Jump to content
Local
Sign in to follow this  
Amourmort

Шлюз на FreeBSD - не пускает на некоторые сайты

Recommended Posts

Доброго времени суток!

Был шлюз, настроенный неизвестно когда неизвестным админом. Всё прекрасно работало, интернет людям раздавался, пока не возникла необходимость перейти на другого провайдера.

У предыдущего провайдера IP шлюзу не выдавался, адрес и шлюз был настроен прямо в rc.conf.

У нового провайдера PPPoE

Штатными средствами фряхи у меня поднять соединение не получилось... Вернее, соединение поднималось только вручную, командой /etc/rc.d/ppp start - при перезагрузке соединение автоматически не стартовало.

Решил использовать утилиту mpd5 для PPPoE. Вот содержимое mpd.conf:

default:
        load pppoe_client

pppoe_client:
#
# PPPoE client: only outgoing calls, auto reconnect,
# ipcp-negotiated address, one-sided authentication,
# default route points on ISP's end
#

        create bundle static B1
#       set iface enable nat		##NAT is configured elsewhere
        set iface route default
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0

        create link static L1 pppoe
        set link action bundle B1
        set auth authname ********
        set auth password ********
        set link max-redial 0
        set link mtu 1492
        set link keep-alive 10 60
        set pppoe iface igb0
        set pppoe service ""
        open

Внёс правки в rc.conf, добавив туда запуск mpd5 и убрав интерфейс igb0. Так же, убрал строку defaultrouter - она была нужна для работы с предыдущим провайдером, с новым резолвер получает данные автоматически.

Далее, в качестве фаервола используется PF.

В /etc/pf.conf, к счастью, использованы переменные для конфигурации. Меняю одну переменную ext_if = "igb0" на ext_if = "ng0" и думаю, что дело сделано. Соединение при перезагрузке поднимается, доступ в интернет есть... Довольный собой уехал с объекта домой.

Вроде бы всё хорошо.

Но вдруг оказывается, что доступ есть далеко не к каждому сайту. Например, к укр.нет доступ есть. А к bitrix24.ua - нет.

Пингую с сервака:
 

ping bitrix24.ua
PING bitrix24.ua (18.232.195.40): 56 data bytes
^C
--- bitrix24.ua ping statistics ---
26 packets transmitted, 0 packets received, 100.0% packet loss

ЧЗН? Спидтест:
 

speedtest-cli 
Retrieving speedtest.net configuration...
Testing from LIMANET Ltd. (141.105.132.238)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by ISP Black Sea (Одесса) [0.43 km]: 5034.671 ms
Testing download speed................................................................................
Download: 0.00 Mbit/s
Testing upload speed................................................................................................
Upload: 0.00 Mbit/s

АААААААААААААААААААА!!!! Что это???

 

ping korinf-group.com
PING korinf-group.com (91.234.33.240): 56 data bytes
64 bytes from 91.234.33.240: icmp_seq=0 ttl=58 time=13.654 ms
64 bytes from 91.234.33.240: icmp_seq=1 ttl=58 time=13.475 ms
64 bytes from 91.234.33.240: icmp_seq=2 ttl=58 time=13.332 ms
64 bytes from 91.234.33.240: icmp_seq=3 ttl=58 time=13.913 ms
64 bytes from 91.234.33.240: icmp_seq=4 ttl=58 time=14.873 ms
64 bytes from 91.234.33.240: icmp_seq=5 ttl=58 time=14.033 ms
64 bytes from 91.234.33.240: icmp_seq=6 ttl=58 time=13.743 ms
^C
--- korinf-group.com ping statistics ---
7 packets transmitted, 7 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 13.332/13.860/14.873/0.469 ms

ping google.com.ua
PING google.com.ua (216.58.215.67): 56 data bytes
64 bytes from 216.58.215.67: icmp_seq=0 ttl=120 time=27.686 ms
64 bytes from 216.58.215.67: icmp_seq=1 ttl=120 time=27.766 ms
64 bytes from 216.58.215.67: icmp_seq=2 ttl=120 time=27.738 ms
64 bytes from 216.58.215.67: icmp_seq=3 ttl=120 time=27.651 ms
64 bytes from 216.58.215.67: icmp_seq=4 ttl=120 time=27.603 ms
64 bytes from 216.58.215.67: icmp_seq=5 ttl=120 time=27.781 ms
64 bytes from 216.58.215.67: icmp_seq=6 ttl=120 time=27.562 ms
^C
--- google.com.ua ping statistics ---
7 packets transmitted, 7 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 27.562/27.684/27.781/0.077 ms

Как такое может быть? Куда копать?

