Re: Problème de nat...

[FIX Jérôme <zapoyok@wanadoo.fr>]

Le Mercredi 5 Janvier 2005 14:58, sich a écrit :
> Bonjour,
>
> Je viens vers vous parce que j'ai un gros soucis que je n'arrive pas à
> résoudre (même pas à comprendre...).
>
> Alors voici mon soucis :
> J'ai une debian sarge sur un ibm netfinity 3500 avec deux disque SCSCI sur
> un raid 1 matériel. Noyau 2.6.8-1-686. Cette sarge a 3 cartes réseau. Une
> pour le modem ethernet, une autre pour un pc en dmz, et la dernière est
> rattachée à un proxy.
>
> Sur le routeur j'utilise shorewall (2.0.13) pour faire usage de pare feu
> et la nat. La nat fonctionne, le filtrage fonctionne tout le monde est
> heureux...
>
> Seulement voilà, pour faire mes tests je me suis mis directement en cable
> croisé derrière le routeur et certains sites web ne passent pas... Je veux
> dire par ne passe pas c'est que je n'ai pas la réponse lors de ma requêtte
> http. A savoir que j'accède à ces sites qui posent soucis via lynx sur le
> routeur lui même.
>
> J'ai fais divers test et la résolution dns fonctionne bien, les pings
> fonctionnent de partout (mon client peux pinger le routeur, le serveur web
> et l'on peut pinger le routeur de l'extérieur), si je fais un nmap -p 80
> depuis le client le port 80 est bien ouvert sur le site qui ne fonctionne
> pas et si je regarde les logs de shorewall ou même en tcpdump lors d'une
> tentative d'accès les accès se font bien, tout est accepté. Pour info
> j'accepte tout en sortie depuis mon client aussi bien vers le net que vers
> le routeur et le routeur peux également faire ce qu'il veux.
> Des sites comme http://fr.yahoo.com fonctionne parfaitement alors que
> http://www.telecharger.com ne fonctionne pas. Alors que comme dit les
> pings passent, les scans de port aussi.
> Pour levée de doute ce matin j'ai réinstallé intégralement le routeur avec
> une sarge net install du 30/O9/2004, j'ai refais ma config réseau, ma
> config de shorewall et le résultat est le même !
> Ha vi j'oublié je me connecte par modem ethernet en pppoe et à ce niveau
> là tout semble ok aussi.
>
> Donc voili, si vous avez la moindre piste à me proposer parce que là je ne
> sais pas comment pouvoir trouver une soluce...
>
> Merci d'avance aux âmes bienveillante sur cette liste :)
>
> sich

Bonjour,

J'ai eu le même problème il y a quelques temps ... J'ai longuement cherché ... 
mais je n'ai rien trouvé de probant.
Rien sur la configuration ne semblait avoir changé par rapport à  "quand ca 
marchait" ...

Au passage regardes si tu as dans les logs (au moment de la connexion) la 
phrase "Could not increase MTU to 1500" (ou quelquechose dans le genre).

Pour résoudre le problème j'ai du baisser le MTU à 1412 au lieu de 1492 ...
J'ai essayé dans le fichier /etc/ppp/peers/dsl-provider ... mais çà n'a rien 
changé.

Ma solution (il y a sans doute plus propre) :
1. Créez le fichier /etc/ppp/ip-up.d/99mtu
2. Mettre  dans ce fichier
#!/bin/sh
ifconfig ppp0 mtu 1412
3. Rendre exécutable
4. Relancer la connexion

A priori tous les scripts présents dans ce répertoire sonr exécutés à la 
connexion.

5. un /sbin/ifconfig ppp0 devrait indiquer que le MTU est à 1412
6. Vérifier (moi c'est le site de France Culture qui me servait de test)

En espérant que cela t'aide
Jérôme


PS : Au passage avec les mêmes clients (debian SID & testing), en utilisant 
une autre distribution comme routeur il n'y avait pas de souci.

PS2 : Le routeur qui posait problème était sous Debian SID.