Некоторые сайты начали открываться через раз

Обсуждение технических вопросов, связанных с доступом в Интернет и работой локальной сети FreeDom

Некоторые сайты начали открываться через раз

Сообщение Xop » 05 фев 2018 03:49

Статический IP, соединение L2TP, сервер с убунтой 16.04. Сегодня внезапно некоторые сайты (habrahabr.ru, gitlab.com, vk.com) начали открываться через раз. Что самое странное - пинги проходят, но из браузера упорно пишет estabilishing secure connection и висит. Что еще интереснее - если запустить с компа OpenVPN-туннель до собственноручно настроенной VPS-ки в Америке, то все начинает открываться нормально. Весь мозг сломал - это у меня с конфигами что-то не так, у фридома что-то случилось или где-то еще выше штормит?

Добавлено спустя 15 минут 19 секунд:
Интерфейсы:
enp3s0 имеет адрес 192.168.7.1, смотрит в домашнюю сеть
enp4s0 имеет адрес 10.14.171.140, смотрит в сеть провайдера

Настройки iptables:
Код: Выделить всё
# Configure input rules
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp3s0 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Configure forwarding rules
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i enp3s0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 217.25.228.57


ip route после того, как соединение установилось:
Код: Выделить всё
default dev ppp0  scope link
10.14.171.0/24 dev enp4s0  proto kernel  scope link  src 10.14.171.140
172.17.0.0/16 dev docker0  proto kernel  scope link  src 172.17.0.1 linkdown
192.168.7.0/24 dev enp3s0  proto kernel  scope link  src 192.168.7.1
192.168.149.0/24 via 10.14.171.1 dev enp4s0
195.98.64.65 via 10.14.171.1 dev enp4s0
195.98.64.66 via 10.14.171.1 dev enp4s0
195.98.65.200 dev ppp0  proto kernel  scope link  src 217.25.228.57


Пример пинга до vk.com:
Код: Выделить всё
PING vk.com (87.240.182.224) 56(84) bytes of data.
64 bytes from srv224-182-240-87.vk.com (87.240.182.224): icmp_seq=1 ttl=59 time=18.5 ms


Попытка трассировки:
Код: Выделить всё
tracepath -n vk.com
1?: [LOCALHOST]                      pmtu 1500
1:  192.168.7.1                                           0.365ms
1:  192.168.7.1                                           0.335ms
2:  192.168.7.1                                           0.521ms pmtu 1400
2:  217.25.224.48                                         8.922ms
3:  195.98.65.213                                         1.031ms
4:  195.98.65.194                                         1.712ms asymm  3
5:  no reply
6:  no reply
Xop

 
Сообщения: 2
Зарегистрирован:
26 янв 2018 05:13

Re: Некоторые сайты начали открываться через раз

Сообщение dim » 05 фев 2018 09:25

В конфигурации firewall/nat ошибок нет.
С нашей стороны проблем доступа к указанным ресурсам не наблюдалось (по vk.com было бы очень много обращений).

Вы приводите tracepath, где не видно в какой адрес разрешился домен vk.com. Он резолвится в несколько адресов.
Если проблема будет повторяться, то можете выложить mtr с линукс-роутера до проблемного адреса (ip) и wget на этот же сервер (ip и url)?

P.S. Если не ошибся, то привет физ-матам басовцам :)
dim
Невидимка
 
Сообщения: 482
Зарегистрирован:
20 сен 2007 15:29

Re: Некоторые сайты начали открываться через раз

Сообщение Xop » 05 фев 2018 13:00

Проблема все еще есть. Причем стало еще веселее - через фридом перестал открываться этот форум, пинг пишет вот такое:
Код: Выделить всё
PING forum.freedom-vrn.ru (10.0.255.35) 56(84) bytes of data.
From gwr-vl-201.vrn.ru (217.25.224.133) icmp_seq=2 Packet filtered
From gwr-vl-201.vrn.ru (217.25.224.133) icmp_seq=3 Packet filtered


nslookup forum.freedom-vrn.ru
Код: Выделить всё
Server:      195.98.64.65
Address:   195.98.64.65#53

Name:   forum.freedom-vrn.ru
Address: 10.0.255.35


nslookup forum.freedom-vrn.ru 8.8.8.8
Код: Выделить всё
Server:      8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name:   forum.freedom-vrn.ru
Address: 217.25.236.4


Это так задумано?

