7723 02100 deny ip from any to any 05000 deny ip from not table(0) to any 05001 skipto 5010 ip from table(127) to table(126) 05002 skipto 5030 ip from any to not table(2) 05003 deny ip from any to not table(1) 05004 pipe tablearg ip from table(21) to any 05005 deny ip from any to any 05010 pipe tablearg ip from table(127) to any 05030 deny tcp from table(15) to any dst-port 25 05400 pipe tablearg ip from table(11) to any 32000 deny ip from any to any 32000 deny ip from any to any 32490 deny ip from any to any 33000 pipe tablearg ip from table(126) to table(127) 33001 skipto 33010 ip from not table(2) to any 33002 pipe tablearg ip from any to table(20) 33003 deny ip from any to any 33400 pipe tablearg ip from any to table(10) 65535 allow ip from any to any # ipfw table 10 list 192.168.5.2/32 1004 # ipfw pipe 1005 list 01005: 512.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp 0 icmp 192.168.5.2/0 193.239.250.34/0 7220 436407 0 0 0
|
|
« Последнее редактирование: 11 Августа 2009, 16:38:17 от cray »
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #1 : 10 Августа 2009, 17:40:35 » |
|
Вообщем, что удалось выяснить. Отключил полностью ipfw, точнее в rc.firewall временно указал any to any, без изменений, часть инета работает, часть отдыхает. Потом полностью вырубил PF всё заработало, разкоментарил правила в rc.firewall вообще, даже icmp пакеты не ходили... Вывод, PF по какой-то причине курочит пакеты, какие-то из них нормально доходят, какие-то повреждённые.
Народ, подскажите, как лечится эта проблема, ведь ни каких ошибок нет что бы знать где копать.
Заранее благодарю.
|
|
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #2 : 10 Августа 2009, 21:38:17 » |
|
Люди, ну помогите кто нибудь, не знаю как идентифицировать эту проблему. Весь биллинг настроен, работает, единственное не пускает толком в инет, часть сайтов открываются, часть нет, 25 и 110 порты тоже работают. Может в Ноудени какой прокси режущий встроенный именно по 80, 21 порту, уже незнаю что и думать, вчера-сегодня убил на это время, результатов ноль. У кого какие мысли, соображения на этот счёт... Софтинка нравится, не охота расстоватся с ней из-за этого пустяка...
|
|
|
Записан
|
|
|
|
Efendy
|
|
« Ответ #3 : 11 Августа 2009, 00:08:03 » |
|
ты дай людям хоть на форум зайти и вникнуть. ответы не получаются мгновенно
|
|
|
Записан
|
|
|
|
Efendy
|
|
« Ответ #4 : 11 Августа 2009, 10:35:52 » |
|
какой mtu показывает ifconfig у поднятых соединений?
|
|
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #5 : 11 Августа 2009, 11:26:51 » |
|
Блииин, трындец какой-то, как это я провтыкал... грит что на ng0, 576... а должно быть 1460 насколько знаю...
Да, но ещё один момент, када просто пппое и без ipfw и pf, т.е. тачка просто в режиме роутера, то нормально хоть и по пппое. Может ещё добавляется цепочки вот и пакеты киляются... Хто его знает...
|
|
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #6 : 11 Августа 2009, 11:27:21 » |
|
щас попробую поменять, о результатах отпишусь... Да, ещё такая фишка, величина пинга пппое соединения, у меня тазики радом, а пинг составляет 15 мс стабильно, такогож не должно быть правильно? Ну пусть сам тунель скока там занимает, но не такая же величина...
|
|
« Последнее редактирование: 11 Августа 2009, 15:44:01 от cray »
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #7 : 11 Августа 2009, 12:06:02 » |
|
Вообщем, похоже точно что это пппое, выключал его, пробовал без пппое, нормально бегает, пинг маленький. Пытался прописать set link mtu 1460 в mpd5.conf - не применяется, всё равно старое значение показывает...
|
|
|
Записан
|
|
|
|
leliksan
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 56
|
|
« Ответ #8 : 11 Августа 2009, 12:11:53 » |
|
Так же mtu смотри в raddb/users ... Framed-MTU = ...
Я тоже наступил на те же грабли
|
|
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #9 : 11 Августа 2009, 12:54:16 » |
|
поставил, чуть больше узлов в инете стал видеть по 80-му, но всё равно лагает. пинг так и остался 15 мс. Что так и должно быть в связи с рррое
|
|
« Последнее редактирование: 11 Августа 2009, 16:33:13 от cray »
|
Записан
|
|
|
|
cray
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 61
|
|
« Ответ #10 : 11 Августа 2009, 15:42:10 » |
|
Всё, наконец, общими усилиями побороли... Тему переименовал, потому как были проблемы с диагностированием проблемы на начальном этапе, када она всплала. Может тоже, кому-то такие траблы попадутся, что бы могли прочитать как лечится. Решил проблему следующим образом, по советам с выше обратил внимание на размер mtu и сначала поменял в /usr/local/etc/raddb/users Framed-MTU=1460, чего оказалось мало, поставил 1500, заработало как надо. Посмотрим как будет работать на длинных линках, возможно там надо будет меньше значение ставить. Выставление в /usr/local/etc/mpd5/mpd.conf "set link mtu 1460" не дало ни какого результата, по всей видимости радиус назначает свои параметры, поверх мпд5, как и выдаёт IP, логин... Особая благодарность Efendy и leliksan, за то что ткнули в нужное направление где искать, а то бы я и не вспомнил, что существует такая вещь как mtu.
|
|
« Последнее редактирование: 11 Августа 2009, 16:40:52 от cray »
|
Записан
|
|
|
|
|