Frequently Asked Questions
Question
PPPoE подключение к провайдеру, не открывается mail.ru и др?
Answer
Если ваш провайдер использует PPPoE подключение, а вы используете некое устройство централизованного доступа к интернет для больше чем 1-го компьютера, может случиться неприятность... Некоторые сайты откажутся открываться, например mail.ru, speedtest.net и др. Связано это с разными значениями MTU на вашем компьютере и интерфейсе к провайдеру. Любое Р-Р подключение подразумевает меньший размер пакета, т.к. этот самый пакет содержит дополнительные данные в хедере и капсулируется в некую оболочку. Но это не сильно важно. Общий смысл - пакет размером 1500 (стандартный размер MTU) при попытке пролезть в окно 1450 (обычно MTU пппое) должен разделиться на 2 кусочка (фрагментироваться) чтобы потом собраться снова уже у получателя. Ничего особо страшного в этом нет, если бы не одна из известных атак, выражающаяся в заваливании некоего хоста кривыми фрагментами. По этой причине некоторые параноики (или умные люди, как посмотреть) запрещают проход фрагментированного трафика сквозь свои маршрутизаторы или хосты. Посланный вашим рутером запрос просто отбрасывается. Такие вещи точно происходят с FreeBSD рутерами с использованием MPD (версий 5.2 5.3 точно) в качестве pppoe клиента, некоторые железные рутеры (D-Link этим не страдает. Если страдает - обновите прошивку). В случае, если у вас железный рутер, все довольно неприятно, но поправимо. Бежать в магазин за другим не стоит, достаточно просто на всех компьютерах которые должны иметь доступ в интернет через ваш рутер выставить MTU равным значению на pppoe интерфейсе рутера. И все. Что же касается юникс, тут аж 2 решения,
1 - использовать pf:
2 - выкинуть MPD, использовать "встроенный" ppp:
rc.conf
ну или ppp_nat="YES" если не хотите использовать natd или ipnat
/etc/ppp/ppp.conf:
nat enable - сами понимаете.
Вот и все. Работает.
Для линукс сервера или Cisco можно почитать вот эту ссылку.
Как-то так...
Details
Info Sunday 14 March 2010 - 18:03:03 by
Vampyr`s House!
Question
PPPoE подключение к провайдеру, не открывается mail.ru и др?
Answer
Если ваш провайдер использует PPPoE подключение, а вы используете некое устройство централизованного доступа к интернет для больше чем 1-го компьютера, может случиться неприятность... Некоторые сайты откажутся открываться, например mail.ru, speedtest.net и др. Связано это с разными значениями MTU на вашем компьютере и интерфейсе к провайдеру. Любое Р-Р подключение подразумевает меньший размер пакета, т.к. этот самый пакет содержит дополнительные данные в хедере и капсулируется в некую оболочку. Но это не сильно важно. Общий смысл - пакет размером 1500 (стандартный размер MTU) при попытке пролезть в окно 1450 (обычно MTU пппое) должен разделиться на 2 кусочка (фрагментироваться) чтобы потом собраться снова уже у получателя. Ничего особо страшного в этом нет, если бы не одна из известных атак, выражающаяся в заваливании некоего хоста кривыми фрагментами. По этой причине некоторые параноики (или умные люди, как посмотреть) запрещают проход фрагментированного трафика сквозь свои маршрутизаторы или хосты. Посланный вашим рутером запрос просто отбрасывается. Такие вещи точно происходят с FreeBSD рутерами с использованием MPD (версий 5.2 5.3 точно) в качестве pppoe клиента, некоторые железные рутеры (D-Link этим не страдает. Если страдает - обновите прошивку). В случае, если у вас железный рутер, все довольно неприятно, но поправимо. Бежать в магазин за другим не стоит, достаточно просто на всех компьютерах которые должны иметь доступ в интернет через ваш рутер выставить MTU равным значению на pppoe интерфейсе рутера. И все. Что же касается юникс, тут аж 2 решения,
1 - использовать pf:
scrub in all fragment reassemble
scrub out all random-id max-mss 1450
2 - выкинуть MPD, использовать "встроенный" ppp:
rc.conf
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="internet"
ppp_nat="NO"
ну или ppp_nat="YES" если не хотите использовать natd или ipnat
/etc/ppp/ppp.conf:
default:
set log Phase command
internet:
set device PPPoE:rl0
set authname username
set authkey password
set dial
set login
nat enable no
add default HISADDR
nat enable - сами понимаете.
Вот и все. Работает.
Для линукс сервера или Cisco можно почитать вот эту ссылку.
Как-то так...
Details
Info Sunday 14 March 2010 - 18:03:03 by
Vampyr`s House!
