Проблема с mpd5

[oleks1y]

Господа, есть один существенный баг у MPD5, уже полгода ище решения и не могу найти!!! При включенном брандмауере Windows на клиентской тачке коннект устанавливются, но начинаются жуткие тормоза!!! Пингую какую-ниб тачку в локалке (в удаленной локале где находится сервак с поднятым MPD), пинги выпадают, от 30 до 50% потерь((( Прописывание исключение в брандмауер, дополнительных правил и т.п. НИ К ЧЕМУ НЕ ПРИВОДИТ!!! Выход один - откдючать брандмауер, что не удобно (ну попробуй левому чуваку, который работает удаленно с моей локалкой объяснить, что нужно выключать брандмауер!!!).... Как быть, что делать?? Как настроить MPD или этот гребанный брандмауер на нормальную работу????
Конфиг пока не выкладываю, он в принципе стандартный, все ведь работает безукоризненно (и шифрование в том числе), кроме вышеописанной ситуации

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

незнаю таких проблем
что за винда?
версия? тип?

может в брадмауре по умолчанию ввинде QOS чтоит
так что ж вы тогда хотите
это проблемы настройки винды

[oleks1y]

WinXP Prof (или Home Edition) SP2. А про QOS можно подробнее?

[sch]

это не QoS; скорее всего у твоего "чувака" дефолтные настройки включенного файервола не разрешают ICMP. Соответственно, начинаются большие проблемы с управлением потоком TCP.
ICMP - это не только ping. Попробуй в доп.настройках файервола Windows разрешить ICMP, как минимум типы "outgoing source quench", "outgoing parameter problem", "outgoing time exceeded".

[oleks1y]

Попробовал, не помогает...

[oleks1y]

И вообще, абсолютно у всех виндовых клиентов, которые цепляются к моему серваку по VPN при включенном брендмауре выпадают пакеты.... Что-то не то в этом брендмауере, но что ума не приложу, я его изучил вдоль и поперек, но ничего не помагает. Только выключать нужно.

[server801]

винду пробовать обновить

[oleks1y]

Ставил SP3, ничего не помогает.... Какие еще будут идеи? Неужели никто с таким не сталкивался???

[vadim64]

Я думаю всётаки

Код: Выделить всё

cat /usr/local/etc/mpd5/mpd.conf

в студию

[oleks1y]

Пожалуйста

Код: Выделить всё

startup:
	# configure the console
	set console self 127.0.0.1 5005
	set console user foo bar
	set console user foo1 bar1
	set console open
	# configure the web server
	set web self 127.0.0.1 5006
	set web user foo bar
	set web open

# Default configuration is "pptp_server"

default:
	load pptp_server

pptp_server:

# Define dynamic IP address pool.

	set ippool add pool1 10.167.169.2 10.167.169.250


# Create clonable bundle template named B

	create bundle template B

	set iface enable proxy-arp

	set iface idle 0

	set iface enable tcpmssfix

	set ipcp yes vjcomp

# Specify IP address pool for dynamic assigment.

	set ipcp ranges 10.167.169.1/32 ippool pool1

	set ipcp dns 192.168.100.52

	set ipcp nbns 192.168.100.52

# The five lines below enable Microsoft Point-to-Point encryption

# (MPPE) using the ng_mppc(8) netgraph node type.

	set bundle enable compression

	set ccp yes mppc

	set ccp yes mpp-e40

	set ccp yes mpp-e128

	set ccp yes mpp-stateless


# Create clonable link template named L

	create link template L pptp
	
	set link action bundle B

# Multilink adds some overhead, but gives full 1500 MTU.

	set link enable multilink

	set link yes acfcomp protocomp

	set link no pap chap

	set link enable chap

# We can use use RADIUS authentication/accounting by including

# another config section with label 'radius'.

#	load radius

	 set link keep-alive 10 60

# We reducing link mtu to avoid GRE packet fragmentation.

	set link mtu 1460

# Configure PPTP

        set pptp self 82.*.*.*

# Allow to accept calls

        set link enable incoming 

[ban]

set link mtu 1460
зачем ты задаешь этот долбаный MTU??

set iface idle 0
По умолчанию ноль значение

set ipcp yes vjcomp
По умолчанию enable и accept, значит yes

set link enable multilink
нахрена вот это?? Я думаю тебе это не нужно...

set link yes acfcomp protocomp
обе опции по умолчанию enable и accept, значит yes

set link keep-alive 10 60
пока не пользуйся

вставь такой конфиг и поробуй:

