The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Проблема с MTU в IPSEC"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Проблема с MTU в IPSEC" 
Сообщение от Sargan Saor emailИскать по авторуВ закладки on 07-Июн-05, 13:14  (MSK)
Существует следующее соединение.

LAN <-> Linux_1(ipsec) <-> Internet <-> Linux_2 (ipsec) <-> LAN

Как можно понять работает все это дело через ipsec туннель, причем Linux_2 главный офис- Linux_1 - филиал

Так вот в связи "не знаю с чем" у провайдера Linux_1  пакеты больше 1410 не проходят.  Поэтому при внешней работоспособности ( пинги с дефолтными размерами ходят) такие сервисы как http и citrix не функционируют.
Пробовали выставлять на Linux_2 MTU 1410 - все хорошо у Linux_1, но начиаются проблемы в локалке у Linux_2

Каким образом сделать всех счастливыми?
Смена провайдера принемается как крайняя мера;)

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Проблема с MTU в IPSEC" 
Сообщение от Dig Искать по авторуВ закладки on 07-Июн-05, 14:01  (MSK)
А в локалке я так понял win машины ?
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Проблема с MTU в IPSEC" 
Сообщение от Sargan Saor emailИскать по авторуВ закладки on 07-Июн-05, 14:05  (MSK)
>А в локалке я так понял win машины ?

Да. И еще win сервер приложений.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Проблема с MTU в IPSEC" 
Сообщение от Dig Искать по авторуВ закладки on 07-Июн-05, 14:06  (MSK)
проблема может быть в том что с локалки идут пакеты с выставленым флагом Don't Fragment они доходят до linux маршрутизатора и дропаются (так как выставлен флаг и mtu меньше необходимого). Попробуй очищать флаг iptables'ом
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Проблема с MTU в IPSEC" 
Сообщение от Sargan Saor emailИскать по авторуВ закладки on 07-Июн-05, 14:11  (MSK)
>проблема может быть в том что с локалки идут пакеты с выставленым
>флагом Don't Fragment они доходят до linux маршрутизатора и дропаются (так
>как выставлен флаг и mtu меньше необходимого). Попробуй очищать флаг iptables'ом
>

как очистить? Пока пытюсь играть с параметром --set-mss но че то не хочет.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Проблема с MTU в IPSEC" 
Сообщение от Dig Искать по авторуВ закладки on 07-Июн-05, 14:11  (MSK)
Попробуй такой вариант:
1. на linux1 и linux2 на внешних интерфейсах выставь mtu 1410
2. пропишы правило:
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

PS: может прокатит

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Проблема с MTU в IPSEC" 
Сообщение от Sargan Saor emailИскать по авторуВ закладки on 07-Июн-05, 14:15  (MSK)
>Попробуй такой вариант:
>1. на linux1 и linux2 на внешних интерфейсах выставь mtu 1410

Выставлять всем 1410 нельзя... проблемы начинаются... поэтому и пытаюсь выделить только один филиал.

>2. пропишы правило:
> iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j
>TCPMSS --clamp-mss-to-pmtu
>

Если мту выставиьт статически меньше нежелатьельно, то это правило в таком виде не покатит.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Проблема с MTU в IPSEC" 
Сообщение от jonatan Искать по авторуВ закладки(??) on 07-Июн-05, 15:25  (MSK)
Попробуйте
http://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=show_thread&omm=22&om=56798&forum=vsluhforumID1
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Проблема с MTU в IPSEC" 
Сообщение от Fedro Искать по авторуВ закладки on 08-Июн-05, 16:25  (MSK)
>Попробуй такой вариант:
>1. на linux1 и linux2 на внешних интерфейсах выставь mtu 1410
>2. пропишы правило:
> iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j
>TCPMSS --clamp-mss-to-pmtu
>
>PS: может прокатит

Вот спасибо айболит!
У нас была та же проблема и мы ее вашими молитвами решили :)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру