Всем привет.Ситуаци следующая, есть две сети между которыми установлено VPN соединение. Схема сети примерно такая:
[удалённая сеть] - [VPN сервер] - [inet] - [adsl modem] - [linux router (VPN клиент)] - [моя сеть]
VPN сервер - Win 2003 SP2, Linux - Debian Lenny, остальные машины - windows.
Соединение в интернет из моей сети устанавливается по PPPoE. Т.е. получается слоёный пирог - PPPoE туннель от роутера на модем и далее к провайдеру (ppp4), а внутри него PPTP туннель в удалённую сеть (ppp2).
proxy:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0a:e6:72:d4:f1
inet addr:192.168.1.33 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20a:e6ff:fe72:d4f1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10803461 errors:0 dropped:0 overruns:0 frame:0
TX packets:11568490 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3100125411 (2.8 GiB) TX bytes:2343239002 (2.1 GiB)
Interrupt:23 Base address:0xe000eth1 Link encap:Ethernet HWaddr 00:e0:4c:99:15:49
inet addr:192.168.2.66 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::2e0:4cff:fe99:1549/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7226974 errors:108 dropped:2 overruns:1 frame:0
TX packets:5601491 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2047838408 (1.9 GiB) TX bytes:640058176 (610.4 MiB)
Interrupt:19 Base address:0xc400lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:86890 errors:0 dropped:0 overruns:0 frame:0
TX packets:86890 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:25772750 (24.5 MiB) TX bytes:25772750 (24.5 MiB)ppp2 Link encap:Point-to-Point Protocol
inet addr:10.13.0.32 P-t-P:10.13.0.80 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:41176 errors:0 dropped:0 overruns:0 frame:0
TX packets:32933 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:14165378 (13.5 MiB) TX bytes:2269136 (2.1 MiB)ppp4 Link encap:Point-to-Point Protocol
inet addr:PUB.LIC.IP.ТУТ P-t-P:YYY.YYY.YYY.YYY Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:262609 errors:0 dropped:0 overruns:0 frame:0
TX packets:202061 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:103830228 (99.0 MiB) TX bytes:19640640 (18.7 MiB)
Удалённая сеть имеет адреса 10.0.0.0/8, моя сеть 192.168.1.0/24, модем 192.168.2.1Т.о. чтобы получить доступ из моей сети в удалённую linux поднимает PPTP соединение и выполняет NAT в удалённую сеть. Также с помощью iptables режутся все попытки проникнуть из удалённой сети в мою.
Всё настроено и работает (!). Т.е. я могу зайти с любой машины внутри сети на какой-нибудь \\10.0.0.5\Temp, смотреть там файлы, скачивать небольшие файлики, заличать туда...
Но, при попытке скачать из удалённой сети файл побольше тунель повисает. Было предположение, что это как-то связано с MTU/MSS. Но повисает не конкретное соединение, а тунель целиком.
Т.е. даём одновременно две команды (10.13.0.67 машина внутри удалённой сети) и через несколько скачанных мегабайт тунель повисает (чётко видно по пингу):
C:\>copy \\10.13.0.67\temp\1.iso .\и
C:\>ping -t 10.13.0.67
Pinging 10.13.0.67 with 32 bytes of data:
Reply from 10.13.0.67: bytes=32 time=26ms TTL=126
Reply from 10.13.0.67: bytes=32 time=26ms TTL=126
...
Reply from 10.13.0.67: bytes=32 time=25ms TTL=126
Request timed out.
Request timed out.
...Интересный момент состоит в том, что файл с удалённого шлюза (10.13.0.80) скачивается без проблем. Проблемы возникают только, если качаешь именно с внутренних машин.
Вопрос как всегда - кто виноват и что делать? :)
Linux доступен для любых экспериментов (в разумных пределах). Т.е. любые настройки можно поменять, логи показать и т.п.
Удалённый сервер тоже доступен, но предпочтительно там ничего не менять.
Если со шлюза без проблем, а дальше с проблемами значит проблема в том через что ты получаешь доступ к проблемным машинам.
