Problem s VPN tunely - zrejme fragmentace
Radek Krejca
radek at ceskedomeny.cz
Sat Nov 14 22:21:23 CET 2009
DL> Nicmene, tohle asi neni zaznam "tunelovych" paketu - to by jen tezko
DL> poznalo, ze je uvnitr ICMP. Tohle je nejspis stav pred vstupem do tunelu.
To je zaznam pingu mezi mym pocitacem a cilovym skrze onen problemovy
router s nastavenou velikosti 1500 byte. Ten neprojde skrze dany
router, ale kdyz si pignu z obou strany na router s touto i vetsi
velikosti, tak neni problem a pokud si na obe strany pingnu s vetsi
velikosti z routeru, tak take to funguje. Nejde to pouze za
predpokladu, ze pingam SKRZE router. Nekde tam musi dojit k chybe.
K problemu doslo po upgradu verze FBSD, pred tim to slo, ted je tam
7.0, zitra zkusim vymenit na 7.2 - konfigurace je stejna. Jen
predpokladam, nebo spise doufam, ze pokud vyresim problem s pingem,
vyresim i problem s vpn.
DL> Ukazuje se, ze se u tebe pomerne intenzivne fragmentuje. Coz mimochodem
DL> neni z hlediska pruchodnosti a spolehlivosti moc dobre. Mel bys
DL> vysilajici aplikaci vysvetlit, ze takhle velke pakety jsou proste moc
DL> velke.
Vysilaci aplikace je dodavana, v podstate nemam tuseni, co a jak
presne interne dela.
DL> Jen me tak napada - TCP aplikace si maximalni vhodnou velikost paketu
DL> vetsinou samy spravne zjisti. Pokud nejaky nevhodne nakonfigurovany
DL> firewall po ceste nelikviduje informacni ICMP, ktere k tomu jsou
DL> potreba. Takze - pokud - samozrejme, ze je dobre vyresit i problem
DL> nefunkcni fragmentace. Ale i kdyz to dokazeme, porad zustane problem
DL> "jak je mozne, ze je fragmentace vubec potreba".
V tuto chvili nemam tuseni.
Budu jeste zkoumat.
Diky
Radek
--
S pozdravem,
Radek Krejca
STARNET, s. r. o.
radek at ceskedomeny.cz
More information about the Users-l
mailing list