Код: Выделить всё

pptp_server:
   set ippool add pool1 10.167.169.2 10.167.169.250

   create bundle template B
   set iface enable proxy-arp
   set iface enable tcpmssfix
   set ipcp ranges 10.167.169.1/32 ippool pool1
   set ipcp dns 192.168.100.52
   set ipcp nbns 192.168.100.52
   set bundle enable compression
   set ccp yes mppc
   set ccp yes mpp-e40
   set ccp yes mpp-e128
   set ccp yes mpp-stateless

   create link template L pptp
   set link action bundle B
   set link no pap
   set link enable chap
   set pptp self 82.*.*.*
   set link enable incoming 

да, и сжатие у тебя по идее не должно работать.... когда подключишься к MPD в винде глянь в соединении в Сведениях Сжатие должно быть выкл.

[oleks1y]

Поправил конфиг, результат остался прежним....

[folax]

Я бы советовал вооще вырубить брандмауэр вендовый как службу. Пуск/панель управления/администрирование/службы/Брандмауэр виндовс/ --- отключить и пробывать что будет Ждём результатов.

[oleks1y]

В том то и дело, что так работает. Даже есди не отключать службу а просто поставить опцию "Отключить брандмауер". Но когда у меня 20 клиентов, солидных людей, им тяжело объяснять зачем нужно отключать брандмауер))) Да и не каждый захочет это делать. Должно работать вне зависимости от наличия брандмауера. Неужели у одного меня такая проблема??? Пол года пытаюсь решить проблему, не получается...

[folax]

Я что то запутался. А на впн сервере как сконфигурирован фаервол ? Может в нём трабл ? изложите короткий состав сервера. Просто если на то пошло я тоже работаю через 5 мпд, подключаюсь к впн серваку и работаю без каких либо потерь. Нада копать глубже

[oleks1y]

Состав сервера: FreeBSD 7.0, файервол IPFILTER (настраивал по этой статье http://www.linuxcenter.ru/lib/articles/ ... eway.phtml), squid (который сейчас не используется). В конфиге IPFILTER (ipf.rules) открыт порт 1723 для VPN (pass in quick on em1 proto tcp from any to any port = 1723), где em1 внешняя сетевуха. Вроде все нормально... В том то и дело, что когда на клиенте отключаю виндовый брандмауер - все работает замечательно, как только вкоючаю, пинговые потери от 30 до 50%. Странно все это....

[folax]

а если так сделать >> .
Другого выхода я не вижу, може другие посоветуют. И почему вы боитесь выключать брандмауэр? Мне кажеться в винде он роли особой не играет

[oleks1y]

Делал так, не помогает))) Для меня отключить не проблема, но для некоторых клиентов это проблема)) Если другого выхода нет, то конечно буду отключать. Но объяснения этому найти не могу.... Мистика какая-то...

[ban]

наверное ты это делал
но если в исключения фаера добавить mstsc.exe

[oleks1y]

Не помогает((

[schizoid]

в настройках ВПНа в свойства - Сеть, отключить все галочки кроме TCP/IP пробовали?

[oleks1y]

Только что попробовал, результат не меняется...

[wel]

Состав сервера: FreeBSD 7.0, файервол IPFILTER (настраивал по этой статье http://www.linuxcenter.ru/lib/articles/ ... eway.phtml [ опубликовано 28/12/2006 ]), squid (который сейчас не используется). В конфиге IPFILTER (ipf.rules) открыт порт 1723 для VPN (pass in quick on em1 proto tcp from any to any port = 1723), где em1 внешняя сетевуха. Вроде все нормально... В том то и дело, что когда на клиенте отключаю виндовый брандмауер - все работает замечательно, как только вкоючаю, пинговые потери от 30 до 50%. Странно все это....

И вообще, абсолютно у всех виндовых клиентов, которые цепляются к моему серваку по VPN при включенном брендмауре выпадают пакеты.... Что-то не то в этом брендмауере, но что ума не приложу, я его изучил вдоль и поперек, но ничего не помагает. Только выключать нужно.

Попробуй сделать
1.отключи IPFILTER (allow all from any to any )
2.поставь тот же pf, заюзай его для ната, а IPFILTER вообще отключи
3.Попробуй просниферить:
tcpdump -vvv -n -i твой интерфейс host ip_человека_с_вкл_брендмауэром
tcpdump -vvv -n -i твой интерфейс host ip_человека_с_откл_брендмауэром
Ну и всекого рода:
netstat -w1 -d -I em0
и т.д.
4.Есть ли потери траффика?