Así que tengo un misterio de red que me ha perseguido durante los últimos años. Con suerte, hay un gurú de redes aquí en Reddit que pueda decirme cómo lo hacen los grandes. Soy el único administrador de sistemas/redes, para una pequeña empresa con oficinas en EE.UU. y China. He configurado varios servidores VPN PPTP para dar acceso a usuarios chinos a Internet en EE.UU. y también a nuestra intranet local.
He pasado de RHEL 2.0 a Ubuntu Server 10.4, hasta finalmente a un Amazon EC2 Ubuntu 12.4 y todos sufren el mismo fallo. Muchos sitios como lifehacker y gizmodo no se cargan cuando estoy conectado a mi VPN. Sin embargo, cuando probé, el servicio de StrongVPN pude navegar por estos sitios problemáticos.
¿Cómo puedo depurar este problema? ¿Alguien puede montar su propio servidor EC2 PPTP para probar esto en unos 5 minutos siguiendo las instrucciones en: http://www.yanxinxue.com/blog/?p=10359
PD, esto no parece ser un problema de MTU. El problema de MTU puede resolverse ya sea editando el archivo /etc/ppp/ip-up y añadiendo la línea:
/sbin/ifconfig $1 mtu 1400
O editando /etc/rc.local y añadiendo:
iptables -A FORWARD -p tcp --syn -s 192.168.0.0/24 -j TCPMSS --set-mss 1356
He probado todas las sugerencias que encuentro en la web. También activé un registro detallado y revisé los archivos de registro de PPTP, todo sin éxito. Pero debe haber una solución. ¿Qué hacen los grandes proveedores de VPN?
Además, pagar por uno de estos grandes proveedores de VPN no es ideal, ya que quiero dar a los usuarios un túnel dividido para nuestra intranet y para Internet en EE.UU. al mismo tiempo.
La solución para esto es igual que casi todos los problemas de redes: Capturar el tráfico en el cliente y en el servidor y analizar para ver dónde se están cayendo los paquetes.
Entonces, el problema es que cuando sitios satélite usan VPN para conectarse a la oficina principal no pueden conectarse completamente a los sitios web, pero cuando se conectan a StrongVPN está bien? Si ese es el caso, cambia el túnel dividido a túnel completo y observa si notas alguna diferencia.
¿Tienes un servidor websense en la cabecera o estás enrutando null alguna subred en Internet? Los grandes sitios usan CDN para cachear tráfico y he visto que el archivo CSS se cae debido al bloqueo accidental de subredes CDN.
La red no es mi especialidad, pero podría intentar configurar una traza de red. Una vez tuve una traza exitosa del servidor y una traza fallida del cliente PPTP, no estoy seguro de cómo usar esos datos para configurar PPP o iptables.
Gracias por la respuesta. Probé directamente en el servidor basado en EC2 con enlaces y pude navegar por sitios problemáticos como io9 y lifehacker sin problema. Así que el rango de direcciones de EC2 no es el problema aquí.
Actualmente, el servidor EC2 es solo para pruebas. El servidor PPTP de producción está en nuestro colo. Y ambos servidores tienen este problema.
Correcto. Mi servidor de prueba actual (EC2) es un PPTP de túnel completo y el servidor de producción puede configurarse para túnel completo y dividido. En los 3 casos, los sitios web problemáticos no cargan. Cuando me conecto a través del servidor PPTP de StrongVPN, puedo navegar por estos sitios.
Como mencioné en mi publicación, he probado dos soluciones de MTU. Con el archivo /etc/ppp/ip-up, he probado con tan solo 1000. Puedo verificar la corrección haciendo un ifconfig en el servidor. Se verá así:
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.235 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1000
El truco de iptables no cambia el tamaño de MTU reportado, pero ambos permiten que ciertos sitios como digg carguen cuando antes no lo hacían.
Algunos administradores de firewalls bloquean paquetes ICMP específicos con esta información.
Estoy teniendo este problema en mi entorno. Los firenazis permiten ICMP Echo pero bloquean todo lo demás. Si no puedo obtener los Destination Unreachables de vuelta a mis dispositivos, la detección de MTU de ruta falla y el efecto neto es que los paquetes se dejan caer silenciosamente en el destino.
Por supuesto, he estado esperando una semana por una respuesta sobre cuál es exactamente su política respecto a ICMP. Supongo que eso es porque saben que en cuanto la proporcionen, voy a desafiarla y no quieren lidiar con el problema.
Absolutamente, lo he probado muchas veces. He estado lidiando con este problema desde 2008, de forma intermitente. Tengo una conexión VPN configurada en mi portátil y escritorio.
Los sitios problemáticos como io9 no funcionan en EE.UU. ni en China. Sé que PPTP está roto y planeo cambiar a OpenVPN. Por lo que he leído, también sufre del mismo problema.
Este tipo tuvo exactamente el mismo problema que yo con OpenVPN. Nunca logró que funcionara:
Un paso a la vez… realiza las capturas, luego compara las dos y ve dónde van mal las cosas. En ese momento sabrás exactamente dónde está el problema y podrás idear una solución.
Es difícil encontrar una solución sin primero saber dónde está el problema. Puedes hacer conjeturas, pero es mucho más fácil echarle un vistazo detallado.