Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Тематический каталог: О PPPoE, MTU и проблеме Path MTU Disco..."	+/–
Сообщение от auto_topic (?), 16-Мрт-07, 15:24
Обсуждение статьи тематического каталога: О PPPoE, MTU и проблеме Path MTU Discovery Black Hole (pppoe mtu) Ссылка на текст статьи: https://www.opennet.ru/base/net/pppoe_mtu.txt.html
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от tau (?), 16-Мрт-07, 15:24	–1 +/–
Отличная статья для начинающих!
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от scamp (??), 16-Мрт-07, 17:54	+1 +/–
Сам с месяц назад напоролся на такую проблему. решение заняло около 3 часов. после консультации с сетевым специалистом, начал копать в сторону mtu (хотя подозрения на этот счет были сразу). поиск по конфигам shorewall (именно им пользуюсь для удобства управления iptables. рекомендую всем) привел к интересным коментариям: [From the kernel help: # #    This option adds a `TCPMSS' target, which allows you to alter the #    MSS value of TCP SYN packets, to control the maximum size for that #    connection (usually limiting it to your outgoing interface's MTU #    minus 40). # #    This is used to overcome criminally braindead ISPs or servers which #    block ICMP Fragmentation Needed packets.  The symptoms of this #    problem are that everything works fine from your Linux #    firewall/router, but machines behind it can never exchange large #    packets: #        1) Web browsers connect, then hang with no data received. #        2) Small mail works fine, but large emails hang. #        3) ssh works fine, but scp hangs after initial handshaking. # ] Собственно решение превратилось в активацию в shorewall опции CLAMPMSS=Yes
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

3. Сообщение от _Kuzmich (??), 19-Мрт-07, 08:53	+/–
>iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu В мануале написано, что данное правило работает только в таблице mangle, незнаю как у вас оно отрабатывает в таблице filter, у меня такое не проходит.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от greg (??), 27-Май-07, 20:13	+/–
поправка : iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

5. Сообщение от omegas (ok), 04-Дек-07, 10:31	+/–
перепробовал все, ограничение мту не помогло. Решилось все красиво, вот такой строчкой в цепочке mangle: -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #19

6. Сообщение от DemoN (??), 09-Мрт-08, 16:57	+/–
Была аналогичная проблема с L2TP содинением. Исходищее соединение L2TP с MTU 1460 (от Корбины), внутренная квартирная сеть на Ethernet... Долго понять не мог почему часть сайтов работает, а часть нет... После длительного установления проблемы, пришел к решению с iptables...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

7. Сообщение от ciwl (??), 03-Апр-08, 02:24	+/–
respect! 3-й день ломаю голову... уже тож хотел проксик ставить =)
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (-), 12-Май-08, 11:26	+/–
Стать класс Уже вообще хотел от Linux отказаться т.к. прокси не подходил
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Ламо (?), 08-Ноя-08, 02:12	+/–
Век живи, век учись... Моя ситуация - Ноутбук+обычный ПК подключены к D-Link DSL-2640U, ноут по ВайФай. На ноуте одноклассники.ру работают, на компе нет, причем на компе явные тормоза при работе в нете - половина сайтов не открывается... Я уж и антивиром прогнал комп, и переустанавливать задумал, но... засада в МТУ. Причем, где-то на Microsoft.com прочитал, что изначальное значение MTU определяется драйверами для сетевой карты. Ессно, я посмотрел в реестре на буке (знач. 1300) и на ПК (1500). На ПК поставил 1300 и все заработало... Такие вот пироги
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от merax (??), 30-Ноя-08, 18:50	+/–
Аналогично была проблема с Cisco 2651 c модулем ADSL. Что самое интересное mail.ru открывался, а вот r.mail.ru посылал в null. Решил проблему вот так -    ip tcp adjust-mss 1452 ip policy route-map clear-df
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Борис (??), 20-Дек-08, 00:35	+/–
Та же самая проблема, провод от корбины с MTU 1460 попадает на сервер Windows 2000, который через вторую сетевуху раздает инет на клиенты. На серваке стоит RRAS. Инет с клиентов без ручной переустановки MTU не работает (((
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Penguin (?), 17-Апр-09, 11:24	+/–
Подниму своим спасибом, напоролся при раздаче Йоты на мелкий офис. Помогло :-)
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Bill Routers (??), 02-Июн-09, 01:59	+/–
Перешел  с Ubu на Deb, а он не выставил при настройке ppp0 mtu, искал часов 5 думал с ума сойду, на ядре 2.6.24 работает на 2.6.26 нет, при этом конечно, как указано в статье, локальный комп. в Internet нормально ходит, а остальные через NAT фиг.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от YuSt (?), 04-Сен-09, 17:51	+/–
Действительно спасибо!, нарвался на "умников", которые закрыли ICMP 3:4, думал мозгами двинусь, пока искал проблему... Самое смешное, что эти "товарищи" - админы банка, у них видете-ли политика безопасности такая ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

