ng_nat и rutracker.org

Обсуждаем OS FreeBSD и сервисы на ней.

ng_nat и rutracker.org

Сообщение mr_A3ap41k » 11 мар 2010, 01:10

Здравствуйте форумчане!
Я с проблемой.

Есть локалка 10.0.24.0/24. Есть сервер FreeBSD 7.2 на котором крутится ng_nat + ipfw.
Все хорошо, но вот одно НО, есть такой сайт rutracker.org (бывший torrents.ru) он не открывается не на одной машине сети 10.0.24.0/24. Пробовал браузером links сайт с сервера - работает.

Временно решил проблему понижением MTU на машинах сети, убрал стандартные 1500 на 1460, так как интерфейса смотрящего в инет mtu 1460. Но это не вариант так как в сети дофига клиентов.

Куда копать?

PS с данной конфигурацией сервера бывший домен torrents.ru открывался.
Аватара пользователя
mr_A3ap41k
новичок
 
Сообщения: 36
Зарегистрирован: 19 фев 2009, 17:50
Откуда: Russia, Moscow

Re: ng_nat и rutracker.org

Сообщение Mechanic » 11 мар 2010, 01:55

локалка 10.0.24.0/24 за сервером FreeBSD напрямую или pptp,ppoe ?
можно попробовать сделать tcpmss
через ng_tcpmss http://www.opennet.ru/man.shtml?topic=n ... &russian=1
или /usr/ports/net/tcpmssd
Mechanic
посетитель
 
Сообщения: 101
Зарегистрирован: 17 фев 2009, 08:38

Re: ng_nat и rutracker.org

Сообщение root » 11 мар 2010, 12:15

mr_A3ap41k писал(а):Куда копать?

для начала заглянуть в tcpdump и посмотреть пакеты от клиента к трекеру и к клиенту от трекера, есть или нет
трасса до трекера у клиента строиться ? пинг есть ?
так же нуна убедиться, что NAT отрабатывает как положено
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: ng_nat и rutracker.org

Сообщение mr_A3ap41k » 11 мар 2010, 12:43

локалка на прямую - у клиентов прописан в качестве шлюза сервер FreeBSD.

Код: Выделить всё
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng0, link-type NULL (BSD loopback), capture size 96 bytes
12:38:28.309387 IP azarov.info.54857 > rutracker.org.http: F 1694172077:1694172077(0) ack 1453499458 win 65535
12:38:28.402972 IP rutracker.org.http > azarov.info.54857: FP 29201:29251(50) ack 1 win 6888
12:38:28.403702 IP azarov.info.54857 > rutracker.org.http: R 1694172078:1694172078(0) win 0
12:38:30.569820 IP azarov.info.54871 > rutracker.org.http: S 696469086:696469086(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 534031084 0,sackOK,eol>
12:38:30.662771 IP rutracker.org.http > azarov.info.54871: S 1483585277:1483585277(0) ack 696469087 win 5840 <mss 1460>
12:38:30.663508 IP azarov.info.54871 > rutracker.org.http: . ack 1 win 65535
12:38:30.664255 IP azarov.info.54871 > rutracker.org.http: P 1:985(984) ack 1 win 65535
12:38:30.757342 IP rutracker.org.http > azarov.info.54871: . ack 985 win 6888
12:38:38.896739 IP azarov.info.54871 > rutracker.org.http: F 985:985(0) ack 1 win 65535
12:38:38.990387 IP rutracker.org.http > azarov.info.54871: FP 29201:29267(66) ack 986 win 6888
12:38:38.991427 IP azarov.info.54871 > rutracker.org.http: R 696470072:696470072(0) win 0
12:38:40.576918 IP azarov.info.54876 > rutracker.org.http: S 246159636:246159636(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 534031184 0,sackOK,eol>
12:38:40.669527 IP rutracker.org.http > azarov.info.54876: S 1488006149:1488006149(0) ack 246159637 win 5840 <mss 1460>
12:38:40.670355 IP azarov.info.54876 > rutracker.org.http: . ack 1 win 65535
12:38:40.671103 IP azarov.info.54876 > rutracker.org.http: P 1:985(984) ack 1 win 65535
12:38:40.763973 IP rutracker.org.http > azarov.info.54876: . ack 985 win 6888
^C
16 packets captured
3106 packets received by filter
0 packets dropped by kernel

