Обрывы соединений VPN ppp (клиент/сервер)в altlinux сервер. (решено)

[kan]

3 года назад я настраивал в конторе сервак на раздачу интер
нета от провайдера с pppoe. Из коробки ничего не работало forum.altlinux.org/index.php/topic,8188.0.html

Выяснилось, что всему виной отсутствующее правило iptables в системе по дефолту -
-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Применяешь его и все работает.

Для того чтобы это правило применить и оставить после перезагрузки приходится переводить альтератор фаервола(ЦУС) в ручной режим работы и терять удобную вебморду для настройки фаерволла.

Такая же беда  в кентавре и в ковчеге, а семерке я думаю таже фигня.

В случае, когда я настраивал ppp клентское подключение к провайдерскому серверу, я выкрутился так: вписал опцию в файл pppoptions интерфейса ppp1 указав жестко mtu 1412. Это сработало даже после перезагрузки!

Сейчас у меня ситуация интереснее, мне нужно обеспечить работоспособность своего сервера pptpd, у меня там куча клиентов.  Каталоги для интерфейсов ppp не создаются, соответственно mtu я поменять не могу - негде.

А вот вышеприведенная команда для iptables срабатывает! но после
перезагрузки она не сохраняется.

Подскажите, пожалуйста, как мне  лучше выкрутится, чтобы сохранялась команда для iptables  пгсле перезагрузки и чтобы не пришлось альтератор переводить  в ручной режим?

[kan]

уточнение, сервер vpn работает, клинты подключаются, часто соединение рвется.
некоторые сетевые приложения на отрез отказыаются работать через vpn подключение, например cisco jabber client.

в логах сообщения про несоответствие размера сетевых пакетов.

[flint1975]

Собственно вот: http://forum.altlinux.org/index.php/topic,7873.msg126244.html#msg126244
http://forum.altlinux.org/index.php?topic=27555.0
https://bugzilla.altlinux.org/show_bug.cgi?id=25037
Я это долго обсуждал с asy - в общем все решено :)

[kan]

К сожалению самый красивый вариант с указанием PPPOE_EXTRA_OPTIONS="-m 1412", мне не подходит, т.к. я настраиваю сервер vpn, у меня просто нет файлов /etc/net/ifaces/pppX !

Остается только вариант с выравниванием mtu на уровне iptables, укзананием -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu  в файле /etc/net/ifaces/default/fw/iptables/mangle/FORWARD.

Для того, чтобы действие правила сохранялось после перезагрузки вы предлагаете:

2. Поэтому было найдено место в /usr/bin/iptables_helper, где формируется заданный файл
со строки 273 вставляем следующее:
Код: [Выделить]

# BY FLINT Correct mtu error for pppoe
cat >> "$MANG_FRW" << EOF
-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
EOF

Проверил  - 100% работает, спасибо!

Смущает формулировка:

если  во внешних интерфейсах есть pppoe или pptp, и режим роутера -
NAT, тогда добавлять строчку в
/etc/net/ifaces/fw/iptables/mangle/FORWARD

У меня 2 интерфейса к двум провайдерам, один интерфейс в ведомственную сеть и еще один интерфейс в локалку филиала. Режим альтератора - автоматический, режим работы сервера - роутер (а не шлюз).

[flint1975]

режим работы сервера - роутер (а не шлюз).

По идее, ядро сам должно пакеты фрагментировать в соответствии с MTU, но в подробностях я не разбирался, механизм работы роутера, настроенного через альтератор в режиме NAT и Router отличаются только трансляцией адресов, сама маршрутизация практически идентична, поэтому решение работать будет и в случае с режимом "Router".

[asy]

Сейчас у меня ситуация интереснее, мне нужно обеспечить работоспособность своего сервера pptpd, у меня там куча клиентов.  Каталоги для интерфейсов ppp не создаются, соответственно mtu я поменять не могу - негде.

Параметры так или иначе можно же задать. Чем-то pppd запускается же ? Кстати, может быть стоит вот на этот пакет посмотреть: http://packages.altlinux.org/en/Sisyphus/srpms/accel-ppp

[kan]

accel-ppp это интересно, надо попробовать!

Вопрос такой, нужно ли удалять старый pptp, его конфиги?

[asy]

Вопрос такой, нужно ли удалять старый pptp, его конфиги?

Так написано же: "The ACCEL-PPP is completly new implementation of PPTP/PPPoE/L2TP". Совсем разные реализации.

[kan]

Это я понял, что разные софтины, я про то что порты-то они стандартные используют 1723, gre не будет ли взаимовлияния?

[asy]

Ну так запускать или первый, или второй. Одновременно, конечно, не будет работать, а чужие конфиги-то как помешать могут ?

[kan]

все ясно, я так и думал!

а вот еще маленький вопросик:  этот пакет есть в сизифе и в р7, можно ли его как нить прикрутить в p6, или надо семерку непременно ставить? если можно то как? качнуть rpm из репозитария p7 и просто установить?

[asy]

можно ли его как нить прикрутить в p6, или надо семерку непременно ставить?

Сегодня скопировано из t6 в p6. Завтра будет доступно.

[kan]

сделал оптимизацию mtu через iptables, обновил систему, ядро, модули для карт tplink(realtek 8186).
Обрывы прекратились!
Пока только установил accel-ppp, еще не запускал(все и так работает)
спасибо!

[kan]

3 года назад я настраивал в конторе сервак на раздачу интер
нета от провайдера с pppoe. Из коробки ничего не работало forum.altlinux.org/index.php/topic,8188.0.html

Выяснилось, что всему виной отсутствующее правило iptables в системе по дефолту -
-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Применяешь его и все работает.

Для того чтобы это правило применить и оставить после перезагрузки приходится переводить альтератор фаервола(ЦУС) в ручной режим работы и терять удобную вебморду для настройки фаерволла.

Такая же беда  в кентавре и в ковчеге, а семерке я думаю таже фигня.

В случае, когда я настраивал ppp клентское подключение к провайдерскому серверу, я выкрутился так: вписал опцию в файл pppoptions интерфейса ppp1 указав жестко mtu 1412. Это сработало даже после перезагрузки!

Сейчас у меня ситуация интереснее, мне нужно обеспечить работоспособность своего сервера pptpd, у меня там куча клиентов.  Каталоги для интерфейсов ppp не создаются, соответственно mtu я поменять не могу - негде.

А вот вышеприведенная команда для iptables срабатывает! но после
перезагрузки она не сохраняется.

Подскажите, пожалуйста, как мне  лучше выкрутится, чтобы сохранялась команда для iptables  пгсле перезагрузки и чтобы не пришлось альтератор переводить  в ручной режим?

[Skull]

Прописать в /etc/net...