Problem s VPN tunely - zrejme fragmentace
Dan Lukes
dan at obluda.cz
Sat Nov 14 20:19:41 CET 2009
Radek Krejca napsal/wrote, On 11/14/09 17:56:
> DL> Jen na okraj - zrovna tenhle problem je celkem snadno
> DL> diagnostikovatelny. To se pusti tcpdump, nejprve na vstupnim interface,
> DL> pak n atunelovem interface a pak na vychozim interface a clovek hned vi
> DL> kudy paket sel pripadne nesel.
>
> To jsem zkoumal, nicmene je pravda, ze ne dostatecne. Takze jelikoz
> prave nemam pristup k pc, kde mam nainstalovany inkriminovany vpn
> tunel, tak zde simulace na pingu. Sit je nasledujici:
>
> 10.0.0.1 - muj router - muj pocitac
>
> Vystupni (interface blize 10.0.0.1) interface na muj router pres
> tcpdump pri pouziti prikazu ping -l 1500 10.0.0.1 na muj pocitace
> (mam ted k dispozici pouze win).
>
> 17:39:50.649012 IP 192.168.2.104 > 10.0.0.1: ICMP echo request, id 768, seq 12800, length 1480
> 17:39:50.649014 IP 192.168.2.104 > 10.0.0.1: icmp
> 17:39:56.149009 IP 192.168.2.104 > 10.0.0.1: ICMP echo request, id 768, seq 13056, length 1480
> 17:39:56.149011 IP 192.168.2.104 > 10.0.0.1: icmp
No, to ale znamena, ze paket na vystupnim interface je. Zda se byt
fragmentovany (ten vystup je prilis orizly na to, aby se dalo rict
"urcite" a "spravne" a "vsechny fragmenty") ale v kazdem pripade tam je.
Nicmene, tohle asi neni zaznam "tunelovych" paketu - to by jen tezko
poznalo, ze je uvnitr ICMP. Tohle je nejspis stav pred vstupem do tunelu.
Takze jeste je treba zkoumat tunelove odchozi pakety. Idealne mit ty
tcpdumpy spustene vsechny soucasne. Abys videl, ktere radky k sobe patri.
Pokud ke kazdemu paketu tak, jak jsi ho zaznameanl shora, bude jeden
nebo vice odchozich tunelovych paketu, pak bude na case presunout se se
zkoumanim na druhy konec tunelu. Pokud ne, problem je nekde tady.
> ip:
> 2480402489 total packets received
> 10380325 output datagrams fragmented
> 39989831 fragments created
> 20 datagrams that can't be fragmented
Ukazuje se, ze se u tebe pomerne intenzivne fragmentuje. Coz mimochodem
neni z hlediska pruchodnosti a spolehlivosti moc dobre. Mel bys
vysilajici aplikaci vysvetlit, ze takhle velke pakety jsou proste moc
velke.
Jen me tak napada - TCP aplikace si maximalni vhodnou velikost paketu
vetsinou samy spravne zjisti. Pokud nejaky nevhodne nakonfigurovany
firewall po ceste nelikviduje informacni ICMP, ktere k tomu jsou
potreba. Takze - pokud - samozrejme, ze je dobre vyresit i problem
nefunkcni fragmentace. Ale i kdyz to dokazeme, porad zustane problem
"jak je mozne, ze je fragmentace vubec potreba".
Dan
More information about the Users-l
mailing list