В чем причина частичной доступности сайтов?

Question

[Максим]

Всем добрый день.
Пытаюсь настроить PPPoE на Juniper SRX100
Все вроде бы хорошо, но часть сайтов из браузера не доступны. Например toster.ru speedtest.net
Думаю, что дело в mtu, позвонил уточнил какой mtu, но все равно не получатся его подобрать.
Может я где то промахнулся в конфиге?
Конфиг:

interfaces {
    fe-0/0/0 {
        unit 0 {                        
            encapsulation ppp-over-ether;
        }                               
    }                                   
    fe-0/0/3 {                          
        unit 0 {                        
            family inet {               
                address 192.168.3.1/24; 
            }                           
        }                               
    }                                   
    pp0 {                               
        unit 0 {                        
            ppp-options {               
                pap {                   
                    local-name ########;
                    local-password "#########"; ## SECRET-DATA
                    passive;            
                }                       
            }                           
            pppoe-options {             
                underlying-interface fe-0/0/0.0;
                idle-timeout 0;         
                auto-reconnect 10;      
                client;                 
            }                           
            family inet {               
                mtu 1450;               
                negotiate-address;      
            }                           
        }                               
    }                                   
}                                       
routing-options {                       
    static {                            
        route 0.0.0.0/0 next-hop pp0.0; 
    }                                   
}                              
security {                              
    nat {                               
        source {                        
            rule-set trust-to-untrust { 
                from zone trust;        
                to zone untrust;        
                rule source-nat-rule {  
                    match {             
                        source-address 0.0.0.0/0;
                    }                   
                    then {              
                        source-nat {    
                            interface;  
                        }               
                    }                   
                }                       
            }                           
        }                               
    }                                   
    policies {                          
        default-policy {                
            permit-all;                 
        }                               
    }                                   
   zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {             
                    all;
                }
            }
            interfaces {
                fe-0/0/3.0;
            }
        }
        security-zone untrust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                pp0.0;
            }
        }
    }
}

что касается

policies {
default-policy {
permit-all;
}

в тестовых целях ради =)
Спасибо.

Answer 1

[Alexander]

Проблема или c сертификатами или c MTU.
1. Кардинально. Уменьшаете MTU до 1000 tcp mss до 960, если помогло, то поднимаете до макс. значения при котором все работает.
2. Если не открываются только сайты https, смотрите системное время, сертификаты и т.д.

Comments

[Максим]

огромное спасибо)) дело было в mss