15. Сообщение от lioxa (?), 10-Сен-09, 18:20	+/–
Spasibo dobrij chelovek!
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Вася (??), 05-Окт-09, 02:27	+/–
Очень полезная статья! Автору огромнейшее спасибо! Все мои проблемы с настройкой шлюза сразу решились!
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от TITO (?), 28-Окт-09, 18:25	+/–
Спасибо огромное добрый человек, очень выручил, здоровья те и удачи)
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Variable (?), 18-Дек-09, 14:32	+/–
А вот этому пути лучше не следовать. Дело в том, что если у вас где-то по дороге окажется сайт, у которого MSS окажется меньше 1300 , то он его увеличит до 1300 и у вас могут возникнуть проблемы с фрагментацией пакетов!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

20. Сообщение от Анатолий (??), 31-Мрт-10, 13:56	+/–
Автору огромный респект, я тоже столкнулся с такими клоунами (mtu 1490), почтовики через pop3 получали список писем а сами письма нет, соединение вешалось. С самого шлюза все работало нормально
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

21. Сообщение от Greg (??), 13-Апр-10, 09:36	+/–
> Самое смешное, что эти "товарищи" - админы банка, у них видете-ли > политика безопасности такая ;) Гы... верняк, только что столкнулся именно с такой ситуацией. Банк-клиент не хотел работать через ppp туннель, потому что банковский хост не блочит icmp.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

22. Сообщение от Iv (??), 08-Май-10, 12:19	+/–
Автор - мегачеловек! Огромнейшее спасибо! Я бился с клиент-банком 2 дня. После общения с серваком по телнету понял что копать надо в сторону МTU. И тут такой подарок!
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Андрей (??), 04-Авг-10, 16:30	+/–
Всё это хорошо, только вот проблема. Почему -j TCPMSS --clamp-mss-to-pmtu высчитывает MSS как MTU-40 (т.е.20-IP, 20-TCP)? Проснифил. У меня на Windows 7 TCP заголовки сплошь и рядом идут более 20 байт. Доходит до 56! Соответственно эти пакеты не проходят и дропаются. Все MSS уменьшать до мин.значения с учётом TCP-56 - равносильно уменьшению скорости для пакетов с размером TCP-20. Почему в iptables нету автоматической определялки MSS?!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

24. Сообщение от Сергей (??), 23-Сен-10, 17:30	+/–
Всё это замечательно. Спасибо огромное за статью. В инете вообще мало информации о MTU. Но есть вопрос такого плана - а что, в обычных пакетах с HTTP нагрузкой (хотя не важно что там внутри, может быть и FTP или что-то ещё) всегда устанавливается бит DF? И если да, то зачем?
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Андрей (??), 24-Сен-10, 09:06	+/–
Потом уже разобрался. Заголовок TCP+IP более 40 байт только во время установления TCP сессии. В это время пакеты небольшие и не достигают MTU в любом случае. А вот во время передачи, когда пакеты большие, заголовок равен ровно 40 байт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Andrew.D.Mashkov (?), 10-Дек-10, 15:40	+/–
Та же проблема, не бегает pop3 хоть убей, все остальное - номрально. Добавление строки к сожалению проблемы не решили. Все равно конект есть, письма не забираются. Может подскажете куда еще копнуть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

