нука, коллективный разум. пытаюсь дома настроить сервачок для всякого. сижу на билайне, поднял чутка скорость, а оно на л2тп работает, а не пппое. а роутер начал греться и вылетать, решил сделать сервачок, какраз выходные. итак. debian, iptables, squid. л2тп через задницу но поднялось. bind9. dhcpd, который теперь как-то длиннее называется. л2тп худо-бедно удалось поднять, правда пока через иксы. ладно. squid c iptables я уже поднимал в производственной сфере, взял оттуда конфиги, допилил под переменный айпишник. проблемы таковы: на самой тачке не работает нормально днс, а именно из адресной строки браузера не ищет в гугле, выдает ошибку днс. отключил bind9, дал днс напрямую провайдерские - не помогает. второе - на клиенте не открываются некоторые сайты. например форум волгоград. ошибка походу тоже в днс. но днс я уже и подсовывал свой, и гугла, и билайна - ниче не помогает. чяднт?
Если я правильно понял то у тебя трафик идет через squid, следовательно ему и нужно подсовывать DNS-ы
Если доходчиво ответиш, нафейхуа сквид при современных скоростях и анлиме, то я отвечу на остальные твои вопросы.
nslookup - тестирование днс, есть в любой ОС. К слову сказать - как подсовывали ДНС? Тест ошибки приведите в браузере (ну тупо номер). Включите запись логов уровня critical в ppp клиенте. Он может много чего любопытного там вам понаписать. Для некоторых сетей менее геморойно использовать mpd заместо штатных средств установки соединений. Хотя судя по стартопику количество геморроя волнует вас в последнюю очередь...))
icefrog, Через сквид не может идти весь трафик. оно не для того создавалось. dns запросы уж точно не через него. А вот правила iptables на "сервере" видимо хромают.
электрик, привычка-вторая натура. а вообще подумываю инет соседям продавать, тарифы под 80мб в доме есть, но мне по такой цене не нужны. а отношение метров на рубль с ростом тарифа растет. к тому же режу рекламу, ну и если с соседями мутить чтобы весь траффик не пожрали торрентами. nslookup все видит, резолвит нормально шлюз. правила действительно хромают, сквид пока вообще траффика не касается. но почему что-то работает а что-то нет - не втыкаю. ошибку не приведу, и конфиги пока не покажу, уехал из города.
шлюз резолвить не надо - он везде записан как IP. nslookup поможет отресолвить ИМЕНА. То есть после запуска этой утильки она вам подбросит командную строчку и список серверов которые будет использовать. Ей надо тупо скормить несколько имен сайтов в интернете, и посмотреть - выдаст ли она их IP. Если выдаст - значит все в порядке с днс. Вообще говоря из того что сказано, у вас либо проблемы с линком до провайдера, тоесть к примеру - соединение с ошибками и потерей кадров, либо проблема с иптаблес, с правилами.
шлюз в качестве днс-сервера все резолвит, имелось в виду. nslookupом и проверял. проблемы с провайдером не исключаются, но соображения такие: форум на самом шлюзе открывается. а на ноуте, подключенном через него - нет. притом как мне кажется были бы пролемы с провайдером - не открывался бы ниоткуда. с другой стороны были бы проблемы с iptables - не открывалось бы ничего, а открывается все остальное. еще одна проблемка. имею роутер DI624S. последнее обновление прошивки выходило емнип в 2007. не работает с l2tp, греется и зависает. хотел его подцепить к шлюзу и раздавать вайфаем инет, так беда такая - как только я ему прописываю инет статически (а не от провайдера) перестает пускать на веб-интерфейс. причем вайфай работает. первый раз думал глюк, сбросил, перезалил прошивку (слетает при сбросе), на втором разе такая же байда.
Без конфигов говорить не о чем. А статей как настроить шлюз на линупсе в сети море. Продавать нельзя. Для этого должна быть лицензия на телематику+передачу данных и сдан узел связи. Иначе вздрючат. Продавать услугу с проксиком вообще бред. Обычный NAT и в путь.
