Иногда встречается ситуация, когда все настроено: сигнал есть, PID правильный, соединение устойчивое, пакеты уходят... Но ничего не работает. Статистика DVB-карты не отличается от 0.

Возможно на вашей системе стоит Firewall или не настроена маршрутизация. Уважаемый Stellarator написал разъяснение по этому вопросу.

Теория

Как всем должно быть известно - при пользовании односторонним сат-инетом в системе присутствует следующий парадокс (в общем случае, когда используется VPN, OpenVPN и т.п.): пакеты уходят с одного сетевого интерфейса (VPN), а возвращаются на другой (sat) - НО ДЛЯ IP АДРЕСА на VPN интерфейсе (это важно).

В нормальном режиме (если ничего, кроме RRAS не стоит) - винды хавают приходящие пакеты и прокидывают их стеку TCP/IP, которому, по большому счету фиолетово, с какого они упали интерфейса, лишь бы все сошлось (с какого адреса посылали - на тот ответы и пришли).

Сложности начинаются при установке firewall'ов. Подавляющее большинство расценивает такое положение вещей - как спуффинг (какая-то доля правды в этом есть, хотя, спуффинг это несколько другое (см. ниже)) и благополучно убивают входящие пакеты, не доставляя их до стека. Соответственно для большинства firewall'ов есть решения проблемы. Это или опции в настройках (как у Traffic Inspector), или ключики в реестре (как у ISA). После этого firewall'ы начинают пакеты пропускать.

Далее (читать внимательно): проблема усугубляется тем, что у серверов SpaceGate, не совсем все прозрачно с IP адресами (и маршрутами).

Практика

Когда вам высылают конфиги для OpenVPN, Globax'а и прочего, в которых указаны IP адреса серверов, к которым пойдут пакеты - ОБЯЗАТЕЛЬНО проверьте, С КАКОГО IP АДРЕСА ПАКЕТЫ ВОЗВРАЩАЮТСЯ!!! (NetMonitor'ом или чем там еще).

Очень часто в конфигах указывают один адрес, а пакеты приходят с другого (вот это как раз чистый спуффинг). Понятно, что это сделано не нарочно (я так понимаю, что на серверах не совсем тривиальная таблица маршрутизации). Но вот как факт - за адресами нужно следить.

Если даже firewall'ы такие пакеты начинают пропускать, то не все программы на них адекватно реагируют. Например GlobaX фиолетово (насколько я понимаю). А вот OpenVPN - вовсе нет. Он уже сам начинает отбрыкивать пакеты. Для него есть два решения - или указать в конфиге параметр float или прописать (в конфиге же) нормальный адрес сервера.

Текущие коллизии, которые известны мне (я на NSS6):

                   адрес из конфига      реальный адрес
VPN                195.69.160.6          62.68.95.6
Globax             195.69.160.4          62.68.95.4
Платный Globax     62.145.108.30         62.32.51.190

Проверьте, и измените на реальные, где совпадает.

Отрубание анализа на спуффинг

Traffic Inspector: в опциях

ISA2000

REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MspFltEx\Parameters]
"SpoofDetection"=dword:00000000

ISA2004

REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FwEng\Parameters]
"DisableSpoofDetection"=dword:00000001

WinRoute: без понятия, сто лет не ставил ...

Учитывайте, что остановка самого firewall'а НЕ ВСЕГДА останавливает анализ и отброс пакетов (могут оставаться включенными драйвера от них и прочее). ISA2004, например, переходит в LockDown режим (доступ только с локальной консоли) (драйвер продолжает работать).

Обсудить...

24-03-05
Денис Караваев (Stellarator)
Новосибирск

Комментарии? Поправки? Дополнения?  dvbnet@msk.gs.ru