Когда уменьшаю mtu до 1460 в tcpdump следущее:
Код: Выделить всё
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng0, link-type NULL (BSD loopback), capture size 96 bytes
12:45:30.328974 IP azarov.info.55123 > rutracker.org.http: F 1044901411:1044901411(0) ack 1856398614 win 65535
12:45:30.330602 IP azarov.info.55239 > rutracker.org.http: S 1904029871:1904029871(0) win 65535 <mss 1420,nop,wscale 3,nop,nop,timestamp 534035276 0,sackOK,eol>
12:45:30.422004 IP rutracker.org.http > azarov.info.55123: F 1:1(0) ack 1 win 15150
12:45:30.423254 IP rutracker.org.http > azarov.info.55239: S 1908126664:1908126664(0) ack 1904029872 win 5840 <mss 1460>
12:45:30.424424 IP azarov.info.55123 > rutracker.org.http: . ack 2 win 65535
12:45:30.424432 IP azarov.info.55239 > rutracker.org.http: . ack 1 win 65535
12:45:30.424911 IP azarov.info.55239 > rutracker.org.http: P 1:359(358) ack 1 win 65535
12:45:30.517696 IP rutracker.org.http > azarov.info.55239: . ack 359 win 6432
12:45:30.518069 IP rutracker.org.http > azarov.info.55239: P 1:780(779) ack 359 win 6432
12:45:30.520101 IP azarov.info.55239 > rutracker.org.http: . ack 780 win 65535
12:45:30.532842 IP azarov.info.55239 > rutracker.org.http: P 359:1375(1016) ack 780 win 65535
12:45:30.646496 IP rutracker.org.http > azarov.info.55239: . 780:2200(1420) ack 1375 win 8128
12:45:30.646619 IP rutracker.org.http > azarov.info.55239: . 2200:3620(1420) ack 1375 win 8128
12:45:30.842894 IP azarov.info.55239 > rutracker.org.http: . ack 3620 win 65535
12:45:30.935951 IP rutracker.org.http > azarov.info.55239: . 3620:5040(1420) ack 1375 win 8128
12:45:30.936079 IP rutracker.org.http > azarov.info.55239: . 5040:6460(1420) ack 1375 win 8128
12:45:30.936203 IP rutracker.org.http > azarov.info.55239: . 6460:7880(1420) ack 1375 win 8128
12:45:30.937835 IP azarov.info.55239 > rutracker.org.http: . ack 6460 win 65535
12:45:31.030895 IP rutracker.org.http > azarov.info.55239: . 7880:9300(1420) ack 1375 win 8128
12:45:31.031023 IP rutracker.org.http > azarov.info.55239: . 9300:10720(1420) ack 1375 win 8128
12:45:31.031143 IP rutracker.org.http > azarov.info.55239: . 10720:12140(1420) ack 1375 win 8128
12:45:31.032773 IP azarov.info.55239 > rutracker.org.http: . ack 9300 win 65535
12:45:31.042891 IP azarov.info.55239 > rutracker.org.http: . ack 12140 win 65535
12:45:31.125838 IP rutracker.org.http > azarov.info.55239: . 12140:13560(1420) ack 1375 win 8128
12:45:31.125963 IP rutracker.org.http > azarov.info.55239: . 13560:14980(1420) ack 1375 win 8128
12:45:31.126088 IP rutracker.org.http > azarov.info.55239: . 14980:16400(1420) ack 1375 win 8128
12:45:31.135970 IP rutracker.org.http > azarov.info.55239: . 16400:17820(1420) ack 1375 win 8128
12:45:31.136083 IP rutracker.org.http > azarov.info.55239: . 17820:19240(1420) ack 1375 win 8128
12:45:31.136207 IP rutracker.org.http > azarov.info.55239: . 19240:20660(1420) ack 1375 win 8128
12:45:31.243265 IP azarov.info.55239 > rutracker.org.http: . ack 20660 win 65535
12:45:31.336341 IP rutracker.org.http > azarov.info.55239: . 20660:22080(1420) ack 1375 win 8128
12:45:31.336464 IP rutracker.org.http > azarov.info.55239: . 22080:23500(1420) ack 1375 win 8128
12:45:31.336589 IP rutracker.org.http > azarov.info.55239: . 23500:24920(1420) ack 1375 win 8128
12:45:31.336714 IP rutracker.org.http > azarov.info.55239: . 24920:26340(1420) ack 1375 win 8128
12:45:31.336839 IP rutracker.org.http > azarov.info.55239: . 26340:27760(1420) ack 1375 win 8128
12:45:31.444513 IP azarov.info.55239 > rutracker.org.http: . ack 27760 win 65535
12:45:31.970594 IP rutracker.org.http > azarov.info.55239: . 27760:29180(1420) ack 1375 win 8128
12:45:32.043752 IP azarov.info.55239 > rutracker.org.http: . ack 29180 win 65535
12:45:32.136500 IP rutracker.org.http > azarov.info.55239: P 29180:29840(660) ack 1375 win 8128
12:45:32.137442 IP azarov.info.55239 > rutracker.org.http: . ack 29840 win 65535
^C
40 packets captured
3309 packets received by filter
0 packets dropped by kernel

