forum.opennet.ru - "Нестабильная работа tcp-приложений через VPN" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Нестабильная работа tcp-приложений через VPN"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Нестабильная работа tcp-приложений через VPN"
Сообщение от guantanomo (ok) on 19-Апр-07, 16:32
Есть две локальные сети соединенные с помощью Racoon и IPSec на FreeBSD. Канал работает стабильно, никогда не падает. Появилась необычная ошибка - при попытке установить соединение из одной локальной сети в другую(любым приложением, например MSTerminal или Http) происходит следущее: соединение устанавливается и через несколько секунд разрывается, при этом сам канал в это время не падает. Tcpdump показал что в какой-то момент пакеты из сети с сервером перестают проходить в сеть клиента. Ниже лог tcpdump последних нескольких пакетов со стороны сервера(192.168.0.190) и клиента(192.168.177.162) соответственно. Подскажите в какую сторону искать. Спасибо. 192.168.177.162.2034 > 192.168.0.190.3389: P 8231:8248(17) ack 4059 win 64666 (DF) 192.168.177.162.2034 > 192.168.0.190.3389: P 8248:8321(73) ack 4059 win 64666 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: . ack 8321 win 64310 (DF) 192.168.177.162.2034 > 192.168.0.190.3389: P 8321:8338(17) ack 4059 win 64666 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: . ack 8338 win 64293 (DF) 192.168.177.162.2034 > 192.168.0.190.3389: P 8338:8386(48) ack 4059 win 64666 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: . ack 8386 win 64245 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: . 4059:5519(1460) ack 8386 win 64245 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: . 4059:5519(1460) ack 8386 win 64245 (DF) 192.168.177.162.2034 > 192.168.0.190.3389: P 8386:8442(56) ack 4059 win 64666 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: R 3868688188:3868688188(0) win 0 ______________________________________________________________________________________ 192.168.177.162.2034 > 192.168.0.190.3389: P 8200:8231(31) ack 4059 win 64666 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: . ack 8231 win 64400 (DF) 192.168.177.162.2034 > 192.168.0.190.3389: P 8231:8248(17) ack 4059 win 64666 (DF) 192.168.177.162.2034 > 192.168.0.190.3389: P 8248:8321(73) ack 4059 win 64666 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: . ack 8321 win 64310 (DF) 192.168.177.162.2034 > 192.168.0.190.3389: P 8321:8338(17) ack 4059 win 64666 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: . ack 8338 win 64293 (DF) 192.168.177.162.2034 > 192.168.0.190.3389: P 8338:8386(48) ack 4059 win 64666 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: . ack 8386 win 64245 (DF) 192.168.177.162.2034 > 192.168.0.190.3389: P 8386:8442(56) ack 4059 win 64666 (DF) 192.168.0.190.3389 > 192.168.177.162.2034: R 3868688188:3868688188(0) win 0
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Нестабильная работа tcp-приложений через VPN, Sha, 13:15 , 22-Апр-07, (1)

Нестабильная работа tcp-приложений через VPN, guantanomo, 15:31 , 23-Апр-07, (2)

Нестабильная работа tcp-приложений через VPN, guantanomo, 16:29 , 23-Апр-07, (3)

Нестабильная работа tcp-приложений через VPN, perece, 14:59 , 24-Апр-07, (4)

Нестабильная работа tcp-приложений через VPN, guantanomo, 16:51 , 24-Апр-07, (5)

Сообщения по теме [Сортировка по времени, UBB]

1. "Нестабильная работа tcp-приложений через VPN"

Сообщение от Sha (??) on 22-Апр-07, 13:15

Hi !
Poprobuj ponizit' MTU na Windows Workstation do 1400 ....