Ну и теперь насчет wget и mtr. Mtr что с сервера, что с настольного компа показывает, что до хоста достучался:
Код: Выделить всё
Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
1. _gateway                          0.0%    11    0.2   0.2   0.1   0.2   0.0
2. lo-fras20.vrn.ru                  0.0%    11    0.6   0.7   0.5   2.0   0.4
3. a96-vl-58.vrn.ru                  0.0%    10    1.2   1.3   1.1   1.6   0.1
4. a96-2-vl-2-drl.vrn.ru             0.0%    10    1.1   1.0   0.9   1.1   0.1
5. ae3-203.RT.ES.VOZ.RU.retn.net     0.0%    10    0.8   0.9   0.7   1.4   0.2
6. ae1-3.RT.MR.MSK.RU.retn.net       0.0%    10    8.4   8.6   8.4   9.3   0.3
7. GW-Xtend.retn.net                 0.0%    10    8.5   8.5   8.5   8.5   0.0
8. 178.248.237.68                    0.0%    10    8.4   8.4   8.3   8.4   0.0


wget на сервере страничку вытаскивает нормально, а вот на настольном компе подвисает на этом этапе:
Код: Выделить всё
URL transformed to HTTPS due to an HSTS policy
--2018-02-05 12:54:16--  https://habrahabr.ru/
Loaded CA certificate '/etc/ssl/certs/ca-certificates.crt'
Resolving habrahabr.ru (habrahabr.ru)... 178.248.237.68
Connecting to habrahabr.ru (habrahabr.ru)|178.248.237.68|:443... connected.


В общем, судя по всему у меня в домашней сети что-то случилось, осталось понять что именно :(

P.S. Если не ошибся, то привет физ-матам басовцам

P.S. Не ошибся, но вот тебя по нику уже сложнее опознать. Кто? :)

Добавлено спустя 19 минут 20 секунд:
Так, не знаю совпадение или нет, но после того, как прописал маршрут в 10.0.255.0/24 через 10.14.171.1, заменил SNAT на MASQUERADE и ребутнул сервер - вроде все заработало. Но как-то странно все это...

Добавлено спустя 15 минут:
Похоже совпадение. Работает или не работает случайным образом независимо от режима SNAT или MASQUERADE. Просто если долго перезагружать сервер, то в какой-то момент начинает работать. А на следующем ребуте опять перестает.
Xop

 
Сообщения: 2
Зарегистрирован:
26 янв 2018 05:13

Re: Некоторые сайты начали открываться через раз

Сообщение dim » 07 фев 2018 08:59

Xop писал(а):Проблема все еще есть. Причем стало еще веселее - через фридом перестал открываться этот форум, пинг пишет вот такое:
Код: Выделить всё
PING forum.freedom-vrn.ru (10.0.255.35) 56(84) bytes of data.
From gwr-vl-201.vrn.ru (217.25.224.133) icmp_seq=2 Packet filtered
From gwr-vl-201.vrn.ru (217.25.224.133) icmp_seq=3 Packet filtered


nslookup forum.freedom-vrn.ru
Код: Выделить всё
Server:      195.98.64.65
Address:   195.98.64.65#53

Name:   forum.freedom-vrn.ru
Address: 10.0.255.35


nslookup forum.freedom-vrn.ru 8.8.8.8
Код: Выделить всё
Server:      8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name:   forum.freedom-vrn.ru
Address: 217.25.236.4


Это так задумано?


Да, так задумано. Чтобы люди сидящие во фридоме и использующие наши NS-ы имели доступ к локальным ресурсам по локалке. А из внешнего мира, или если используются не наши NS-ы, через интернет-соединение, точнее внешний адрес.

