https://www.opennet.ru/openforum/vsluhforumID1/93253.html Коллеги, помогите, уже мозг себе сломал.<br><br>Есть сервер FreeBSD 8.2, на нем поднят OpenVPN-сервер по tcp, к которому коннектились клиенты на W7 и WXP. Сервер подключен к инету через ADSL-модем.<br><br>Все замечательно работало до определенного момента, после которого канал VPN так же успешно поднимался, но программы через него не работали. Эмпирическим путем, а именно варьируя размер ICMP-пакетов командой ping определил, что нефрагментированные пакеты ходят отлично, а пакеты, требующие фрагментации, т.е. более 1472 байт не приходили обратно. <br><br>Вдумчивое чтение документации показало, что это наверняка проблема с MTU. Уменьшил MTU с двух сторон до 1400, потом до 1300. Картина та же - пакеты размером до MTU ходят отлично, все что больше - не приходит обратно (вполне возможно, что и не уходит). Пробовал играться с опцией mssfix - безрезультатно. <br><br>Обновил серверную часть - поставил последний из портов 2.2.2. Обновил клиентскую до 2.2.1. Не помогло.<br><br>Надеюсь и уповаю токмо на коллективный разум, который ткнет ме https://www.opennet.ru/openforum/vsluhforumID1/93253.html#8 Tue, 17 Apr 2012 01:02:57 GMT &gt;&gt; Попробуйте установить маленькое MTU (=&gt;576) для туннеля.<br>&gt;&gt; Сбрасывйте принудительно DF бит для пакетов, <br>&gt;&gt; которые направляются в туннель.<br>&gt; Установил MTU в 576 - картина та же.<br>&gt; Принудительно сбрасываю бит DF. Пакеты объемом ниже MTU проходят и возвращаются отлично, <br>&gt; пакеты более - естественно, не проходят.<br><br>Это значит, что в "определённый момент" или провайдер ( или ты сам себе) зарезал icmp-трафик.Попробуй отключить firewall, если не поможет - ругайся с провайдером.<br>Чудикам, которые icmp бездумно блокируют я бы яйца поотрывал.<br>http://www.netheaven.com/pmtu.html - теория по теме.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/93253.html#7 Sat, 14 Apr 2012 11:31:51 GMT &gt; Установил MTU в 576 - картина та же.<br>&gt; Принудительно сбрасываю бит DF. Пакеты объемом ниже MTU проходят и возвращаются отлично, <br>&gt; пакеты более - естественно, не проходят.<br><br>Посмотрите tcpdump на маршрутизаторе под FreeBSD, что пакеты большого размера, которые<br>направляются в туннель, действительно дефрагментируются маршрутизатором.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/93253.html#6 Fri, 13 Apr 2012 08:08:52 GMT <br>&gt; Попробуйте установить маленькое MTU (=&gt;576) для туннеля.<br>&gt; Сбрасывйте принудительно DF бит для пакетов, <br>&gt; которые направляются в туннель.<br><br>Установил MTU в 576 - картина та же.<br><br>Принудительно сбрасываю бит DF. Пакеты объемом ниже MTU проходят и возвращаются отлично, пакеты более - естественно, не проходят.<br> https://www.opennet.ru/openforum/vsluhforumID1/93253.html#5 Thu, 12 Apr 2012 12:44:45 GMT &gt;&gt; Переключитесь на UDP протокол.<br>&gt;&gt; Поставьте опции fragment и mssfix с обоих сторон.<br><br>Sorry , mssfix на одной стороне.<br><br>&gt; Спасибо, я это читал, но VPN по UDP мне не подходит из-за <br>&gt; того, что ряд клиентов сидит за прокси-серверами.<br><br>Попробуйте установить маленькое MTU (=&gt;576) для туннеля. <br>Сбрасывйте принудительно DF бит для пакетов,<br>которые направляются в туннель. <br><br> https://www.opennet.ru/openforum/vsluhforumID1/93253.html#4 Thu, 12 Apr 2012 06:53:22 GMT &gt;[оверквотинг удален]<br>&gt; MTU sizing issues.<br>&gt; Both --fragment and --mssfix are designed to work around cases where Path <br>&gt; MTU discovery is broken on the network path between OpenVPN peers. <br>&gt; The --mssfix option only makes sense when you are using the UDP <br>&gt; protocol for OpenVPN peer-to-peer communication, i.e. --proto udp.<br>&gt; The --fragment option only makes sense when you are using the UDP <br>&gt; protocol ( --proto udp ).<br>&gt; Переключитесь на UDP протокол.<br>&gt; Поставьте опции fragment и mssfix с обоих сторон.<br>&gt; mtu-test можно временно включить.<br><br>Спасибо, я это читал, но VPN по UDP мне не подходит из-за того, что ряд клиентов сидит за прокси-серверами.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/93253.html#3 Thu, 12 Apr 2012 06:52:17 GMT &gt; А что это за "определенный момент"? Что именно изменилось?<br><br>Неясно, на сервере ничего не менялось в тот момент вообще. Подозреваю, что провайдер что-то подкрутил.<br> https://www.opennet.ru/openforum/vsluhforumID1/93253.html#2 Wed, 11 Apr 2012 21:44:39 GMT &gt; Вдумчивое чтение документации показало, что это наверняка проблема с MTU. Уменьшил MTU <br>&gt; с двух сторон до 1400, потом до 1300. Картина та же <br>&gt; - пакеты размером до MTU ходят отлично, все что больше - <br>&gt; не приходит обратно (вполне возможно, что и не уходит). Пробовал играться <br>&gt; с опцией mssfix - безрезультатно.<br><br>Из manual:<br>It's best to use the --fragment and/or --mssfix options to deal with MTU sizing issues.<br><br>Both --fragment and --mssfix are designed to work around cases where Path MTU discovery is broken on the network path between OpenVPN peers.<br><br>The --mssfix option only makes sense when you are using the UDP protocol for OpenVPN peer-to-peer communication, i.e. --proto udp.<br><br>The --fragment option only makes sense when you are using the UDP protocol ( --proto udp ). <br><br>Переключитесь на UDP протокол.<br>Поставьте опции fragment и mssfix с обоих сторон.<br><br>mtu-test можно временно включить. <br><br> https://www.opennet.ru/openforum/vsluhforumID1/93253.html#1 Wed, 11 Apr 2012 21:12:39 GMT &gt; Коллеги, помогите, уже мозг себе сломал.<br>&gt; Все замечательно работало до определенного момента, после которого ...<br><br>А что это за "определенный момент"? Что именно изменилось?<br>