https://opennet.ru/openforum/vsluhforumID1/76497.html Добрый день!<br>Возникла проблема с сервером доступа в интернет при настройке подключения через PPTP. Все рациональные объяснения у меня кончились. Помогите пожалуйста!<br><br>Конфигурация:<br>Сервер доступа в интернет на FreeBSD. На нем работает mpd для соединения с провайдером по PPTP и natd для раздачи трафика. Сервер подключен к провайдеру через роутер, также осуществляющий NAT.<br><br>Клиенты - FreeBSD: (natd - mpd) - router-nat - vpn.corbina.net<br><br>Проблема: Если клиент качает из интернета - всё нормально, скорость хорошая, если же он открывает сайт, то некоторые сайты долго не грузятся, загружаются медленно, некоторые не появляются вообще.<br>Спидометр numion.com показывает хорошую скорость на вход-выход потоковых данных, однако тест, загружающий картинки, показывает всего три-четыре картинки за всё время работы, остальные не появляются.<br><br>Возможно причина связана с различием MTU в локальной сети, интернете и PPTP канале. В локалке MTU 1500 (Ethernet), в интернете наверное тоже на всём протяжении каналов. А https://opennet.ru/openforum/vsluhforumID1/76497.html#11 Wed, 19 Dec 2007 01:33:23 GMT &gt;Решил проблему с MSS установкой tcpmssd. <br>&gt;Опция в mpd.conf set iface enable tcpmssfix почему-то заменяет <br>&gt;MSS только для входящих. Провайдер кстати это вообще не делает. <br>&gt;<br>&gt;<br>&gt;Обсуждение уже этой проблемы тут: http://www.opennet.ru/openforum/vsluhforumID1/76635.html <br><br>Пинг (icmp )сообщения не выставляет бит DF запрет фрагментации.<br>втупает механиз согласования максимального Mtu по сети от хоста до удаленного вебсервера примеру. Вероятно на сети они не проходят и Mtu согласовать не удается. MSS это обход проблемы невозможности согласования mtu за счет занижения объема данных переданных в каждом пакете. Примерно так. <br> https://opennet.ru/openforum/vsluhforumID1/76497.html#10 Sat, 06 Oct 2007 23:33:02 GMT Решил проблему с MSS установкой tcpmssd.<br>Опция в mpd.conf set iface enable tcpmssfix почему-то заменяет MSS только для входящих. Провайдер кстати это вообще не делает.<br><br>Обсуждение уже этой проблемы тут: http://www.opennet.ru/openforum/vsluhforumID1/76635.html<br> https://opennet.ru/openforum/vsluhforumID1/76497.html#9 Sat, 06 Oct 2007 17:44:10 GMT &gt;В линуксе /proc/sys/net/nf_conntrack_max, зависит от количества памяти, устанавливается через sysctl. <br>&gt;Например при гб виртуальной памяти - 32768 соединений. <br>&gt;Как в бсд, не могу сказать. <br><br>Нашел опции в BSD (количество сокетов, сетевых буферов), но они не помогают. И вообще видимо отвечают за соединения с сервера, а не чере него.<br><br>Отследив трафик при соединении с тестовым внешним веб-сервером, я установил причину проблем.<br><br>Причина отсутствия связи со многими сайтами:<br>Пакеты не фрагментируются со стороны провайдера перед передачей в PPTP. Поэтому все пакеты больше MTU pptp канала (1460) пропадают. Сервер pptp провайдера генерирует ICMP сообщения о необходимости фрагментации, но, видимо, большинство сайтов не реагируют на них, или же эти пакеты где-то пропадают по ходу машрута.<br><br>Причина нормальной работы с самого сервера доступа:<br>При установке TCP соединения с самого сервера доступа, в параметрах TCP указывается MSS (1420) соответствующее MTU своего интерфейса, поэтому удаленный сервер не може https://opennet.ru/openforum/vsluhforumID1/76497.html#8 Thu, 04 Oct 2007 11:11:55 GMT В линуксе /proc/sys/net/nf_conntrack_max, зависит от количества памяти, устанавливается через sysctl.