Кривая настройка VPN?

Тема в разделе "Вопросы начинающих", создана пользователем Dim, 30 окт 2018.

  1. Dim

    Dim Новый участник

    Помогите новичку, разобраться с настройками vpn, что то у меня не так. VPN настроен и подключен, NAT дефоолт, маскарад есть, адрес лист заполнен, . При входе на сайт из адрес листа огромный таймаут, но не на все сайты адрес листа, некоторые - открываются .
     

    Вложения:

  2. Pavel N

    Pavel N Участник

    смотри в сторону TCP MSS прочитай на эту тему статьи

    внешний признак - чаще всего не заходит на сайты по HTTPS:// на некоторые совсем, а на некоторые временами заходит временами нет
     
  3. Dim

    Dim Новый участник

    Павел, спасибо за совет. tcp-mss в настройках включал-результат отсутствует((
     
  4. Pavel N

    Pavel N Участник

    бывает так что во всем канале TCP-MSS может быть меньшим чем вычиленая тобой цифра (у провайдера например может быть что-то с меньшим MSS или туннель по пути - попробуй занизить до неразумного предела на время эксперимента поставь 600 байт и посмотри на изменение в поведении компьютеров в сети - проверь доступ туда куда не ходило ранее
    Я не знаю где именно ты настраивал я у себя в mangle
    Ether1- интерфейс общения с оборудованием провайдера интернета

    chain=forward action=change-mss new-mss=1300 passthrough=no tcp-flags=syn
    protocol=tcp out-interface=ether1 tcp-mss=1301-65535 log=no log-prefix=""

    chain=forward action=change-mss new-mss=1300 passthrough=no tcp-flags=syn
    protocol=tcp in-interface=ether1 tcp-mss=1301-65535 log=no log-prefix=""
     
  5. Pavel N

    Pavel N Участник

    Пересмотрел картинки и перечитав текст появилось еще одно предположение
    сайт скорее всего содержит не только находящиеся у себя материалы но и ссылки и счетчики и прочие доп. элементы которые не находятся у него напрямую
    Ты по туннелю идешь на сайт а счетчики и доп элементы не в списке и идут другим маршрутом - не совпав маршруты не дают сайту ответа оттуда откуда он ожидает его а ответ приходит с совершенно другого адреса и отфильтроваывается как не запрошенный пакет
    Получается сайт ждет ответа а ответ пришел и уже выброшен т.к пришел с другого адреса - аналог TCP Drop - сайты задумываются на время таймаута TCP соединения поэтому вместо DROP рекомендуют применять Reject с TCP Reset это не приводит к ожиданию таймаута для TCP
    Это только предположение
     
  6. Dim

    Dim Новый участник

    Павел, а может быть проблемой dns-server pi-hole, который у меня стоит на nas?
     
    Последнее редактирование: 9 дек 2018
  7. Dim

    Dim Новый участник


    Павел, спасибо!
    С этим правилом мангл - завелась шайтан-машинка!