mangle:
chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1452
Tohle je fatálně špatně, to spíše víc serverů rozbije, než opraví. Chybí tam hodně podstatná maličkost:
chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1452 tcp-mss=1452-65535
Nikdy nesmíte zvětšit MSS než je nabízeno, můžete jen snižovat.
Dále, ten parametr je stejně naprd. Pokud je klient MS Windows a pozná, že protistrana je také Windows, tak na MSS nesené v TCP záhlaví se prdí a jede si dle svého. Pak pomůže už jen shazovat DF bit, pokud je nastaven, což umí ROS5, ale akorát by to člověk potřeboval dělat na straně PPPoE serveru, což obvykle nemůže. :-(