Вот трасса.
Код: Выделить всё
traceroute to rutracker.org (195.82.146.114), 64 hops max, 40 byte packets
 1  10.0.0.1 (10.0.0.1)  0.461 ms  0.339 ms  0.359 ms
 2  * * *
 3  94.45.161.254 (94.45.161.254)  0.839 ms  0.781 ms  0.722 ms
 4  m9-gw2-gi1-24.msk.anders.ru (81.91.179.233)  2.107 ms  1.201 ms  1.357 ms
 5  tc-gw2-te3-3.sto.anders.ru (81.91.177.118)  19.601 ms  19.449 ms  19.472 ms
 6  64.215.29.193 (64.215.29.193)  19.584 ms  19.714 ms  19.596 ms
 7  PO1-20G.ar1.ARN3.gblx.net (67.17.109.213)  101.991 ms  19.939 ms  19.844 ms
 8  tiscali-1.ar1.ARN3.gblx.net (64.208.110.130)  19.718 ms  113.646 ms  19.722 ms
 9  xe-0-0-0.fra60.ip4.tinet.net (89.149.185.105)  40.082 ms  40.059 ms
    xe-4-2-0.fra60.ip4.tinet.net (89.149.184.157)  40.098 ms
10  * * *
11  * * *
12  * * *
13  * * *
14  *^C

Из других мест где все работает она примерно такая же, только вместе gblx.net кто то другой.

пинг rutracker.org закрыт фаерволом.

С NATом других проблем не наблюдается.
Аватара пользователя
mr_A3ap41k
новичок
 
Сообщения: 36
Зарегистрирован: 19 фев 2009, 17:50
Откуда: Russia, Moscow

Re: ng_nat и rutracker.org

Сообщение root » 11 мар 2010, 14:13

1. когда делаешь tcpdump добавляй ключ -n, что бы резолва не делалось

2.
Name: azarov.info
Address: 94.45.163.241

из чего я делаю вывод что ты tcpdump`ил на внешнем интерфейсе, а я писал про внутренний, который смотрит в сторону клиентов, что слышно там ?

3. а не пробовал заменить (временно) ng_nat на самый обычный natd ? Что бы посмотреть ситуацию с ним

4.
mr_A3ap41k писал(а):он не открывается не на одной машине сети 10.0.24.0/24.

а есть и другие подсети за этим роутером ? как дела обстоят с ними ?

5.
mr_A3ap41k писал(а):так как интерфейса смотрящего в инет mtu 1460

а Инет ты получаешь на сервер как ? PPTP ? PPPoE ? Напрямую ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: ng_nat и rutracker.org

Сообщение mr_A3ap41k » 11 мар 2010, 14:25

Код: Выделить всё
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
14:21:45.822400 IP 10.0.24.3.59566 > 195.82.146.114.80: F 4249972977:4249972977(0) ack 3701424229 win 65535
14:21:45.916475 IP 195.82.146.114.80 > 10.0.24.3.59566: FP 29201:29303(102) ack 1 win 6888
14:21:45.917214 IP 10.0.24.3.59566 > 195.82.146.114.80: R 4249972978:4249972978(0) win 0
14:21:47.401145 IP 10.0.24.3.59574 > 195.82.146.114.80: S 3203612774:3203612774(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 534092973 0,sackOK,eol>
14:21:47.494180 IP 195.82.146.114.80 > 10.0.24.3.59574: S 3706434124:3706434124(0) ack 3203612775 win 5840 <mss 1460>
14:21:47.494960 IP 10.0.24.3.59574 > 195.82.146.114.80: . ack 1 win 65535
14:21:47.496210 IP 10.0.24.3.59574 > 195.82.146.114.80: P 1:985(984) ack 1 win 65535
14:21:47.589626 IP 195.82.146.114.80 > 10.0.24.3.59574: . ack 985 win 6888
14:22:01.020353 IP 10.0.24.3.59574 > 195.82.146.114.80: F 985:985(0) ack 1 win 65535
14:22:01.113986 IP 195.82.146.114.80 > 10.0.24.3.59574: FP 29201:29288(87) ack 986 win 6888
14:22:01.114918 IP 10.0.24.3.59574 > 195.82.146.114.80: R 3203613760:3203613760(0) win 0
14:22:03.080042 IP 10.0.24.3.59579 > 195.82.146.114.80: S 1747084617:1747084617(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 534093129 0,sackOK,eol>
14:22:03.172785 IP 195.82.146.114.80 > 10.0.24.3.59579: S 3724048956:3724048956(0) ack 1747084618 win 5840 <mss 1460>
14:22:03.173983 IP 10.0.24.3.59579 > 195.82.146.114.80: . ack 1 win 65535
14:22:03.174857 IP 10.0.24.3.59579 > 195.82.146.114.80: P 1:985(984) ack 1 win 65535
14:22:03.267729 IP 195.82.146.114.80 > 10.0.24.3.59579: . ack 985 win 6888
14:22:09.754296 IP 10.0.24.3.59579 > 195.82.146.114.80: F 985:985(0) ack 1 win 65535
14:22:09.847523 IP 195.82.146.114.80 > 10.0.24.3.59579: FP 29201:29301(100) ack 986 win 6888
14:22:09.848486 IP 10.0.24.3.59579 > 195.82.146.114.80: R 1747085603:1747085603(0) win 0


