Случайности, совпадения (с) (mpd и Вынь)

[shulik]

Всем доброго времени суток!
Вот тема для размышления: стоял у меня ВПН-сервачок под Линухом и поптопом. И работало все вроде бы нормально. И вот решил я воспользлваться выдающимися сетевыми возможностями БСД. Поставил FreeBSD 6.0, mpd и т.д. PF фильтрует и НАТит, ipfw шейпит и считает трафик. Все проверил подрубаясь клиентами Линуха, БСД, Выни - все работало на УРА. Да только вот один клиент что-то частенько стал жаловаться. Некоторое время плясок с бубнами привело нас к тому, что мы обнаружили: если включен фаервол винды - то на ВПН соединении начинаются лаги и потери. При этом локалка работает отлично. Выключили фаервол - и о чудо - все заработало. Но сами понимаете - в инете и локалке без фаервола грустно. Тогда решили попробовать как-нить там Zone Alarm или Outpost. И тут самое интересное: при включении любого фаервола под вынью начинаются лаги.

Вопрос: с чем это может быть связан и как пофиксить? Кто может быть виноват - мпд, пф, ипфв?

Я просто ума не приложу, что виндузный фаер может такого проедлывать с пакетами, что начинаются лаги...

[PIF]

Всем доброго времени суток!
Вот тема для размышления: стоял у меня ВПН-сервачок под Линухом и поптопом. И работало все вроде бы нормально. И вот решил я воспользлваться выдающимися сетевыми возможностями БСД. Поставил FreeBSD 6.0, mpd и т.д. PF фильтрует и НАТит, ipfw шейпит и считает трафик. Все проверил подрубаясь клиентами Линуха, БСД, Выни - все работало на УРА. Да только вот один клиент что-то частенько стал жаловаться. Некоторое время плясок с бубнами привело нас к тому, что мы обнаружили: если включен фаервол винды - то на ВПН соединении начинаются лаги и потери. При этом локалка работает отлично. Выключили фаервол - и о чудо - все заработало. Но сами понимаете - в инете и локалке без фаервола грустно. Тогда решили попробовать как-нить там Zone Alarm или Outpost. И тут самое интересное: при включении любого фаервола под вынью начинаются лаги.

Вопрос: с чем это может быть связан и как пофиксить? Кто может быть виноват - мпд, пф, ипфв?

Я просто ума не приложу, что виндузный фаер может такого проедлывать с пакетами, что начинаются лаги...

Windows XP SP2 Savelov Pirat Version?
Была анналогичная проблема, но с монтированием Samba и, кажется, работой MTA, причем только на SP2 c включенным Firewall. На SP1 все работало ОК. Просто стали ставить SP1. Сейчас я там уже/еще не работаю, но организация постепенно переползает на Debian.

P. S. Кстати, о птичках. А зачем в локалке ставить на клиенты персональные firewalls, если firewall есть на серевере? Или сеть специфичная?

[mirlas]

Всем доброго времени суток!
Вот тема для размышления: стоял у меня ВПН-сервачок под Линухом и поптопом. И работало все вроде бы нормально. И вот решил я воспользлваться выдающимися сетевыми возможностями БСД. Поставил FreeBSD 6.0, mpd и т.д. PF фильтрует и НАТит, ipfw шейпит и считает трафик. Все проверил подрубаясь клиентами Линуха, БСД, Выни - все работало на УРА. Да только вот один клиент что-то частенько стал жаловаться. Некоторое время плясок с бубнами привело нас к тому, что мы обнаружили: если включен фаервол винды - то на ВПН соединении начинаются лаги и потери. При этом локалка работает отлично. Выключили фаервол - и о чудо - все заработало. Но сами понимаете - в инете и локалке без фаервола грустно. Тогда решили попробовать как-нить там Zone Alarm или Outpost. И тут самое интересное: при включении любого фаервола под вынью начинаются лаги.

Вопрос: с чем это может быть связан и как пофиксить? Кто может быть виноват - мпд, пф, ипфв?

Я просто ума не приложу, что виндузный фаер может такого проедлывать с пакетами, что начинаются лаги...

Вообще вопрос звучит странно, т.к. он, по крайней мере, сам на себя отвечает (это как сказать: "никак не пойму, почему у меня голова болит, когда по ней кирпичем бьют, а когда не бьют - не болит :/ " ). Но все же подскажу - проверь, что блокирует фаервол... Я так думаю, что GRE он точно блокирует, а этот протокол жизненно важен для VPN...

[shulik]

Отвечаю сразу на оба поста: кирпичем по голове бьют по той просто причине, что сетка не носит характер внутренней сети предприятия - посему возможны ситуации когда клиенты будут пытаться друг друга ломать через дыры Выни или попросту один словит вирусню, а она будет к остальным ломится, и т.д. и т.п. Вобщем то, что клиенты хотят пользоваться фаером - стандарт де факто.
Касательно СП2 - тож сложно, да и не выход это. По-моему Debian+poptop этим не страдали. Кстати - касательно других фаеров - как в выни это построено - они все что ли одно и то же что-то юзают?

По-поводу блокирования гре - если гре заблокирован - тунель не поднимется вообще. А тунель поднимается, только вот лаги на нем есть - то идет пинг, то потери....

Вот такие пироги!

[mirlas]

Отвечаю сразу на оба поста: кирпичем по голове бьют по той просто причине, что сетка не носит характер внутренней сети предприятия - посему возможны ситуации когда клиенты будут пытаться друг друга ломать через дыры Выни или попросту один словит вирусню, а она будет к остальным ломится, и т.д. и т.п. Вобщем то, что клиенты хотят пользоваться фаером - стандарт де факто.
Касательно СП2 - тож сложно, да и не выход это. По-моему Debian+poptop этим не страдали. Кстати - касательно других фаеров - как в выни это построено - они все что ли одно и то же что-то юзают?

По-поводу блокирования гре - если гре заблокирован - тунель не поднимется вообще. А тунель поднимается, только вот лаги на нем есть - то идет пинг, то потери....

Вот такие пироги!

Хорошо, тогда так: везде ли выставлены одинаковые значения MTU и MRU (причем mtu должен быть равен mru)?

[Alek-Z]

shulik

сообственно а почему у тебя голова болит? у других клиентов все ок?=ок. значит трабла именно в этом клиенте, следовательно пусть перставляеет винды, ставит другой фаервол...

повторяюсь проблема у клиента, а не на сервере... чо ломать голову?

[Kotjara]

shulik А зачем тебе 2 пакетных фильтра под фрёй? Шейпить и PF прекрасно умеет.
Попробуй файервол в ХР-юше настроить чтобы порты нужные были открыты. Глядишь лажа и прекратится

[shulik]

Касательно mtu и mru - их определение в конфиге я убрал вообще, посему как правило они назначаются виндой в пределах 1400-1500.

По-поводу 2 фильтров - не суть важно - хоть 5 штук подряд - они хоть вместе, хоть отдельно работают идентично и без вреда для пакетов, а мне так удобнее - иначе слишком много плясок вокруг one_pass в ipfw при условии, что мне кой-где нужно делать count, еще где-то tee, кроме того allow и deny.....

По-поводу винды - теоретически может быть и так, но во-первых это происходит при установке разных фаерволов, а проблему наблюдал я на двух компах - правда оба были слегка ушатаны в плане ОС...