Xop писал(а):Ну и теперь насчет wget и mtr. Mtr что с сервера, что с настольного компа показывает, что до хоста достучался:
Код: Выделить всё
Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
1. _gateway                          0.0%    11    0.2   0.2   0.1   0.2   0.0
2. lo-fras20.vrn.ru                  0.0%    11    0.6   0.7   0.5   2.0   0.4
3. a96-vl-58.vrn.ru                  0.0%    10    1.2   1.3   1.1   1.6   0.1
4. a96-2-vl-2-drl.vrn.ru             0.0%    10    1.1   1.0   0.9   1.1   0.1
5. ae3-203.RT.ES.VOZ.RU.retn.net     0.0%    10    0.8   0.9   0.7   1.4   0.2
6. ae1-3.RT.MR.MSK.RU.retn.net       0.0%    10    8.4   8.6   8.4   9.3   0.3
7. GW-Xtend.retn.net                 0.0%    10    8.5   8.5   8.5   8.5   0.0
8. 178.248.237.68                    0.0%    10    8.4   8.4   8.3   8.4   0.0


wget на сервере страничку вытаскивает нормально, а вот на настольном компе подвисает на этом этапе:
Код: Выделить всё
URL transformed to HTTPS due to an HSTS policy
--2018-02-05 12:54:16--  https://habrahabr.ru/
Loaded CA certificate '/etc/ssl/certs/ca-certificates.crt'
Resolving habrahabr.ru (habrahabr.ru)... 178.248.237.68
Connecting to habrahabr.ru (habrahabr.ru)|178.248.237.68|:443... connected.


В общем, судя по всему у меня в домашней сети что-то случилось, осталось понять что именно :(

Скорее что-то с линукс-маршрутизатором.
Xop писал(а):P.S. Не ошибся, но вот тебя по нику уже сложнее опознать. Кто? :)

В личке.
Xop писал(а):Добавлено спустя 19 минут 20 секунд:
Так, не знаю совпадение или нет, но после того, как прописал маршрут в 10.0.255.0/24 через 10.14.171.1, заменил SNAT на MASQUERADE и ребутнул сервер - вроде все заработало. Но как-то странно все это...

Для нормального доступа к локальным ресурсам надо прописать роутинг до 10.0.0.0/8 и 195.98.64.65/32, 195.98.64.66/32 через 10.14.171.1. Эти же маршруты выдаются в случае, если адрес на локальном интерфейсе получается по DHCP.
Xop писал(а):Добавлено спустя 15 минут:
Похоже совпадение. Работает или не работает случайным образом независимо от режима SNAT или MASQUERADE. Просто если долго перезагружать сервер, то в какой-то момент начинает работать. А на следующем ребуте опять перестает.

Да, разбираться в линукс-маршрутизатором. Для начала проверить tcpdump'ом как пакетики ходят. Через правильные ли интерфейсы уходят-приходят. И проверить выключен ли rp_filter в параметрах sysctl на интересующих интерфейсах.
dim
Невидимка
 
Сообщения: 482
Зарегистрирован:
20 сен 2007 15:29

Re: Некоторые сайты начали открываться через раз

Сообщение dim » 08 фев 2018 08:55

Еще вот. Какое mtu стоит в настройках l2tp-соединения? Нужно поставить не более 1400,
dim
Невидимка
 
Сообщения: 482
Зарегистрирован:
20 сен 2007 15:29

Re: Некоторые сайты начали открываться через раз

Сообщение Diesel » 24 фев 2018 23:19

MTU на своем опыте могу сказать что лучше 1394 прописать, можно и 1370, хуже не будет.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1536
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: Некоторые сайты начали открываться через раз

Сообщение alecs-art » 25 фев 2018 16:47

Diesel писал(а):MTU на своем опыте могу сказать что лучше 1394 прописать, можно и 1370, хуже не будет.

вырастает нагрузка на процессор = уменьшается максимально достижимая скорость трансфера.
Как определить оптимальный размер MTU для моего подключения?(инструкия с сайта Zyxel)
Внимание! Данная инструкция актуальна только в том случае, если вы столкнулись с проблемами передачи данных по сети!
Например, по неизвестной причине не открываются определенные веб-страницы или присутствуют ошибки при передаче файлов.
Если же доступ в Интернет и передача данных работают корректно, не стоит экспериментировать с параметром MTU, т.к. при выполнении неверных действий вы можете только ухудшить работу домашней сети. В настоящее время, в различных сетевых устройствах (роутерах, адаптерах, модемах и пр.) обычно используются оптимальные настройки MTU предустановленные по умолчанию, а также часто значение MTU определяется автоматически c помощью функции автоподстройки размера пакетов.