natd пока не пробовал.

сеть есть но она подключается к сервер через pptp тунель, там все работает.

инет на сервере - PPTP.
Аватара пользователя
mr_A3ap41k
новичок
 
Сообщения: 36
Зарегистрирован: 19 фев 2009, 17:50
Откуда: Russia, Moscow

Re: ng_nat и rutracker.org

Сообщение root » 11 мар 2010, 14:40

судя по tcpdump`у обмен то происходит
а что видит клиент на своей стороне ? "Невозможно открыть страницу" ?
WinDump`ом не пробовал на самой винде посмотреть ?

mr_A3ap41k писал(а):natd пока не пробовал.

а попробуй, дабы исключить вариант с траблами в твоих настройках ng_nat

какое mtu на сетевухе в сторону клиентов ? 1500 ?

mr_A3ap41k писал(а):инет на сервере - PPTP.

а если для PPTP mtu выставить 1450 ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: ng_nat и rutracker.org

Сообщение mr_A3ap41k » 11 мар 2010, 14:45

клиент видит белую страницу и загрузка "висит", сообщение о невозможности открыть страницы нет.
WinDump-а нет, по рукой пока один mac os.

natd попробую позже

мту стоит 1500 пробовал уменьшать не помогло.

на инет интерфесе уменьшил до 1450 - не помогло.


====


попробовал ng_tcpmss... чего то не пошло вобще..
Инет совсем перестал работать. Удалил. правило 65531 все восстановилось.


Далее решил попробовать tcpmssd и все получилось.

Вот только не совсем хочется юзать tcpmssd так как лишний процесс в системе мне не очень нужен, хочу разобраться с ng_tcpmss. У кого нибудь работает он?
Последний раз редактировалось mr_A3ap41k 12 мар 2010, 01:16, всего редактировалось 2 раз(а).
Аватара пользователя
mr_A3ap41k
новичок
 
Сообщения: 36
Зарегистрирован: 19 фев 2009, 17:50
Откуда: Russia, Moscow

Re: ng_nat и rutracker.org

Сообщение lehisnoe » 11 мар 2010, 15:46

инет на сервере - PPTP.

Каким демоном подключаешься?
Если mpd5, то в секции описания бандла добавь опцию
Код: Выделить всё
set iface enable tcpmssfix

Она позволяет MPD управлять настройкой входящих и исходящих TCP SYN сегментов таким образом, чтобы не превышать MTU, допустимый на интерфейсе:
Документация мпд говорит:
tcpmssfix

This option causes mpd to adjust incoming and outgoing TCP SYN segments so that the requested maximum segment size is not greater than the amount allowed by the interface MTU.

This is necessary in many setups to avoid problems caused by routers that drop ICMP Datagram Too Big messages. Without these messages, the originating machine sends data, it passes the rogue router then hits a machine that has an MTU that is not big enough for the data. Because the IP Don't Fragment option is set, this machine sends an ICMP Datagram Too Big message back to the originator and drops the packet. The rogue router drops the ICMP message and the originator never gets to discover that it must reduce the fragment size or drop the IP Don't Fragment option from its outgoing data.

The code is based on tcpmssd wich was written by Ruslan Ermilov <ru@FreeBSD.org> based on work done by Patrick Bihan-Faou <patrick@mindstep.com>.

The default is disable.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: ng_nat и rutracker.org

Сообщение mr_A3ap41k » 11 мар 2010, 17:59

lehisnoe, спасибо у меня это опция была указана не правильно.

set pptp enable tcpmssfix а нужно было set iface enable tcpmssfix. и ошибок mpd не давал ..
Аватара пользователя
mr_A3ap41k
новичок
 
Сообщения: 36
Зарегистрирован: 19 фев 2009, 17:50
Откуда: Russia, Moscow


Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16

cron