Возможно, вам пригодиится такая утилитка как tracert (Windows) или traceroute в линупсе. Вот пример использования: Так можно отследить некоторые проблемы по перемещению пакетов между узлами маршрутизации от вас до нужного вам сервера в интернете. Логично. Тут простая последовательность: 1. проверить доступность сервера ДНС (на стороне провайдера )пингом по IP. 2. Запустить nslookup и посмотреть сервер которым пользуеться браузер для ресолва: 3. Скормить nslookup имя проблемного узла и посмотреть ответ: если нет ответа, попробовать попросить адрес проблемного узла у другого сервера ДНС, выше того которым пользуетесь, по иерархииуказав его утилите nslookup командой server <ip_addr_upper_dns>), если ответа нет, попробывать сервер днс гугла (8.8.8.8). Если и он не отвечает, значит между вами и другими днс, есть узел (включая ваш собственный компьютер), на котором действуют ограничения фильтра пакетов, включающие запрет открытия соединений на 53 порт. тоессть в вашем случае это иптаблес. Если все ресолвится как надо. То трасерт в руки, как написано выше. ---------- Сообщение добавлено 05.05.2013 22:02 ---------- если вы хотите интернет в складчину, то учтите что любой отказ или тормоза лягут на вашу совесть, а не на совесть провайдера. В этом случае намного эффективнее упростить организацию процесса на вашей стороне, чтобы не вносить лишних шансов на отказ связи. На вашем месте я бы поставил роутер обычный (меньше кушает электричества, надежнее домашнего компьютера), а зону покрытия обеспечил бы точками доступа в режиме повторителей Если ваш сосед не заплатит вовремя, прикройте ему доступ через пакетный фильтр роутера. Если соседей много, то есть вариант немного автоматизировать этот процесс. ---------- Сообщение добавлено 05.05.2013 22:08 ---------- Купите другой, роутер с вайфаем счас можно рублей за 700-900 купить. Эти затраты быстро окупятся свободным временем освободившимся от ковыряний с прошивками, даже в том случае, если ваша проблема на том оборудовании которое уже есть, имеет решение с помощью напильника и такой то матери. ---------- Сообщение добавлено 05.05.2013 22:15 ---------- хм, а кто у вас провайдер? помоему сейчас лимит у проводных сетей уже ушел в прошлое.
OpenBoy, трассировку пробовал, с клиента недоступен один из серверов после билайновского. а когда пробую с самого шлюза - доступен. и днсы менял, оставлял только гугловский и только билайновские. хз, разве что циска, длинк то мой отваливается постоянно. да и вообще всем решениям которые стоят дешевле компа я не доваеряю в откащоустойчивости потому что они так себя не раз вели. имелось в виду канал весь загрузят. билайн провайдер. порт 8080, все сворачивю на него.
Если L2TP настроен правильно, то sudo -i apt-get install unbound nano /etc/squid3/squid.conf найти dns_nameservers, прописать там 127.0.0.1 PS. электрик, squid - для контроля.
сижу ковыряю. не знал что сквид 3 вышел, давно не ковырял. днс работает. гребет иптаблес. причем тот конфиг что хоть как-то работал уже похерен, а рабочий никак не соберу, у меня уже 4 варианта, все тыкаю по порядкуи ни один не пашет. ---------- Сообщение добавлено 07.05.2013 22:42 ---------- писал длинный пост про то как что глючит, но пока вылавливал глюки они кончились, всем спасибо, заработало, буду тюнить теперь)
настраиваю по чучуть вечерами когда дите засыпает. инет от шлюза раздается роутером длинк по вайфаю. отловил такой глюк с шлюза: traceroute to google.ru (173.194.47.255), 30 hops max, 60 byte packets 1 93-81-192-1.broadband.corbina.ru (93.81.192.1) 7.866 ms 7.849 ms 7.840 ms 2 * * * 3 62.141.100.113 (62.141.100.113) 7.810 ms 7.803 ms 7.795 ms 4 81.211.84.11 (81.211.84.11) 43.783 ms 43.775 ms 72.14.212.22 (72.14.212.22) 43.768 ms 5 216.239.47.147 (216.239.47.147) 43.761 ms 43.754 ms 43.746 ms 6 173.194.47.255 (173.194.47.255) 43.738 ms 43.926 ms 43.869 ms ---------- Сообщение добавлено 09.05.2013 22:07 ---------- с ноута: C:\Users\gerodoth>tracert google.ru Трассировка маршрута к google.ru [173.194.70.94] с максимальным числом прыжков 30: 1 9 ms 9 ms 8 ms 192.168.1.1 -- это роутер 2 16 ms 7 ms 3 ms DEBSRV [192.168.0.5] --это шлюз 3 12 ms 17 ms 18 ms 93-81-192-1.broadband.corbina.ru [93.81.192.1] 4 * * * Превышен интервал ожидания для запроса. 5 54 ms 29 ms 38 ms 62.141.100.113 6 53 ms 91 ms 49 ms 72.14.212.26 7 101 ms 98 ms 100 ms 72.14.232.46 8 298 ms 303 ms 307 ms 72.14.239.62 9 210 ms 225 ms 253 ms 209.85.254.118 10 * * * Превышен интервал ожидания для запроса. 11 95 ms 99 ms 91 ms fa-in-f94.1e100.net [173.194.70.94] Трассировка завершена. в результате на гугл с ноута зайти не могу. ---------- Сообщение добавлено 09.05.2013 22:49 ---------- вкурил
не ради наживы, просто жаба душит штуку отдавать за нормальный инет, которым пользуюсь по часу в день, а вайфай до первого этажа достает. да и врядле это будет, надо идти, договариваться, а я ленивый.
