DHCP WAN+ PPTP - не открываются некоторые сайты



  • Настроил pfsense последний stable 2.0.1, инет поднялся, стабильное подключениче, на интерфейсах ошибок нету.

    Проблема в том что некоторые сайты не открываются. например - ebay.com, amazon.com, docs.google.com. Другие же сайты открываются без проблем.

    Железо новое - две интеловские сетевые карты. В логах system, firewall, pptp ошибок нету. DNS резолвится.

    Если подключаю d-link 300 и с него же поднимаю pptp - все работает без проблем. Т.е. проблема в настройках Pfsense

    Настройки:
    WAN интерфейс получает ip по dhcp от провайдера, а поверх wan поднимается opt1 pptp до провайдера.
    никаких дополнительных настроек\ рулов в firewall не делал.

    Игрался с mtu на wan интерфейсе - не помогло. Менял MTU до 1300, перезагружал после изменения настроек.

    Подскажите куда копать и на что смотреть



  • @krylou:

    Игрался с mtu на wan интерфейсе - не помогло. Менял MTU до 1300, перезагружал после изменения настроек.

    Посмотрите тут http://forum.pfsense.org/index.php/topic,46304.0.html



  • @dr.gopher:

    @krylou:

    Игрался с mtu на wan интерфейсе - не помогло. Менял MTU до 1300, перезагружал после изменения настроек.

    Посмотрите тут http://forum.pfsense.org/index.php/topic,46304.0.html

    Да я видел эту тему, и еще раз попробовал. Сейчас не открываеся только ebay.com.  Причем, каждый раз внизу строка waiting for gh.ebaystatic.com. Посколько сам сайт ebay не пингуется и mturoute с ним работать не может я взял gh.ebaystatic.com и вот реазультат:

    D:>mturoute.exe gh.ebaystatic.com

    • ICMP Fragmentation is not permitted. *
    • Speed optimization is enabled. *
    • Maximum payload is 10000 bytes. *
      …- ICMP payload of 1472 bytes failed. (IP_REQ_TIMED_OUT)
    • ICMP payload of 92 bytes succeeded.
    • ICMP payload of 782 bytes succeeded.
    • ICMP payload of 1127 bytes succeeded.
    • ICMP payload of 1299 bytes succeeded.
      .- ICMP payload of 1385 bytes failed. (IP_REQ_TIMED_OUT)
    • ICMP payload of 1342 bytes succeeded.
    • ICMP payload of 1363 bytes succeeded.
      .- ICMP payload of 1374 bytes failed. (IP_REQ_TIMED_OUT)
    • ICMP payload of 1368 bytes succeeded.
    • ICMP payload of 1371 bytes succeeded.
    • ICMP payload of 1372 bytes succeeded.
      .- ICMP payload of 1373 bytes failed. (IP_REQ_TIMED_OUT)
      Path MTU: 1400 bytes.

    это пинг с машины которая находится ЗА pfsense. Сделал тоже самое но с машины подключенной по другому каналу инета. - там Path MTU: 1420 bytes.

    Поскольку у меня два интерфейса WAN и OPT1. Я попробовал и на там и на другом поставить значение MTU 1400. После каждого изменения перезагружал pf - не помогло.

    Что еще попробовать?



  • С помощью developer tools-> audits  в хроме при проверке ebay.com нашел след рекомендацию:

    CSS in the document body adversely impacts rendering performance.
    Link node gh.ebaystatic.com/header/css/all.min?combo=32&rvr=53 should be moved to the document head in www.ebay.com

    После чего сдела рул на фаерволе LAN ->(REJECT весь трафик)> домен gh.ebaystatic.com. После этого сайт ebay открылся как и остальные сайты, но без нормальной разметки и картинок.

    Что за полтергейст? У всех же ebay открывается без всякого шаманства?

    Куда копать?



  • Аналогично ведет себя с Билайном при подключении по WiFi. :)
    Причем 1.2.3 версия без проблем и без всяких ограничений MTU работает с PPTP.

    И что самое смешное, я не смог заставить это рабоать после апгрейда 1.2.3 на 2.0.1. В итоге поставил 2.0.1 с нуля, все настроил, оно заработало. Проблема (почему-то) была в добавлении роутера DHCP как DNS-сервера. Стоило убрать, что для DNS используется роутер WAN, все заработало. Ну и короткий MTU для PPTP - 1400.

    Поигрался с другим подключением, пришлось убить настройки. Сейчас вернул - и все повторяется. Настройки повторил, но пофиг, очень много сайтов не открывается, хотя без проблем пингуется. Может конечно не всегда без перезагрузки подхватывает, но игры с размерами и интерфейсами не помогли пока.



  • Проблема решена.

    Вернул все значения MTU к дефалтовым.

    Во вкладке intefaces->assign->ppp> мое pptp> advanced -> включить TCPmssFix



  • @krylou:

    Во вкладке intefaces->assign->ppp> мое pptp> advanced -> включить TCPmssFix

    Может выключить? Там все же Disable tcpmssfix, и по умолчанию галки нет, т.е. включен.

    PS: мне не помогло. Решилось только установкой MTU=1400 в Advanced Options соединения PPTP. Почему-то в комментариях написано, что это MTU на локальный интерфейс, не на PPTP. А в установках интерфейса снижение MTU не помогает.


Locked