URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 57146
[ Назад ]

Исходное сообщение
"Проблема с MTU в IPSEC"
Отправлено Sargan Saor , 07-Июн-05 13:14

Существует следующее соединение.
LAN <-> Linux_1(ipsec) <-> Internet <-> Linux_2 (ipsec) <-> LAN
Как можно понять работает все это дело через ipsec туннель, причем Linux_2 главный офис- Linux_1 - филиал
Так вот в связи "не знаю с чем" у провайдера Linux_1 пакеты больше 1410 не проходят. Поэтому при внешней работоспособности ( пинги с дефолтными размерами ходят) такие сервисы как http и citrix не функционируют.
Пробовали выставлять на Linux_2 MTU 1410 - все хорошо у Linux_1, но начиаются проблемы в локалке у Linux_2
Каким образом сделать всех счастливыми?
Смена провайдера принемается как крайняя мера;)

Содержание

Проблема с MTU в IPSEC,Dig, 14:01 , 07-Июн-05
- Проблема с MTU в IPSEC,Sargan Saor, 14:05 , 07-Июн-05
Проблема с MTU в IPSEC,Dig, 14:06 , 07-Июн-05
- Проблема с MTU в IPSEC,Sargan Saor, 14:11 , 07-Июн-05
- Проблема с MTU в IPSEC,Dig, 14:11 , 07-Июн-05
  - Проблема с MTU в IPSEC,Sargan Saor, 14:15 , 07-Июн-05
    - Проблема с MTU в IPSEC,jonatan, 15:25 , 07-Июн-05
  - Проблема с MTU в IPSEC,Fedro, 16:25 , 08-Июн-05

Сообщения в этом обсуждении

"Проблема с MTU в IPSEC"
Отправлено Dig , 07-Июн-05 14:01

А в локалке я так понял win машины ?

"Проблема с MTU в IPSEC"
Отправлено Sargan Saor , 07-Июн-05 14:05

>А в локалке я так понял win машины ?
Да. И еще win сервер приложений.

"Проблема с MTU в IPSEC"
Отправлено Dig , 07-Июн-05 14:06

проблема может быть в том что с локалки идут пакеты с выставленым флагом Don't Fragment они доходят до linux маршрутизатора и дропаются (так как выставлен флаг и mtu меньше необходимого). Попробуй очищать флаг iptables'ом

"Проблема с MTU в IPSEC"
Отправлено Sargan Saor , 07-Июн-05 14:11

>проблема может быть в том что с локалки идут пакеты с выставленым
>флагом Don't Fragment они доходят до linux маршрутизатора и дропаются (так
>как выставлен флаг и mtu меньше необходимого). Попробуй очищать флаг iptables'ом
>
как очистить? Пока пытюсь играть с параметром --set-mss но че то не хочет.

"Проблема с MTU в IPSEC"
Отправлено Dig , 07-Июн-05 14:11

Попробуй такой вариант:
1. на linux1 и linux2 на внешних интерфейсах выставь mtu 1410
2. пропишы правило:
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
PS: может прокатит

"Проблема с MTU в IPSEC"
Отправлено Sargan Saor , 07-Июн-05 14:15

>Попробуй такой вариант:
>1. на linux1 и linux2 на внешних интерфейсах выставь mtu 1410
Выставлять всем 1410 нельзя... проблемы начинаются... поэтому и пытаюсь выделить только один филиал.
>2. пропишы правило:
> iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j
>TCPMSS --clamp-mss-to-pmtu
>
Если мту выставиьт статически меньше нежелатьельно, то это правило в таком виде не покатит.

"Проблема с MTU в IPSEC"
Отправлено jonatan , 07-Июн-05 15:25

Попробуйте
http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=sh...

"Проблема с MTU в IPSEC"
Отправлено Fedro , 08-Июн-05 16:25

>Попробуй такой вариант:
>1. на linux1 и linux2 на внешних интерфейсах выставь mtu 1410
>2. пропишы правило:
> iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j
>TCPMSS --clamp-mss-to-pmtu
>
>PS: может прокатит
Вот спасибо айболит!
У нас была та же проблема и мы ее вашими молитвами решили :)