Bug 26124 - Не все сайты открываются.
Summary: Не все сайты открываются.
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-net-pptp (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Michael Shigorin
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2011-08-19 13:45 MSK by Евгений
Modified: 2011-08-24 11:01 MSK (History)
4 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Евгений 2011-08-19 13:45:30 MSK 
Проблема в следующем:
Сервер p5 arc, обновлён до p6/sisyphus.
При поднятии pptp соединения, на компьютерах, которые находятся за сервером, открываются не все сайты. Например:
https://login.xmarks.com/
http://www.livejournal.com/
http://microsoft.com/
.....
ping до всех серверов без обрывов и стабильный.

На самом сервере все перечисленные сайты открываются без проблем.

Решение нашлось добавлением следующего правила iptables в таблицу mangle:

-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Добавил эту строку в /etc/net/ifaces/pppX/fw/iptables/mangle/FORWARD

где pppX - интерфейс поднимаемого pptp соединения.

Просьба добавить в альтератор данную возможность.
Comment 1 Michael Shigorin 2011-08-20 15:39:04 MSK 
Да, в таком виде куда приятней (спасибо etcnet); проверьте эту сборку:
http://fly.osdn.org.ua/~mike/packages/alterator-net-pptp/alterator-net-pptp-0.10.2-alt1.noarch.rpm

Вот добавленная (и вызываемая из write_connection()) функция:

write_clamp_mss()
{
       RULE="-p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu"
       RULEDIR="$name/fw/iptables/mangle/"
       RULEFILE="$RULEDIR/FORWARD"
       [ -s "$RULEFILE" ] && {
               grep -q "^$RULE$" "$RULEFILE" || echo "$RULE" >> "$RULEFILE"
       } || {
               mkdir -p "$RULEDIR"
               echo "$RULE" > "$RULEFILE"
       }
}
Comment 2 Евгений 2011-08-23 07:05:41 MSK 
Михаил, а можно ещё для p5 пакет? Я его быстрее проверю. Т.к. сервер с p6/sisyphus уже переустановлен на p5.
Comment 3 Michael Shigorin 2011-08-23 14:10:14 MSK 
Должен подойти этот же.
Comment 4 Евгений 2011-08-23 18:20:43 MSK 
Проверил на ковчеге p5.

В /etc/net/ifaces/default/options
CONFIG_FW=yes - так и было. Руками не правил.

Установил пакет.
Прибил в своём подключении папку:
/etc/net/ifaces/ppp1/fw

В альтераторе зашёл в настройки pptp. Просто нажал применить.
Появилась папка /etc/net/ifaces/ppp1/fw/.... с ожидаемым содержимым.

Проверил проблемные сайты - работают.
Перезагрузил сервер, для проверки. Всё замечательно :)
Comment 5 Michael Shigorin 2011-08-23 18:58:52 MSK 
Пока ещё не fixed, но пакет уже в пути в сизиф -- надо будет не забыть разложить в бранчи (t6 и 5.1 как минимум) ;-)
Comment 6 Repository Robot 2011-08-23 19:00:37 MSK 
alterator-net-pptp-0.10.2-alt1 -> sisyphus:

* Sat Aug 20 2011 Michael Shigorin <mike@altlinux> 0.10.2-alt1
- implemented --clamp-mss-to-pmtu autosetup (closes: #26124)
  + should help when a remote host pings and works ok from gateway
    setup using this module but a workstation behind it will ping
    that remote host but timeout on e.g. http due to oversized packets
  + you might need to explicitly enable /etc/net firewall by adding
    CONFIG_FW=yes to /etc/net/ifaces/default/options; if that's ever
    needed, please amend http://bugzilla.altlinux.org/26124
Comment 7 Евгений 2011-08-24 11:01:56 MSK 
В p5 ещё, пожалуйста.