Проблемы с Mtu/mss

[Kenyon]

У меня один вариант с 2005 года - это OpenVPN.

 

OpenVPN в аппаратных роутерах типа Cisco и Ericsson нету и думаю не предвидится.

В Российских криптошлюзах типа ViPNet или S-terra тоже как-то не замечен.

 

Ну и еще я не уверен, что внутри OpenVPN удасться запустить Multicast или MPLS.

 

Ну и почему GRE плохой я так и не услышал)))))

[S10]

Ну и почему GRE плохой я так и не услышал)))))

Просто тролль не умеет его готовить.

 

Явное указание интерфейсов таки не помогло...

Дома в виртуальной лабе сеть работает нормально. Кажется, баг в дистрибутиве все же присутствует.

 

Бинго! Мешает правило, дающее отлуп при доступе к подсетям

87.240.128.0/18

93.186.224.0/21

217.20.144.0/20

94.100.184.40/31

Баг или фича?

[Kenyon]

Просто тролль не умеет его готовить.

 

Явное указание интерфейсов таки не помогло...

Дома в виртуальной лабе сеть работает нормально. Кажется, баг в дистрибутиве все же присутствует.

 

Бинго! Мешает правило, дающее отлуп при доступе к подсетям

87.240.128.0/18

93.186.224.0/21

217.20.144.0/20

94.100.184.40/31

Баг или фича?

 

Баг в фиче))))))))))

[swin]

Ну и еще я не уверен, что внутри OpenVPN удасться запустить Multicast или MPLS.

Ну и почему GRE плохой я так и не услышал)))))

 

Дядя, тыб прежде мануалы почитал, ага ?

У OpenVPN есть два режима сетевой карты tun (ip tunnel) и tap (ethernet tunnel),

во втором он работает как полноценная сетевая карта с маками и мультикастами,

можно дома запустить его, карточку TAP объединить в мостик с

локалкой Реала, соединяться туда снаружи и смотреть IPTV.

 

Кроме того, он легко ставится как на линуксы, так и на винду,

для транспорта используется стандартный TCP или UDP,

проходит через NAT, особенно через дурной NAT на 3G-модемах,

может также работать через прокси.

Твой говённый GRE может этим похвастаться ?

[Kenyon]

Дядя, тыб прежде мануалы почитал, ага ?

У OpenVPN есть два режима сетевой карты tun (ip tunnel) и tap (ethernet tunnel),

во втором он работает как полноценная сетевая карта с маками и мультикастами,

можно дома запустить его, карточку TAP объединить в мостик с

локалкой Реала, соединяться туда снаружи и смотреть IPTV.

 

Кроме того, он легко ставится как на линуксы, так и на винду,

для транспорта используется стандартный TCP или UDP,

проходит через NAT, особенно через дурной NAT на 3G-модемах,

может также работать через прокси.

Твой говённый GRE может этим похвастаться ?

 

Зачем мне линуксы и винды) У меня есть Cisco и Ericsson)

NAT мне тоже ни к чему) У меня везде роутинг)))

3G-модемы тоже в топку - у меня оптика)

Если у тебя сеть из нескольких компов, то OpenVPN норм, а когда у тебя узлы по всему региону и все построено на спец. железе, а не на серваках обычных, то лучше уж GRE)

[oldbay]

Бинго! Мешает правило, дающее отлуп при доступе к подсетям

87.240.128.0/18

93.186.224.0/21

217.20.144.0/20

94.100.184.40/31

Баг или фича?

про что и говорилось - плохо систематизированный шухер в ipables (особенно если не ты его собственноручно навел) всегда выходит боком. Я в таких случаях сбрасываю все на минимум, а потом потихоньку накручиваю правила с оригинала - и смотрю что мешает.

 

Ну и почему GRE плохой я так и не услышал)))))

Тут никакого религиозного фанатизма, вообще пользуюсь всем подряд - в зависимости от реальной необходимости:

pptp(в комплекте c GRE) - когда нужно предоставлять туннель для подключения удаленной виндовой инфраструктуры и клиентов ... с openvpn данные ребята часто совладать не могут, или не хотят (даже с клиентом)

openvpn в самых разных случаях , со свином согласен - штуковина действительно весьма гибкая и удобная.

ssh туннель - им соединяю филиалы конторы - работает тем же портом что и ssh и на том же протоколе(никаких лишних дырок в фаерволе и демонов в системе со своими сокетами), так же как и openvpn в системе создаются tun интерфейсы - к которым легко правила для iptables прикручивать(в том числе траффик через биллинг и шейпер пускать).

п.с

в общем - как, блин, в мультике: давайте жить дружно

[S10]

про что и говорилось - плохо систематизированный шухер в ipables (особенно если не ты его собственноручно навел) всегда выходит боком. Я в таких случаях сбрасываю все на минимум, а потом потихоньку накручиваю правила с оригинала - и смотрю что мешает.

Идея такая: найти, каким скриптом правила применяются(хранятся они в /var/efw/outgoing/config), и заменить reject-with icmp-port-unreachable на tcp-reset или icmp-host/net/etc-unreachable. Кажется, ноги у проблемы растут именно отсюда.

[oldbay]

Идея такая: найти, каким скриптом правила применяются(хранятся они в /var/efw/outgoing/config), и заменить reject-with icmp-port-unreachable на tcp-reset или icmp-host/net/etc-unreachable. Кажется, ноги у проблемы растут именно отсюда.

если у вас дропаются пакеты с определенных подсетй:

87.240.128.0/18

93.186.224.0/21

217.20.144.0/20

94.100.184.40/31

То явно работает какая то система блеклистов.

У маршрутизатора есть web интерфейс? может в нем данная настройка, тупо, отключается и соответственно правила из iptables уйдут?

просто конфиги в /var/efw/outgoing/config это дистроспецифичная хрень и, скорее всего, зацеплена она за насройки через веб = можете удалить и всю web морду перекорёжит ... в любом случае сделайте бэкапы изменяемых скриптов или каталога целиком.

[S10]

У маршрутизатора есть web интерфейс? может в нем данная настройка, тупо, отключается и соответственно правила из iptables уйдут?

Более того, это добавленные мною правила для закрытия быдлосетей. Я знаю, что делаю; без бэкапа никуда

[oldbay]

Более того, это добавленные мною правила для закрытия быдлосетей. Я знаю, что делаю; без бэкапа никуда

 

Наступил на собственные правила - бывает, ну тогда добивай его гада.

Хорошо что вопрос в принципе решен