Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Vadim Guchenko                       2:5020/400     24 Nov 2004  23:40:18
 To : Denis Morozov
 Subject : Re: MPD PPPoE Trouble
 -------------------------------------------------------------------------------- 
 
 Hello, Denis!
 You wrote to Gleb Smirnoff on Wed, 24 Nov 2004 21:24:09 +0300:
 
  GS>> Вот этот самый "unreacheble - need to frag" доходит до клиента?
  DM> По видимому нет. Hо в pезультате ковыpяния, было утсановлено, что
  DM> соединение ноpмально устанавливаетя и клиент ноpмально ходят в инет,
  DM> если выpубить нафиг шифpование (set cpp no mpp-e40 и так далее) и
  DM> pазpешить в свойствах подключения у клиента (а у них winxp)
  DM> подключаться без шифpования. Hо, извините, а в чем тогда остается
  DM> смысл vpn?? Пpи таком pаскладе, mtu вообще может быть любым, всё
  DM> pаботает. Полез смотpеть в инет, нашел, достаточно много
  DM> высказываний в фоpумах, об этом же ваpианте pешения.. Hо всё таки
  DM> как заставить его коppектно pаботать с шифpованием?
 
 Включен ли параметр tcpmssfix в mpd? Опиши более подробно топологию сети с
 указанием версий операционных систем и MTU на интерфейсах с обоих сторон.
 Тогда можно будет точно сказать, что сделать, если сам не разберешься к тому
 моменту. С шифрованием все должно работать. Шифрование поставь mppe-128 bit
 stateless. А у клиентов XP настройки VPN могут быть по умолчанию. Просто
 вариантов настройки MTU так много, что конкретный и единственно правильный
 совет дать трудно. Возможно тебе поможет следующая информация.
 
 Общий принцип настройки MTU в сети такой: на интерфейсах, смотрящих в
 сторону инета, нужно понижать MTU, чтобы из твоей сети любые пакеты выходили
 маленькими, способными пройти через любой туннель в инете. А MTU на всех
 интерфейсах, смотрящих в обратную сторону (к клиентам) нужно ставить на
 максимум, чтобы даже самые большие пакеты, пришедшие из инета, доходили до
 твоих клиентов. Hо тут есть один момент. Если MTU на смотрящих в инет
 интерфейсах ставится меньше 1500, в особенности на граничном маршрутизаторе,
 то нужно позаботиться, чтобы ICMP нормально работал по крайней мере в твоей
 сети. Чтобы если придет от какого-то клиента по направлению в инет пакет
 размером 1500 байт, клиент получил бы ICMP сообщение о необходимости
 фрагментации. А это не всегда возможно, если, например, клиент - это целая
 сеть за шлюзом с натом, внутри которой клиенты соединены езернетом с
 MTU=1500.
 
 Из описанного следует правило настройки MTU в сети:
 1. Hа всех серверах MTU на интерфейсах, смотрящих в обратную сторону от
 инета, должно быть 1500. Это же касается и VPN-серверов. Вот в этом смысле
 мне не нравится mpd, т.к. он не имеет (надеюсь, пока) возможности задрать
 MTU до 1500 на всех линках. А вот poptop имеет. Впрочем в mpd есть параметр
 tcpmssfix, который занижает MSS во всех TCP пакетах так, чтобы пакеты в
 результате проходили через MTU интерфейса. И на практике жалоб, что что-то
 не открывается в инете, не было.
 2. Если сервер является шлюзом в инет для других серверов и рабочих станций,
 среди которых возможны подсети на езернете с MTU 1500, то на таком сервере
 MTU на интерфейсе, смотрящем в сторону инета, должно быть 1500. При этом
 алгоритм PMTUD на сервере нужно отключить. Иначе возможны случаи, когда с
 этого сервера в инет будут уходить пакеты размером 1500 байт и флагом DF. А
 такие пакеты могут пройти не везде.
 3. Если сервер не является шлюзом в инет ни для кого, либо это конечный
 клиент, то MTU на интерфейсе, смотрящем в сторону инета, можно опустить до
 1460. И алгоритм PMTUD все равно отключить. Тем самым исходящие пакеты в
 любом случае выйдут в инет без флага DF. Однако если MTU будет низким, то и
 фрагментироваться они будут только в самых узких местах.
 
 Можно по-другому делать. Занизить на сервере mpd для всех клиентов MTU до
 1400 к примеру и включить tcpmssfix. Тогда MTU клиентов и включенность PMTUD
 на них уже не должны играть роли, т.к. MSS у всех TCP соединений, проходящих
 через mpd, должно быть 1360. Еще можно на граничном маршрутизаторе поставить
 tcpmssd и пропускать через него весь TCP трафик из инета и в инет, уменьшая
 его MSS до нужного значения.
 
 Вообще надо уже статью нормальную написать по настройке MTU.
 With best regards, Vadim Guchenko.  E-mail: s0lver@kraslan.ru
 
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: MPD PPPoE Trouble   Vadim Guchenko   24 Nov 2004 23:40:18 
 Re: MPD PPPoE Trouble   Denis Morozov   25 Nov 2004 12:07:46 
Архивное /ru.unix.bsd/7394ef9fd353.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional