После соединения по PPTP не открываются некоторые сайты

Автор Простой Человек, 06 ноября 2022, 02:37:29

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

Простой Человек

Поднял свой сервер PPTP, при подключении на Windows 10 не открываются некоторые сайты (например habr и связанные, stackoverflow), хотя на телефоне эти же открываются нормально.
Прочитал на арчах такое
ЦитироватьМаскарадинг работает, но некоторые сайты не открываются
Проблема выражается в том, что соединение есть, но часть сайтов и сервисов не работают, если вы используете ваш компьютер в роли маршрутизатора для других компьютеров. Дело в том, что размер MTU (Maximum Transmission Unit — максимальное количество байт данных в одном пакете) в PPPoE равен 1492 байтам, что меньше, чем используют большинство сайтов (1500). Ваш маршрутизатор отправляет серверу специальный пакет ICMP 3:4 (сообщение о том, что нужно переразбиение данных), запрашивая меньший MTU, но сетевые экраны многих сайтов блокируют это сообщение.

Проблема решается добавлением правила с PMTU clamping в iptables:

# iptables -I FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Добавил, но ничего не изменилось.
Что не так?

sonny363

А что говорит пинг на эти сайты?
И telnet на них по портам 80/443?

Простой Человек

#2
Цитата: sonny363 от 06 ноября 2022, 06:44:03А что говорит пинг на эти сайты?
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 178.248.237.68: число байт=32 время=42мс TTL=58

Статистика Ping для 178.248.237.68:
    Пакетов: отправлено = 4, получено = 1, потеряно = 3
    (75% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 42мсек, Максимальное = 42 мсек, Среднее = 42 мсек

Цитата: sonny363 от 06 ноября 2022, 06:44:03И telnet на них по портам 80/443?
Ничего, после ввода команды, становится пустое окно с мигающим курсором в левом, верхнем углу и через несколько секунда опять приглашение к вводу.

07 ноября 2022, 00:51:25
В общем решилось добавлением в before.rules в секцию filters, ни или в iptables
-I FORWARD -o eno1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Было
-I FORWARD -o ppp+ -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
ПС. В целом добавлял ещё
*nat
:POSTROUTING ACCEPT [0:0]

-A POSTROUTING -o eno1 -j MASQUERADE
-A POSTROUTING -o ppp+ -j MASQUERADE

COMMIT
Но теперь такой прикол, что на ПК открываются сайты, а на телефоне нет. До этого было наоборот.

ПС. Чтобы можно было подключаться с одного IP и был там интернет, в chap-secrets не нужно прописывать статические IP для юзеров.