> Если со шлюза без проблем, а дальше с проблемами значит проблема в
> том через что ты получаешь доступ к проблемным машинам.Можно чуть подробнее? В чём конкретно по вашему мнению проблема?
Как это проверить/подтвердить? И, наконец, как бороться?
А можно правила iptables?
> А можно правила iptables?proxy:~# iptables -L -nv
Chain INPUT (policy DROP 8 packets, 8447 bytes)
pkts bytes target prot opt in out source destination
21503 2243K ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
87814 25M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
14M 14G ACCEPT all -- eth0 * 192.168.1.0/24 0.0.0.0/0
4449 4996K ACCEPT all -- ppp2 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
8915 833K drop-and-log-it all -- * * 0.0.0.0/0 0.0.0.0/0Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
15730 1078K ACCEPT all -- eth0 ppp2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- eth0 ppp2 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT tcp -- eth0 ppp2 0.0.0.0/0 0.0.0.0/0 multiport dports 25,110
0 0 ACCEPT tcp -- eth0 ppp2 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389
0 0 ACCEPT tcp -- eth0 ppp2 0.0.0.0/0 0.0.0.0/0 tcp dpts:1433:1434
0 0 ACCEPT udp -- eth0 ppp2 0.0.0.0/0 0.0.0.0/0 udp dpts:1433:1434
0 0 ACCEPT tcp -- eth0 ppp2 0.0.0.0/0 0.0.0.0/0 multiport dports 137,139,445
0 0 ACCEPT udp -- eth0 ppp2 0.0.0.0/0 0.0.0.0/0 multiport dports 137,139,445
30350 2362K ACCEPT tcp -- eth0 ppp4 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- eth0 ppp4 192.168.1.0/24 0.0.0.0/0 udp dpt:53
102K 35M ACCEPT all -- ppp4 eth0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
18783 7116K ACCEPT all -- ppp2 eth0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
177K 11M drop-and-log-it all -- * * 0.0.0.0/0 0.0.0.0/0Chain OUTPUT (policy DROP 8 packets, 2736 bytes)
pkts bytes target prot opt in out source destination
87817 25M ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
14M 6902M ACCEPT all -- * eth0 192.168.1.0/24 192.168.1.0/24
3506K 317M ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0
51116 4169K ACCEPT all -- * ppp4 0.0.0.0/0 0.0.0.0/0
3821 946K ACCEPT all -- * ppp2 0.0.0.0/0 0.0.0.0/0
6 1644 drop-and-log-it all -- * * 0.0.0.0/0 0.0.0.0/0Chain drop-and-log-it (11 references)
pkts bytes target prot opt in out source destination
186K 11M LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `[DROP]'
186K 11M DROP all -- * * 0.0.0.0/0 0.0.0.0/0proxy:~# iptables -L -nv -t nat
Chain PREROUTING (policy ACCEPT 1161K packets, 75M bytes)
pkts bytes target prot opt in out source destinationChain POSTROUTING (policy ACCEPT 66168 packets, 4325K bytes)
pkts bytes target prot opt in out source destination
146 7264 MASQUERADE all -- * ppp4 0.0.0.0/0 0.0.0.0/0
440 27378 MASQUERADE all -- * ppp2 0.0.0.0/0 0.0.0.0/0Chain OUTPUT (policy ACCEPT 267K packets, 17M bytes)
pkts bytes target prot opt in out source destination
Пробовали без настроек iptables качать? Правила для цепочек INPUT и OUTPUT в таблице filter бессмысленны. Можете их смело смывать. И попробуйте без них.iptables -F INPUT
iptables -F OUTPUT
> Пробовали без настроек iptables качать? Правила для цепочек INPUT и OUTPUT в
> таблице filter бессмысленны. Можете их смело смывать. И попробуйте без них.
> iptables -F INPUT
> iptables -F OUTPUTага, -F, учитывая что у них DROP полиси... =)
Не забудь сменить политику на ACCEPT
И вы, кстати, запятую перед "что" не поставили.