>Есть две локальные сети соединенные с помощью Racoon и IPSec на FreeBSD.
>Канал работает стабильно, никогда не падает. Появилась необычная ошибка - при
>попытке установить соединение из одной локальной сети в другую(любым приложением, например
>MSTerminal или Http) происходит следущее: соединение устанавливается и через несколько секунд
>разрывается, при этом сам канал в это время не падает. Tcpdump
>показал что в какой-то момент пакеты из сети с сервером перестают
>проходить в сеть клиента. Ниже лог tcpdump последних нескольких пакетов со
>стороны сервера(192.168.0.190) и клиента(192.168.177.162) соответственно. Подскажите в какую сторону искать. Спасибо.
>
>
>192.168.177.162.2034 > 192.168.0.190.3389: P 8231:8248(17) ack 4059 win 64666 (DF)
>192.168.177.162.2034 > 192.168.0.190.3389: P 8248:8321(73) ack 4059 win 64666 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: . ack 8321 win 64310 (DF)
>192.168.177.162.2034 > 192.168.0.190.3389: P 8321:8338(17) ack 4059 win 64666 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: . ack 8338 win 64293 (DF)
>192.168.177.162.2034 > 192.168.0.190.3389: P 8338:8386(48) ack 4059 win 64666 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: . ack 8386 win 64245 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: . 4059:5519(1460) ack 8386 win 64245 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: . 4059:5519(1460) ack 8386 win 64245 (DF)
>192.168.177.162.2034 > 192.168.0.190.3389: P 8386:8442(56) ack 4059 win 64666 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: R 3868688188:3868688188(0) win 0
>______________________________________________________________________________________
>192.168.177.162.2034 > 192.168.0.190.3389: P 8200:8231(31) ack 4059 win 64666 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: . ack 8231 win 64400 (DF)
>192.168.177.162.2034 > 192.168.0.190.3389: P 8231:8248(17) ack 4059 win 64666 (DF)
>192.168.177.162.2034 > 192.168.0.190.3389: P 8248:8321(73) ack 4059 win 64666 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: . ack 8321 win 64310 (DF)
>192.168.177.162.2034 > 192.168.0.190.3389: P 8321:8338(17) ack 4059 win 64666 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: . ack 8338 win 64293 (DF)
>192.168.177.162.2034 > 192.168.0.190.3389: P 8338:8386(48) ack 4059 win 64666 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: . ack 8386 win 64245 (DF)
>192.168.177.162.2034 > 192.168.0.190.3389: P 8386:8442(56) ack 4059 win 64666 (DF)
>192.168.0.190.3389 > 192.168.177.162.2034: R 3868688188:3868688188(0) win 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Нестабильная работа tcp-приложений через VPN"

Сообщение от guantanomo (ok) on 23-Апр-07, 15:31

>Hi !
>
>Poprobuj ponizit' MTU na Windows Workstation do 1400 ....
>
Спасибо за совет.
Предварительно - дело действительно в этом, ping -l -f показал, что пролазят пакеты размером не более 1280-28 байт. То есть понижает MTU провайдер.
Только, во-первых серверная виндовая машина не под моим управлением, а во-вторых, насколько я знаю, racoon разбирает\собирает пакеты сам с MTU 1500 по умолчанию. Смотрю в его настройки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Нестабильная работа tcp-приложений через VPN"

Сообщение от guantanomo (ok) on 23-Апр-07, 16:29

>>Hi !
>>
>>Poprobuj ponizit' MTU na Windows Workstation do 1400 ....
>>не кидайте помидорами, только сейчас внимательно посмотрел, 1280 - это MTU интерфейса gif, через который и устанавливается соединение. В tcpdump вижу новые сообщения об ошибке, однозначно говорящие что не прлазят пакеты сбольшим размером фрейма:
192.168.0.190.3389 > 192.168.177.162.1227: . ack 3194 win 65372 (DF)
192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372 (DF)
192.168.0.66 > 192.168.0.190: icmp: 192.168.177.162 unreachable - need to frag (mtu 1280) (DF)
192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372 (DF)
192.168.0.66 > 192.168.0.190: icmp: 192.168.177.162 unreachable - need to frag (mtu 1280) (DF)
arp who-has 192.168.0.205 tell 192.168.0.190
192.168.177.162.1227 > 192.168.0.190.3389: P 3194:3250(56) ack 3930 win 65340 (DF)
192.168.0.190.3389 > 192.168.177.162.1227: R 136933590:136933590(0) win 0
192.168.177.162.1227 > 192.168.0.190.3389: P 3250:3306(56) ack 3930 win 65340 (DF)
192.168.0.190.3389 > 192.168.177.162.1227: R 136933590:136933590(0) win 0
насколько я понимаю, пакеты должны фрагментироваться, но этого не происходит?
Подумал бы на некорректную работу racoon, но аналогичный сервер в подсети 192.168.0.66/24 без проблем работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Нестабильная работа tcp-приложений через VPN"

Сообщение от perece on 24-Апр-07, 14:59

>192.168.0.190.3389 > 192.168.177.162.1227: . ack 3194 win 65372 (DF)
>192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372 (DF)
>192.168.0.66 > 192.168.0.190: icmp: 192.168.177.162 unreachable - need to frag (mtu 1280) (DF)
>насколько я понимаю, пакеты должны фрагментироваться, но этого не происходит?
ну да. с разбегу должны. с флажком-то (DF) (Don't Fragment, если кто не в курсе)
странно другое. обычно такие траблы бывают если ICMP Frag Needed режется по дороге. однако здесь я наблюдаю вернувшийся нид фраг. после этого по идее должен идти либо повтор
>192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372
(без флажка DF), либо пакет меньшего размера (92.168.0.66 говорит "больше 1280 через меня не пролезет") - это в случае использования PMTU-D на 192.168.0.190. судя по всему на ней (.190) PMTU-D включен и работает криво. можно попробовать выключить.
>Подумал бы на некорректную работу racoon, но аналогичный сервер в подсети 192.168.0.66/24
>без проблем работает.
не, тут имхо стэк tcp/ip операционки косячит.
\^P^/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Нестабильная работа tcp-приложений через VPN"