Параметр MTU (Maximum Transmission Unit; максимальная единица передачи) означает максимальный размер пакета, который может быть передан по сети без фрагментации. Если пакет будет иметь больший размер, чем установленное значение MTU, он будет фрагментироваться (разбиваться) на более мелкие. При большом количестве таких пакетов это может значительно замедлить передачу данных по сети.
При использовании неправильного размера MTU возможны проблемы с открытием некоторых сайтов в браузерах, сбои в работе VoIP-телефонии, проблема с приемом или передачей файлов по сети. Для исправления такой ситуации нужно проверить установленное текущее значение MTU, а также выяснить оптимальный его размер. Использование оптимального размера MTU может значительно улучшить производительность сети. Максимальная скорость достигается, когда нагрузки всех пакетов в потоке имеют длину, равную значению MTU.
Во многих сетевых устройствах имеется возможность установить вручную значение MTU для нужного интерфейса, но нужно правильно определить его оптимальный размер.

Рассмотрим один из самых простых и точных способов определения оптимального размера MTU.
Для этого будем использовать утилиту ping. С помощью неё мы будем отправлять запросы в сеть и постепенно увеличивать размер пакета до тех пор, пока не появится сообщение о необходимости фрагментации пакета.
Выполнение команды ping будем производить в командной строке операционной системы Windows. Для подключения к командной строке Windows нажмите Пуск > Выполнить > в появившемся окне в поле Открыть впишите команду cmd и нажмите кнопку OK (или клавишу Enter на клавиатуре).

Синтаксис используемой команды ping будет следующий:
ping [url] -f -l <размер_пакета>
В качестве url используйте какой-нибудь популярный домен.
Флаг -f запрещает фрагментацию пакета.
Флаг -l <размер_пакета> устанавливает размер пакета при отправке его в сеть. Обращаем ваше внимание, что во флаге -l используется строчная буква L.

Приведем пример. Выполним пинг до сайта http://www.yandex.ru с размером пакета 1450 байт:
ping http://www.yandex.ru -f -l 1450

После выполнения команды ping вы сразу увидите результат. В нашем примере был получен ответ, а сообщение о требовании фрагментации пакета не получено. Значит, продолжаем тестирование. Тестирование размера пакета начинайте с 1450 байт, постепенно увеличивая это значение до тех пор, пока не появится сообщение Требуется фрагментация пакета.

Итак, в нашем примере был найден максимальный размер пакета 1472 байта (при этом значении пакет не нуждается во фрагментации), т.к. при значении 1473 байта появилось сообщение о том, что требуется фрагментация пакета.

Но это ещё не значение MTU. Мы получили значение MSS (Maximum Segment Size), которое определяет максимальный размер блока данных в байтах. Этот параметр не учитывает длину заголовков ICMP и IP. В нашем случае значение MTU = MSS + заголовок IP + заголовок ICMP.
Теперь к полученному в ходе тестирования числу прибавим 28 байт, которые зарезервированы под заголовок данных (20 байт для заголовка IP и 8 байт для заголовка запроса протокола ICMP). Для нашего примера MTU=1472+28=1500 байт (это оптимальное значение параметра MTU).

Для выхода из интерфейса командной строки выполните команду exit.

Внимание! Для корректного выполнения указанного теста должно обеспечиваться прохождение пакетов ICMP по сети (некоторые сетевые устройства, сервера или межсетевые экраны могут блокировать прохождение ICMP-запросов).


Настройка параметра MTU в интернет-центрах серии Keenetic: «Настройка значения MTU»

KB-4783
alecs-art
Пассажир
Пассажир
 
Сообщения: 279
Зарегистрирован:
29 июл 2012 15:32


Вернуться в Технические вопросы по доступу в Интернет

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2