Не грузятся сайты с локальных серверов

Question

[whatfor]

Здравствуйте!

Столкнулся с непонятной ситуацией.
Имеются два офиса соединенных между собою с использованием VPN (IPSec): 192.168.1.0/24 и 192.168.2.0/24 подсети, работают так уже почти 3 года.
И 2 веб-сервера расположенных в первом офисе 192.168.1.0/24
Сегодня во втором офисе перестали открываться сайты расположенные на серверах при указании локального адреса сервера/сайта вида 192.168.1.XXX (обращение всегда по IP адресу, доменные имена не используются). Если подключаться через внешний белый IP адрес, выданный провайдером (перенаправление работает), то все отлично! В первом офисе при любой адресации все сайты работают.

Еще интересную вещь выявил, что не грузятся те сайты, где есть в html разметке тег <link rel="stylesheet" href="styles.css"> или подобный. Т.е. страницы типа <h1>Hello world!</h1> грузятся без проблем, значит 80-й порт не заблокирован ни на каком промежутке. А как только имеется вложение стилей или иконки или скрипты, то перестают грузиться. Explorer 6 просто крутит до бесконечности, как и Firefox — "Ожидание ответа от ip-адрес-сервера", а Chrome примерно через минуту пишет "Веб-страница недоступна" (ERR_CONNECTION_RESET). Проверял с нескольких машин.

Повторяюсь, при переходе на эти же сайты с этих же машин через внешний IP все грузится отлично!

VPN между офисами обеспечивают серверы на базе Endian Community Firewall. Перезагружал и шлюзы и веб-серверы.

Подскажите куда копать, как проверить почему стопится загрузка, что мешает?

Answer 1

[whatfor]

В общем похоже на черную дыру (PMTUD Blackhole).
Провайдеру вопрос задал, жду ответа.

Запускал утилиту SG TCP Optimizers, сначала она писала:
The largest possible non-fragmented packet is 1391 (1419 - 28 ICMP & IP headers).
You can set your MTU to 1419,
а через некоторое время:
The largest possible non-fragmented packet is 1464 (1492 - 28 ICMP & IP headers).
You can set your MTU to 1492

Временно решил проблему (вычитал здесь) командой на шлюзе:
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1492
service iptables restart
Вначале указал размер 1360, затем попробовал 1492 — работает.

Answer 2

[larrabee]

Может проблема в MTU? Попробуйте попинговать большими пакетами и запрещенной фрагментацией пакетов.

Comments

[whatfor]

Пинг проходит в обоих случаях, если в вашем комментарии вместо И поставить ИЛИ ); работают:
ping -l 1472 192.168.1.xxx
ping -l 1500 192.168.1.xxx
или
ping -f 192.168.1.xxx
Но ping -l 1472 -f 192.168.1.xxx выдает "Требуется фрагментация пакета, но установлен запрещающий флаг".

[whatfor]

Так, а вот ping -l 1453 -f 192.168.1.xxx проходит.
Такой отчет утилиты SG TCP Optimizers:
Pinging [192.168.1.xxx] with 40 bytes ->bytes=40 time=29ms TTL=62
Pinging [192.168.1.xxx] with 750 bytes ->bytes=750 time=16ms TTL=62
Pinging [192.168.1.xxx] with 1125 bytes ->bytes=1125 time=17ms TTL=62
Pinging [192.168.1.xxx] with 1312 bytes ->bytes=1312 time=17ms TTL=62
Pinging [192.168.1.xxx] with 1406 bytes ->bytes=1406 time=17ms TTL=62
Pinging [192.168.1.xxx] with 1453 bytes ->bytes=1453 time=17ms TTL=62
Pinging [192.168.1.xxx] with 1476 bytes -> ..fragmented
Pinging [192.168.1.xxx] with 1465 bytes ->IcmpSendEcho(): 0