<br>Например при гб виртуальной памяти - 32768 соединений.<br>Как в бсд, не могу сказать.<br> https://opennet.ru/openforum/vsluhforumID1/76497.html#7 Wed, 03 Oct 2007 19:59:35 GMT А есть ли данные по количеству соединений, одновременно обслуживаемых натом? (natd).<br>У меня есть подозрение, что нат просто отбрасывает новые подключения. <br>У меня несколько тысяч одновременных соединений (благодаря файлообменным системам).<br><br>Никаких настроек типа размера таблицы, в самом natd нет. Может быть это зависит от переменных ядра, или вообще неограничено?<br> https://opennet.ru/openforum/vsluhforumID1/76497.html#6 Wed, 03 Oct 2007 18:50:01 GMT &gt;Настройки mpd - это хорошо, но действительно ли mtu на интерфейсе меняется? <br>&gt;<br>&gt;Сделай руками ifconfig pppX mtu 1460 и посмотри результат. <br><br>Вроде меняется:<br>ng0: flags=88d1&lt;UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST&gt; mtu 1460<br> inet6 fe80::251:ff:fe00:8f%ng0 prefixlen 64 scopeid 0x7<br> inet 89.x.x.x --&gt; 192.168.x.x netmask 0xffffffff<br><br><br>И в логах MPD этот факт тоже отображен:<br>mpd: [vpn0] setting interface ng0 MTU to 1460 bytes<br><br>Сделал вручную, ничего не изменилось.<br><br>Впрочим, исходящие HTTP запросы и так маленькие, они бы по любому проскочили.<br>Кроме того, уже смотрел на интерфейсе tcpdump'ом - исх. пакеты фрагментируются правильно.<br>А что происходит со входящими на той стороне - никто не знает. Но всё таки они сами запрашивали 1460.<br> https://opennet.ru/openforum/vsluhforumID1/76497.html#5 Wed, 03 Oct 2007 08:58:51 GMT Настройки mpd - это хорошо, но действительно ли mtu на интерфейсе меняется? <br>Сделай руками ifconfig pppX mtu 1460 и посмотри результат. <br> https://opennet.ru/openforum/vsluhforumID1/76497.html#4 Wed, 03 Oct 2007 08:43:52 GMT Настроил на другом сервере. Там FreeBSD 4.9<br>Всё то же самое. Картинки грузятся очень долго, большинство не грузится (в тесте numion.com). Этот же сервер является роутером с nat через обычный Ethernet канал и через DSL маршрутизатор (то есть всего на нем 3 аплинка). Они работают нормально, только через PPTP проблемы. Настройки для всех похожие, nat + fwd на нужный шлюз в зависимости от адреса источника (задаваемого натом).<br><br>При подключении с виндозного компа а также с самого аппаратного роутера, такой проблемы нет.<br> https://opennet.ru/openforum/vsluhforumID1/76497.html#3 Mon, 01 Oct 2007 22:25:01 GMT &gt;&gt;Есть хоть какие-нибудь мнения по этой проблеме? <br>&gt;<br>&gt;Здесь уже были подобные темы недавно: <br>&gt;Напр. <br>&gt;http://www.opennet.ru/openforum/vsluhforumID1/48524.html <br>&gt;http://www.opennet.ru/openforum/vsluhforumID15/1261.html <br>&gt;<br>&gt;Из одной из тем: <br>&gt;<br>&gt;Попробуй в mpd.conf указать опцию: set iface enable tcpmssfix <br><br>У меня стоит эта опция (конфиг в первом сообщении).<br>По первой ссылке там вообще была раздача через MPD, а у меня доступ.<br>А в отличие от темы 2-й ссылки, с самой системы всё отлично работает (а также через если клиенты работают через прокси на этой системе) Не работает транзитом.<br>Также когда на клиенте настраивали внешний (в инете) прокси, то тоже как ни странно лучше работало (но не тестили почти).<br><br><br>