27. Сообщение от Олег Рева (?), 23-Дек-10, 16:16	+/–
А вот за это спасибо!! iptables -I OUTPUT 1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu iptables -I FORWARD 1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Реально помогло.
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от OEM_щука (?), 24-Май-11, 23:12	+/–
А теперь для Микротика: в профайле выбирает no в пункте change mss, и далее выполняем в терминале эту строку: / ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360  disabled=no
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

29. Сообщение от Alex (??), 02-Сен-11, 16:12	+/–
Сделал как тут написано через iptables пипец, раньше сайты грузились 5 минут, теперь вабще не грузятся, пишет чото там про DNS чо делать?
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Alex (??), 02-Сен-11, 16:16	+/–
причему чтобы команды подействовали нужен префикс sudo у меня убунту стоит на wmware в винде сайты грузятся, а в убунту нет причем раньше грузились но по 2-3 минуты, после вашего способа ваще не грузятся пишет: Веб страница не доступна проверьте DNS бла бла бла бла бла и тд
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

31. Сообщение от Андрей (??), 02-Сен-11, 16:32	+/–
> причему чтобы команды подействовали нужен префикс sudo > у меня убунту стоит на wmware в винде сайты грузятся, а в > убунту нет > причем раньше грузились но по 2-3 минуты, после вашего способа ваще не > грузятся пишет: > Веб страница не доступна > проверьте DNS бла бла бла бла бла и тд От этой команды не может перестать грузиться:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #32

32. Сообщение от Alex (??), 02-Сен-11, 16:47	+/–
Тем не менее факт остается фактом =) проблема в том что я даже (как одно из решений) днс сервера задать не могу, потому что мой провайдер их не говорит, в справочники пользователя для всех ОСей пунктик стоит определять dns автоматически =) я хз чо делать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

33. Сообщение от Alex (??), 02-Сен-11, 21:42	+/–
можно как нибудь сбросить iptables ???????
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Alex (??), 04-Сен-11, 11:56	+/–
Ухахаха смотрели видео один день админа? когда он просил ламера перегрузиться 3 раза?) Так вот пока писал эту команду ребутился раза 2 инет так и не заработал! забил вот наследующий день загрузил убунту все летает =) надо было просто ребутиться 3 раза ;)
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Андрей (??), 15-Сен-11, 14:15	+/–
Включите реакцию на ICMP и не парьтесь. По секрету - ICMP бывает с полезным payload`ом. В частности, получатель может попросить уменьшить размер пакета.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от riv1329 (?), 03-Фев-12, 17:20	+/–
В 2011 году CLAMPMSS=Yes в конфиге shorewall всё еще актуален. Хотя было-бы логично включать эту опцию по умолчанию. Спасибо за информацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

37. Сообщение от wolf10 (?), 19-Авг-12, 19:03	+/–
Большой поклон автору :) Второй день мучаюсь почему rutracker.org не может открыться. Решил проблему с iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

38. Сообщение от funditus (?), 22-Авг-12, 09:02	+/–
> Большой поклон автору :) Второй день мучаюсь почему rutracker.org не может открыться. > Решил проблему с iptables -A FORWARD -p tcp -m tcp --tcp-flags > SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Правильней было бы: iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Именно в таблице mangle. См. man iptables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от Ivan Drago (?), 02-Сен-12, 06:18	+/–
У меня такая ситуация. Провайдер NetByNet, протокол PPPoE. Если шнур воткнуть в комп напрямую, инет замечательно работает. Если через роутер Asus RX3041H (работает на линуксе), начинаются проблемы: - многие сайты грузятся с тормозами; - при попытке проиграть видео на ютубе, оно может загрузиться частично, для дальнейшей загрузки нужно передвинуть ползунок; - на сайте нтв.ру видео либо не проигрывается вообще, либо грузится по 1% за полчаса. Ставил разные значения MSS в роутере. Ничего не меняется. Как заставить роутер нормально работать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