не, не разобрался. с клиента как видно шагов при трассировке больше. 2 до шлюза, но остается еще 3 лишних. гугл то открывается то нет. сквид не причем потому что https. в иптаблес есть $IPTABLES -A FORWARD -s $LAN_IP_RANGE -p TCP -m multiport --destination-port 25,110,443 -j ACCEPT $IPTABLES -A FORWARD -d $LAN_IP_RANGE -p TCP -m multiport --source-port 25,110,443 -j ACCEPT и $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
ты бы весь список вывел правил. Вообще говоря из указаной цепочки второе правило не совсем логичное, вместо него стоит использовать конструкцию которая разрешает обмен пакетами по уже установленным соединениям. примерно так: iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT Надо сказать, я сталкивался на работе с pf и ipfw, там язык правил более понятный и ясный. Потому что практически человечий. А еще, загляни в первую консоль, помоему в линупсе туда тоже всякие важные новости валятся. например сообщения ядра о странностях или ошибках работы драйвера сетевой карты. Пока правил от тебя в списке не видно, но предварительно можно сказать, что картина с перманентным пропаданием ответа от неких узлов, для проблем с пакетным фильтром не свойственна. Если с правилами чтото не так, то как правило картина устойчивая.
именно. ошибок нет. во первых у билайна гугл больная тема, и через железный роутер тоже временами подглючивает, но намного реже. во вторых через железку практически все работает (реже 2 раз в месяц глюк проявляется, не отловить) ну и в третьих до одного и того же билайновского шлюза все доходит, роутится по разному дальше.
Ну никакой девайс провайдера не обязан отвечать по icmp Провайдер волен роутить пакеты так, как считает нужным Возьмите листок и карандаш. Разрисуйте схемотично как куда у вас ходят пакеты. Думаю наступит просветление. Опять же по DENY правилам внимательнее. Прислушайтесь к openboy по поводу установленных соединений.
а вот тут вы зря...) ---------- Сообщение добавлено 12.05.2013 10:47 ---------- отключите совсем, будет ясно
сделал http://forum.ubuntu.ru/index.php?PHPSESSID=ffbcanshesl3lui13kbnnbnmr2&topic=193874.0 не оно скорее всего, пускал в обход сквида сделал http://linuxforum.ru/viewtopic.php?id=12026&p=2 незадолго до этого стало работать само, мониторю. ---------- Сообщение добавлено 12.05.2013 23:28 ---------- не помогло ---------- Сообщение добавлено 13.05.2013 00:05 ---------- а можт и помогло, поправил мту на всех интерфейсах в квартире, пока работает.
Покажите правила полностью. И ifconfig ---------- Сообщение добавлено 13.05.2013 09:49 ---------- Вернитесь на землю. На клиентах то MTU зачем трогать?
на входном сетевом на шлюз и на вайфае, который железный роутер раздает со шлюза. на клиентах не трогал. все работает пока.
+1 А вообще, прежде чем навешивать запрещающие правила и фильтры, сделай чтобы форвард нормально заработал. iptables --policy INPUT ACCEPT iptables --policy OUTPUT ACCEPT iptables --policy FORWARD DROP iptables --flush iptables -A FORWARD -s $LAN_IP_RANGE -o $INET_IFACE -j ACCEPT iptables -A FORWARD -i $INET_IFACE -d $LAN_IP_RANGE -j ACCEPT iptables -t nat --flush iptables -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu iptables -t nat -A POSTROUTING -s $LAN_IP_RANGE -j MASQUERADE Как-то так. TCPMSS должно помочь с MTU без подкручивания оного вручную.