私は、Windows 7〜10のお客様にVPNを提供するためにFreeBSD 10.3で動作するオープンソースファイアウォールであるPfSense 2.3.2を使用しています。私は200人のユーザーを対象にパイロットプロジェクトを進めています。
誰もがプロジェクトに満足していますが、イントラネット内の内部リソースにアクセスするのに問題はありませんが、一部の人はted.comなどの特定のインターネットサイトを開くことができないと不平を言っています。
何をすべきか?
答え1
私はパケット断片化の問題を疑ったが、実際にそれが問題でした。
システム - >詳細 - >ファイアウォールとNATで「IP非分割互換性」オプションを設定すると、サイトが開きます。
オプションメニューに記載されているように:
パケットをドロップするのではなく、間違ったDFビットをクリアします。これにより、DF(Not Fragmented)ビットが設定されたフラグメント化されたパケットを生成するホストと通信できます。 Linux NFSはこれを行うことが知られています。これにより、フィルタはそのパケットを破棄せず、代わりに断片化なしビットを破棄します。
後で関連リンクも見つかりました一部のウェブサイトにアクセスできません
9)[システム]> [詳細]、[ファイアウォール/ NAT]タブでパケットをドロップするのではなく、無効なDFビットクリアを選択します。
10)システム>詳細、ファイアウォール/ NATタブで、「ファイアウォールクリーンアップを無効にする」を選択します。