40. Сообщение от DrTiE (?), 18-Окт-12, 00:09	+/–
У меня провайдер NetByNet модем ZTE ZXV10 W300 все настраиваю но в инет не входит. в чем проблема...
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Nas_tradamus (ok), 30-Окт-12, 10:23	+/–
Ну у меня на dd-wrt помогло NetBynet такое: iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Таких глюков как у вас я не наблюдал, но иногда они возникали: то какой-нибудь сайт перестает открываться на одном из компов (не более минуты глюк), то еще какой прикол с ютьюбом. Главное что бесило: после ребута роутера сайты минут 5 нормально не открывались - открывалось лишь несколько, а остальные не были доступны, потом все становилось нормально. Но 99% времени все работало хорошо. Кстати, посмотрите выставлено ли значение MTU 1492 в самом подключении pppoe.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #43

42. Сообщение от netc (??), 14-Июл-13, 12:55	+/–
спасибо большое - если не сказать огромное !!! правило с iptables сработало
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Ivan Drago (?), 02-Сен-13, 07:19	+/–
(Разгребая закладки, наткнулся на сайт, где я год назад оставил сообщение.) Спасибо за помощь. Скорее всего, старый роутер (ASUS RX3041H) вышел из строя, поэтому работал с такими глюками. С новым роутером (ASUS RT-N66U) всё работает как надо. Где нужно прописывать команду "iptables..."?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

44. Сообщение от Алексей (??), 03-Ноя-13, 20:39	+/–
этой волшебной строчки не хватало для полноценного моста из ящика на линуксе с ppp на wlan вот весь мост echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

45. Сообщение от funditus (?), 04-Ноя-13, 08:24	+/–
> этой волшебной строчки не хватало для полноценного моста из ящика на линуксе > с ppp на wlan > вот весь мост > echo 1 > /proc/sys/net/ipv4/ip_forward > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE > iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Это не мост, а маршрутизатор, да и очень специфичный (натится на оба интерфейса).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

46. Сообщение от Vitto (?), 12-Май-15, 00:39	+/–
Сегодня столкнулся, чуть умом не тронулся пока искал в чем засада.. В убунте, в /etc/ppp/ip-up.d/0clampmss лежит эта настройка такого вида: iptables -t mangle -o "$PPP_IFACE" --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu так вот, если луна стоит в правильной позиции и ты вдруг про эту настройку не знаешь и трешь все правила iptables перед тем, как залить свой набор правил, жди сюрпризов.. В любом случае спасибо за статью!!!
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Anton (??), 03-Мрт-18, 21:13	+/–
Та же фигня была недавно... Спасибо автору!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

50. Сообщение от procsik (ok), 09-Дек-18, 15:49	+/–
Если сам шлюз инициирует соединение, то пакет не пройдёт через FORWARD, поэтому лучше записать это на выходе в POSTROUTING (например, для интерфейса ppp0): iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ppp0 -j TCPMSS --clamp-mss-to-pmtu И нужно учесть то, что по-умолчанию pppd через pppoeconf ставить mtu:1492. Придётся замерить с другого шлюза реальный MTU: ping -M do <ipaddr> -s <MTU>, где MTU это значение с учётом ICMP. Например, если 1452 проходит, то в конфиг pppoe нужно записать 1452+28, т.е. 1480. Тогда --clamp-mss-to-pmtu сам будет выставлять 1480-20-20, т.е. 1440 Что является правильным.
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Евгений (??), 08-Янв-20, 00:43	+/–
Помогло )) RouterOS V6.45.1 Благодарю ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема