Problem s VPN tunely - zrejme fragmentace

Radek Krejca radek at ceskedomeny.cz
Sat Nov 14 22:21:23 CET 2009


DL> Nicmene, tohle asi neni zaznam "tunelovych" paketu - to by jen tezko
DL> poznalo, ze je uvnitr ICMP. Tohle je nejspis stav pred vstupem do tunelu.

To je zaznam pingu mezi mym pocitacem a cilovym skrze onen problemovy
router s nastavenou velikosti 1500 byte. Ten neprojde skrze dany
router, ale kdyz si pignu z obou strany na router s touto i vetsi
velikosti, tak neni problem a pokud si na obe strany pingnu s vetsi
velikosti z routeru, tak take to funguje. Nejde to pouze za
predpokladu, ze pingam SKRZE router. Nekde tam musi dojit k chybe.

K problemu doslo po upgradu verze FBSD, pred tim to slo, ted je tam
7.0, zitra zkusim vymenit na 7.2 - konfigurace je stejna. Jen
predpokladam, nebo spise doufam, ze pokud vyresim problem s pingem,
vyresim i problem s vpn.


DL> Ukazuje se, ze se u tebe pomerne intenzivne fragmentuje. Coz mimochodem
DL> neni z hlediska pruchodnosti a spolehlivosti moc dobre. Mel bys 
DL> vysilajici aplikaci vysvetlit, ze takhle velke pakety jsou proste moc 
DL> velke.

Vysilaci aplikace je dodavana, v podstate nemam tuseni, co a jak
presne interne dela.

DL> Jen me tak napada - TCP aplikace si maximalni vhodnou velikost paketu 
DL> vetsinou samy spravne zjisti. Pokud nejaky nevhodne nakonfigurovany 
DL> firewall po ceste nelikviduje informacni ICMP, ktere k tomu jsou 
DL> potreba. Takze - pokud - samozrejme, ze je dobre vyresit i problem 
DL> nefunkcni fragmentace. Ale i kdyz to dokazeme, porad zustane problem 
DL> "jak je mozne, ze je fragmentace vubec potreba".

V tuto chvili nemam tuseni.

Budu jeste zkoumat.

Diky
Radek


-- 
S pozdravem,
 Radek Krejca
 STARNET, s. r. o.
 radek at ceskedomeny.cz





More information about the Users-l mailing list