При этом, если на компе юзера включить какой-нибудь "впн", с туннелем через Киев или Берлин, доступ к любым сайтам есть, как положено...

Edited by Amourmort

Share this post


Link to post
Share on other sites

Какой охуенно длинный пост и нихуя нет знаний.

Google mss fix

  • Like 2
  • Thanks 2
  • Haha 1

Share this post


Link to post
Share on other sites

Спасибо за быстрые ответы. Привёл конфиг mpd.conf к виду

default:
        load pppoe_client

pppoe_client:
#
# PPPoE client: only outgoing calls, auto reconnect,
# ipcp-negotiated address, one-sided authentication,
# default route points on ISP's end
#

        create bundle static B1
        set iface name ng0
        set iface disable on-demand
        set iface idle 0
        set iface enable tcpmssfix
        set iface route default

        set ipcp ranges 0.0.0.0/0 0.0.0.0/0

        create link static L1 pppoe
        set link action bundle B1
        set auth authname ***********
        set auth password **********
        set link max-redial 0
        set link mtu 1480
        set link keep-alive 10 60
        set pppoe iface igb0
        set pppoe service ""
        open

Не помогло

Edited by Amourmort

Share this post


Link to post
Share on other sites
1 час назад, Туйон сказал:

Играться с MTU не пробовали ?

Пробовал. Поскольку юзеры крайне нервно реагируют на секундное пропадание инета, продолжать пробовать буду уже ночью.

Решил пингом попробовать, что-то такое получил:
 

ping -D -s 1460 google.com.ua

PING google.com.ua (172.217.16.3): 1460 data bytes
ping: sendto: Message too long
ping: sendto: Message too long
ping: sendto: Message too long

ping -D -s 1440 google.com.ua
PING google.com.ua (172.217.16.3): 1440 data bytes
ping: sendto: Message too long
ping: sendto: Message too long
ping: sendto: Message too long

ping -D -s 1400 google.com.ua
PING google.com.ua (172.217.16.3): 1400 data bytes
76 bytes from 172.217.16.3: icmp_seq=0 ttl=120 time=27.331 ms
wrong total length 96 instead of 1428
76 bytes from 172.217.16.3: icmp_seq=1 ttl=120 time=27.369 ms
wrong total length 96 instead of 1428
76 bytes from 172.217.16.3: icmp_seq=2 ttl=120 time=27.133 ms
wrong total length 96 instead of 1428
76 bytes from 172.217.16.3: icmp_seq=3 ttl=120 time=27.161 ms
wrong total length 96 instead of 1428

ping -D -s 1428 google.com.ua
PING google.com.ua (216.58.215.67): 1428 data bytes
76 bytes from 216.58.215.67: icmp_seq=0 ttl=120 time=28.180 ms
wrong total length 96 instead of 1456
76 bytes from 216.58.215.67: icmp_seq=1 ttl=120 time=27.954 ms
wrong total length 96 instead of 1456
76 bytes from 216.58.215.67: icmp_seq=2 ttl=120 time=28.045 ms
wrong total length 96 instead of 1456
76 bytes from 216.58.215.67: icmp_seq=3 ttl=120 time=27.894 ms
wrong total length 96 instead of 1456

ping -D -s 1432 google.com.ua
PING google.com.ua (216.58.215.67): 1432 data bytes
76 bytes from 216.58.215.67: icmp_seq=0 ttl=120 time=28.252 ms
wrong total length 96 instead of 1460
76 bytes from 216.58.215.67: icmp_seq=1 ttl=120 time=28.002 ms
wrong total length 96 instead of 1460
76 bytes from 216.58.215.67: icmp_seq=2 ttl=120 time=27.972 ms
wrong total length 96 instead of 1460

ping -D -s 1434 google.com.ua
PING google.com.ua (216.58.215.67): 1434 data bytes
ping: sendto: Message too long
ping: sendto: Message too long

Значит ли это, что MTU должен быть равен 1432+28=1460?

 

Провайдер говорит, что 1480

Edited by Amourmort
провайдер говорит

Share this post


Link to post
Share on other sites
31 минуту назад, LOXUA сказал:

Попробуй ubuntu

Я вот всё думал, что сначала посоветуют - Cisco, или это. Вот вы и прокололись!