Сообщение от guantanomo (??) on 24-Апр-07, 16:51

>ну да. с разбегу должны. с флажком-то (DF) (Don't Fragment, если кто
>не в курсе)
>странно другое. обычно такие траблы бывают если ICMP Frag Needed режется по
>дороге. однако здесь я наблюдаю вернувшийся нид фраг. после этого по
>идее должен идти либо повтор
>>192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372
>(без флажка DF), либо пакет меньшего размера (92.168.0.66 говорит "больше 1280 через
>меня не пролезет") - это в случае использования PMTU-D на 192.168.0.190.
>судя по всему на ней (.190) PMTU-D включен и работает криво.
>можно попробовать выключить.
>
>>Подумал бы на некорректную работу racoon, но аналогичный сервер в подсети 192.168.0.66/24
>>без проблем работает.
>не, тут имхо стэк tcp/ip операционки косячит.
>
>\^P^/
Спасибо за подсказки, проблема решена.В принципе направление было указанно верное, действительно неправильно работал стек tcp\ip на сервере, просто человек им управляющий не шел на сотрудничество, не признавал наличие проблемы на своём сервере. thanks to all

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Нестабильная работа tcp-приложений через VPN"
Сообщение от Sha (??) on 22-Апр-07, 13:15
Hi ! Poprobuj ponizit' MTU na Windows Workstation do 1400 .... >Есть две локальные сети соединенные с помощью Racoon и IPSec на FreeBSD. >Канал работает стабильно, никогда не падает. Появилась необычная ошибка - при >попытке установить соединение из одной локальной сети в другую(любым приложением, например >MSTerminal или Http) происходит следущее: соединение устанавливается и через несколько секунд >разрывается, при этом сам канал в это время не падает. Tcpdump >показал что в какой-то момент пакеты из сети с сервером перестают >проходить в сеть клиента. Ниже лог tcpdump последних нескольких пакетов со >стороны сервера(192.168.0.190) и клиента(192.168.177.162) соответственно. Подскажите в какую сторону искать. Спасибо. > > >192.168.177.162.2034 > 192.168.0.190.3389: P 8231:8248(17) ack 4059 win 64666 (DF) >192.168.177.162.2034 > 192.168.0.190.3389: P 8248:8321(73) ack 4059 win 64666 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: . ack 8321 win 64310 (DF) >192.168.177.162.2034 > 192.168.0.190.3389: P 8321:8338(17) ack 4059 win 64666 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: . ack 8338 win 64293 (DF) >192.168.177.162.2034 > 192.168.0.190.3389: P 8338:8386(48) ack 4059 win 64666 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: . ack 8386 win 64245 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: . 4059:5519(1460) ack 8386 win 64245 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: . 4059:5519(1460) ack 8386 win 64245 (DF) >192.168.177.162.2034 > 192.168.0.190.3389: P 8386:8442(56) ack 4059 win 64666 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: R 3868688188:3868688188(0) win 0 >______________________________________________________________________________________ >192.168.177.162.2034 > 192.168.0.190.3389: P 8200:8231(31) ack 4059 win 64666 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: . ack 8231 win 64400 (DF) >192.168.177.162.2034 > 192.168.0.190.3389: P 8231:8248(17) ack 4059 win 64666 (DF) >192.168.177.162.2034 > 192.168.0.190.3389: P 8248:8321(73) ack 4059 win 64666 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: . ack 8321 win 64310 (DF) >192.168.177.162.2034 > 192.168.0.190.3389: P 8321:8338(17) ack 4059 win 64666 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: . ack 8338 win 64293 (DF) >192.168.177.162.2034 > 192.168.0.190.3389: P 8338:8386(48) ack 4059 win 64666 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: . ack 8386 win 64245 (DF) >192.168.177.162.2034 > 192.168.0.190.3389: P 8386:8442(56) ack 4059 win 64666 (DF) >192.168.0.190.3389 > 192.168.177.162.2034: R 3868688188:3868688188(0) win 0
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Нестабильная работа tcp-приложений через VPN"
	Сообщение от guantanomo (ok) on 23-Апр-07, 15:31