Share this post


Link to post
Share on other sites
18 минут назад, Amourmort сказал:

Я вот всё думал, что сначала посоветуют - Cisco, или это. Вот вы и прокололись!

Не слушай их. То всё фигня.

Нужен микротик.

  • Thanks 2

Share this post


Link to post
Share on other sites

Прям с сервака скопипастил сюда, рабочий вариант:

 

mpd.conf

 

startup:
        set user vpupkin 123456 admin
        set console self 127.0.0.1 5005

default:
        load pppoe_client

 

pppoe_client:
        create bundle static B1
        set iface route default
        set iface enable tcpmssfix
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        set ipcp enable req-pri-dns
        set ipcp enable req-sec-dns
        create link static L1 pppoe
        set link action bundle B1
        set auth authname ВАШ ЛОГИН
        set auth password ВАШ ПАРОЛЬ
        set link max-redial 0
        set link mtu 1480
        set link keep-alive 10 60
        set pppoe iface em0 СЕТЕВОЙ ИНТЕРФЕЙС
        set pppoe service ""
        open
 

 

rc.conf


hostname="server"

dumpdev="AUTO"

fsck_y_enable="YES"
background_fsck="NO"
firewall_enable="YES"
gateway_enable="YES"
pf_enable="YES"
mpd_enable="YES"
 

pf.conf 

 

ext_if = "ng0"

set limit states 128000
set optimization aggressive

nat pass on $ext_if from 172.16.10.0/24 to any -> ($ext_if)
nat pass on $ext_if from 172.16.1.0/24 to any -> ($ext_if)
nat pass on $ext_if from 172.16.11.0/24 to any -> ($ext_if)
nat pass on $ext_if from 172.16.12.0/24 to any -> ($ext_if)
 

Share this post


Link to post
Share on other sites

При следующих конфигах у юзеров появилось стабильное соединение с интернет:
mpd.conf

default:
        load pppoe_client

pppoe_client:
  
        create bundle static B1
        set iface name ng0
        set iface disable on-demand
        set iface idle 0
        set iface enable tcpmssfix
        set iface route default

        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        set ipcp enable req-pri-dns
        set ipcp enable req-sec-dns

        create link static L1 pppoe
        set link action bundle B1
        set auth authname **************
        set auth password **************
        set link max-redial 0
        set link mtu 1480
        set link keep-alive 10 60
        set pppoe iface igb0
        set pppoe service ""
        open

rc.conf:

hostname="hostmane"

#mpd5

mpd_enable="YES"
mpd_flags="-b"


# system

fsck_y_enable="YES"
background_fsck="NO"

sshd_enable="YES"

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

gateway_enable="YES"
local_unbound_enable="YES"

ntpd_enable="YES"
ntpdate_enable="YES"

dhcpd_enable=YES
dhcpd_flags="-q"
dhcpd_withuser=root

dumpdev="AUTO"

pf.conf:
 

ext_if = "ng0"

set debug urgent
set limit { states 30000, frags 10000 }
set optimization normal
set block-policy drop
set skip on lo0
set state-policy if-bound

#scrub in all

nat pass on $ext_if from 192.168.0.0/22 to any -> ($ext_if)
nat pass on $ext_if from 192.168.20.0/24 to any -> ($ext_if)
nat pass on $ext_if from 192.168.22.0/24 to any -> ($ext_if)
nat pass on $ext_if from 192.168.25.0/24 to any -> ($ext_if)
nat pass on $ext_if from 192.168.50.0/24 to any -> ($ext_if)
nat pass on $ext_if from 192.168.100.0/24 to any -> ($ext_if)

 

 

К сожалению, скорость соединения при этом совершенно неудовлетворительна.

На самом шлюзе спидтест продолжает показывать это:

speedtest-cli
Retrieving speedtest.net configuration...
Testing from LIMANET Ltd. ()...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by It Center Odessa (Odessa) [0.43 km]: 5043.69 ms
Testing download speed................................................................................
Download: 0.00 Mbit/s
Testing upload speed................................................................................................
Upload: 0.00 Mbit/s

 

На компах и телефонах:

0-02-0a-12a7cc2cf9cfd7c33177dbdd3df87a59a79db101adda27274ba614285b97a9b5_20631368b46c36.jpg.46ac20ec77297223f19542537f6394bb.jpg

0-02-05-5fa9b2844ea9f62434817fc89dfcff143b37cf1454f6973ddf0d8962c1f61703_20631368c394b7.thumb.jpg.6193794ab66d79ea1075ee69fafa676a.jpg

0-02-05-80c95011dc11d8493e1d90c04dac6b4f0c56518822d6013f3c0a06bf3ef2227c_20631368c14b5f_206300d9032da4.thumb.jpg.548c26f7469b26fdaaacc665de453851.jpg

Edited by Amourmort

Share this post


Link to post
Share on other sites
В 21.06.2020 в 19:32, Туйон сказал:

Не слушай их. То всё фигня.

Нужен микротик.

Бюджет 😁. Микрот - поставил и забыл где поставил, многим это не подходит!

Edited by ntp

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By marat262
      Маршрутизатор JuniperSSG5
      SSG5 — это специализированная платформа безопасности с фиксированным форм-фактором, обеспечивающая скорость трафика межсетевого экрана 160 Мбит/с с контролем состояния соединений и пропускную способность 40 Мбит/с в сети VPN с поддержкой IPsec для развертывания в небольших филиалах, удаленных офисах и на предприятиях.
      Технические характеристики:
      Проверенная версия ScreenOS : ScreenOS 6.2
      Производительность межсетевых экранов (большие пакеты) : 160 Мбит/с
      Производительность межсетевых экранов (IMIX) : 90 Мбит/с
      Количество пакетов межсетевых экранов/сек : 30 000 пакетов/сек
      Производительность VPN 3DES+SHA-1 : 40 Мбит/с
      Максимальное количество VPN-туннелей : 25/40
      Максимальное количество сессий : 8,000/16,000
      Скорость создания сессий/сек : 2,800
      Макс. количество политик безопасности : 200
      Макс. количество зон безопасности : 8
      Макс. количество виртуальных маршрутизаторов : 3/4
      Макс. количество виртуальных локальных сетей : 10/50
      Фиксированный ввод-вывод : 7x10/100
      Слоты расширения интерфейсного модуля (Mini-PIM) Slots : 0
      Слоты расширения интерфейсного модуля PIM : 0
      Слоты расширения интерфейсного модуля (EPIM) : 0
      802.11 a/b/g : Дополнительно
      Возможность обновления до ОС JUNOS : нет
      Mежсетевой экран c контролем состояния сессий
      Поддержка технологий VPN
      Site to Site
      Dial-up
      Auto-connect
      High Availability
      - Поддержка функционала UTM
      Антивирус
      Антиспам
      Контентная фильтрация
      Система предотвращения атак
      - Поддержка технологий виртуализации
      Зоны безопасности
      Виртуальные маршрутизаторы
      Поддержка протоколов маршрутизации
      RIP v1/2
      OSPF
      BGP
      Поддержка High Availability конфигураций
      Active/Active
      Active/Passive
      Интерфейсы управления
      Консольный порт
      Telnet, SSH, WEB
      Система централизованного управления Juniper NSM
      Модель SSG-5
      - 7 фиксированных портов Fast Ethernet
      - Производительность межсетевого экрана до 160 Mbps
      - Количество одновременных сессий до 16000
      - Производительность VPN до 40 Mbps
      - Количество одновременных VPN тоннелей до 40
      Товар б.у., все порты исправны, настройки сброшены цена 1000 грн. торг уместен. Связь через личку. Доставка Новая Почта наложка.

    • By Xiovi
      Здравствуйте. Такая история. Есть abills 0.55b и nas mikrotik. Количество абонентов растёт, и решено поделить сеть на вланы. В микротике добавил vlan'ы, на этих вланах добавил pppoe сервера. Вланы прокинул до абонентов. Маки в вланах вижу, но пппое сессии не поднимаются. Если выключаю работающий pppoe сервер, то начинает работать один из новосозданных. В общем одновременно более 1 pppoe сервера не работает.
      Есть такая же связка в другом городе, только там стоит abills 0.54b. Там всё работает. Крутится 11 pppoe сервером и всё без проблем. 
      Кто то с таким сталкивался?
       






    • By Максим97
      что нужно настроить, что бы велся учет переданных данных и снималась абонентская плата в схеме собранной в GNS3?
    • By Максим97
      После установки FreeBSD на виртуал бокс по инструкции с данного видео, не устанавливается пакет pkg и не могу зайти в режим супер юзера, что делать?
    • By KGroup
      Всем привет!
      Подскажите плиз: Как очистить содержимое всех файлов в каталоге на системе linux без удаления самих файлов?
      Может скрипт какой есть для примера?
       
      зы.
      sudo cat /dev/null > file.txt работает только с одним файлом...
       
×