	>Hi ! > >Poprobuj ponizit' MTU na Windows Workstation do 1400 .... > Спасибо за совет. Предварительно - дело действительно в этом, ping -l -f показал, что пролазят пакеты размером не более 1280-28 байт. То есть понижает MTU провайдер. Только, во-первых серверная виндовая машина не под моим управлением, а во-вторых, насколько я знаю, racoon разбирает\собирает пакеты сам с MTU 1500 по умолчанию. Смотрю в его настройки.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Нестабильная работа tcp-приложений через VPN"
	Сообщение от guantanomo (ok) on 23-Апр-07, 16:29
	>>Hi ! >> >>Poprobuj ponizit' MTU na Windows Workstation do 1400 .... >>не кидайте помидорами, только сейчас внимательно посмотрел, 1280 - это MTU интерфейса gif, через который и устанавливается соединение. В tcpdump вижу новые сообщения об ошибке, однозначно говорящие что не прлазят пакеты сбольшим размером фрейма: 192.168.0.190.3389 > 192.168.177.162.1227: . ack 3194 win 65372 (DF) 192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372 (DF) 192.168.0.66 > 192.168.0.190: icmp: 192.168.177.162 unreachable - need to frag (mtu 1280) (DF) 192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372 (DF) 192.168.0.66 > 192.168.0.190: icmp: 192.168.177.162 unreachable - need to frag (mtu 1280) (DF) arp who-has 192.168.0.205 tell 192.168.0.190 192.168.177.162.1227 > 192.168.0.190.3389: P 3194:3250(56) ack 3930 win 65340 (DF) 192.168.0.190.3389 > 192.168.177.162.1227: R 136933590:136933590(0) win 0 192.168.177.162.1227 > 192.168.0.190.3389: P 3250:3306(56) ack 3930 win 65340 (DF) 192.168.0.190.3389 > 192.168.177.162.1227: R 136933590:136933590(0) win 0 насколько я понимаю, пакеты должны фрагментироваться, но этого не происходит? Подумал бы на некорректную работу racoon, но аналогичный сервер в подсети 192.168.0.66/24 без проблем работает.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Нестабильная работа tcp-приложений через VPN"
	Сообщение от perece on 24-Апр-07, 14:59
	>192.168.0.190.3389 > 192.168.177.162.1227: . ack 3194 win 65372 (DF) >192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372 (DF) >192.168.0.66 > 192.168.0.190: icmp: 192.168.177.162 unreachable - need to frag (mtu 1280) (DF) >насколько я понимаю, пакеты должны фрагментироваться, но этого не происходит? ну да. с разбегу должны. с флажком-то (DF) (Don't Fragment, если кто не в курсе) странно другое. обычно такие траблы бывают если ICMP Frag Needed режется по дороге. однако здесь я наблюдаю вернувшийся нид фраг. после этого по идее должен идти либо повтор >192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372 (без флажка DF), либо пакет меньшего размера (92.168.0.66 говорит "больше 1280 через меня не пролезет") - это в случае использования PMTU-D на 192.168.0.190. судя по всему на ней (.190) PMTU-D включен и работает криво. можно попробовать выключить. >Подумал бы на некорректную работу racoon, но аналогичный сервер в подсети 192.168.0.66/24 >без проблем работает. не, тут имхо стэк tcp/ip операционки косячит. \^P^/
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Нестабильная работа tcp-приложений через VPN"
	Сообщение от guantanomo (??) on 24-Апр-07, 16:51
	>ну да. с разбегу должны. с флажком-то (DF) (Don't Fragment, если кто >не в курсе) >странно другое. обычно такие траблы бывают если ICMP Frag Needed режется по >дороге. однако здесь я наблюдаю вернувшийся нид фраг. после этого по >идее должен идти либо повтор >>192.168.0.190.3389 > 192.168.177.162.1227: P 3930:5390(1460) ack 3194 win 65372 >(без флажка DF), либо пакет меньшего размера (92.168.0.66 говорит "больше 1280 через >меня не пролезет") - это в случае использования PMTU-D на 192.168.0.190. >судя по всему на ней (.190) PMTU-D включен и работает криво. >можно попробовать выключить. > >>Подумал бы на некорректную работу racoon, но аналогичный сервер в подсети 192.168.0.66/24 >>без проблем работает. >не, тут имхо стэк tcp/ip операционки косячит. > >\^P^/ Спасибо за подсказки, проблема решена.В принципе направление было указанно верное, действительно неправильно работал стек tcp\ip на сервере, просто человек им управляющий не шел на сотрудничество, не признавал наличие проблемы на своём сервере. thanks to all
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]