The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Автоматическое изменение MTU при поднятии VPN соединения
Столкнулся с такой проблемой, что при поднятии VPN соединения по умолчанию у каждого соединения 
MTU равен был 1396. В результате чего не работало большое количество сайтов.

Решение такое.
Сервер Fedora 8, с установленным pptpd.
в скрипт /etc/ppp/ip-up добавил одно условие:

   if [ "${REALDEVICE}" != "ppp0" ]; then
      ifconfig ${REALDEVICE} mtu 1400
   fi

Теперь скрипт выглядит так:

   #!/bin/bash
   # This file should not be modified -- make local changes to
   # /etc/ppp/ip-up.local instead

   PATH=/sbin:/usr/sbin:/bin:/usr/bin
   export PATH
 
   LOGDEVICE=$6
   REALDEVICE=$1

   [ -f /etc/sysconfig/network-scripts/ifcfg-${LOGDEVICE} ] && 
      /etc/sysconfig/network-scripts/ifup-post --realdevice ${REALDEVICE} ifcfg-${LOGDEVICE}

   /etc/ppp/ip-up.ipv6to4 ${LOGDEVICE}

   if [ "${REALDEVICE}" != "ppp0" ]; then
      ifconfig ${REALDEVICE} mtu 1400
   fi

   [ -x /etc/ppp/ip-up.local ] && /etc/ppp/ip-up.local "$@"

   exit 0

PS. Средствами pptpd я не смог установить MTU в нужное значение. Если есть какие либо идеи, 
не поленитесь, поделитесь :)
 
09.12.2008 , Автор: HolyGun
Ключи: pptp, tunnel, mtu / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Туннелинг, VPN, VLAN

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, tamerlan311, 22:45, 09/12/2008 [ответить] [смотреть все]
  • +/
    Это можно прочитать примерно следующим образом:

    Я заметил что перестал пролезать в двери, чтобы исправить ситуацию я немного потолстел. Теперь пролезаю без всяких проблем.

    Уберите пожалуйста ваш говносовет, почините бубен и почитайте что-нибудь про MTU.
    1400 > 1396

     
     
  • 2.7, Руслан, 02:06, 10/12/2008 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Кстати, дайте что-нибудь про MTU прочитать.
     
  • 1.2, slavon_net, 23:06, 09/12/2008 [ответить] [смотреть все]
  • +/
    man iptables
    search "--clamp-mss-to-pmtu"
     
     
  • 2.16, frey, 14:17, 10/12/2008 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    >man iptables
    >search "--clamp-mss-to-pmtu"

    Хм! Интересно!

     
  • 1.3, vadiml, 23:16, 09/12/2008 [ответить] [смотреть все]
  • +/
    А почему именно на 1400?

    Cтандартное значение == 1500, для многих adsl, vpn надо 1492.
    Но если Вы не обрезаете у себя icmp, то сетевые сами договорятся о нужном значении MTU.

    PS у меня pptp MTU не меняет на для ppp0, ни для 5 других интерфейсов на моей машине (lo, eth0, eth1, vmnet1, vmnet8) и он вообще его менять не должен если специально не указано, тем более у других соединений.

    PPS предлагаю завести key -- "вредные советы".

     
     
  • 2.5, Руслан, 01:55, 10/12/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Удалять не надо Ведь до этого решения кто-то дошел своим умом И ему помогло А... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, max, 01:29, 10/12/2008 [ответить] [смотреть все]  
  • +/
    ужос,кто то проверяет их перед размещением??
     
     
  • 2.12, Антон, 09:22, 10/12/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Человек показал работающий вариат обхода проблемы Что то я не увидел, чтобы хот... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, vitek, 09:54, 10/12/2008 [^] [ответить] [смотреть все]  
  • +/
    чуть выше же уже намекнули TCPMSS This target allows to alter the MSS v... весь текст скрыт [показать]
     
  • 1.6, Руслан, 02:03, 10/12/2008 [ответить] [смотреть все]  
  • +/
    У меня есть мысль, что иногда вознимающая проблема на одном из подвластных мне шлюзов, имеет подобное происхождение.

    Исходные данные: 1 шлюз под debian linux 2.6, 1 шлюз под FreeBSD 4.9 + ipfw.
    В произвольный момент времени случается затор, в результате которого полностью перестает  
    а) ходить трафик между шлюзами
    б) коннектиться один из шлюзов к другому

    Смысла перегружать что-либо нет, хотя помогает. Смысла нет потому, что на сотню других шлюзов, общающихся с этими двумя, раз в месяц найдется еще один страдалец. И этот страдалец не будет перезагружаться ради нас, равно как и мы ради него.

     
  • 1.8, HolyGun, 03:36, 10/12/2008 [ответить] [смотреть все]  
  • +/
    Природа появления этого совета такова Есть у одной организации несколько филиал... весь текст скрыт [показать]
     
     
  • 2.11, vadiml, 09:18, 10/12/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Потому что здесь описано как бороться со следствием и к тому, на мой взгляд, дал... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 05:12, 10/12/2008 [ответить] [смотреть все]  
  • +/
    Использую в Fedora 8 другое решение Взял патч из initscripts ASPLinux 12 ту ег... весь текст скрыт [показать]
     
     
  • 2.15, frey, 14:16, 10/12/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Использую в Fedora 8 другое решение.
    >Взял патч из initscripts ASPLinux 12 (ту его часть, которая изменяет и
    >добавляет скрипты для поддержки ifup pptp0).
    >В ifcfg-pptp0 можно указать MTU=1460 и MRU=1460 (впн без шифрования, поэтому получается
    >на 40 байт меньше, чем MTU для eth0).

    Вы хоть сами поняли, что сказали? Если бы не было шифрования, то и мту остался тотже. В pptp используется 4 байта для шифрования (при require-mppe-128) и мту нужно ставить 1496 в таком случае.

     
  • 1.10, suvit, 08:42, 10/12/2008 [ответить] [смотреть все]  
  • +/
    man pppd. Есть опции mru n и mtu n.
    можно для каждого vpn-канала сделать разные mru и mtu, это ставится в конфиге соединения.
     
  • 1.17, Аноним, 11:05, 11/12/2008 [ответить] [смотреть все]  
  • +/
    Прежде чем ругаться, надо разобраться Во-первых, описанный способ решает пробле... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 11:07, 11/12/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не на то ответил, sorry.

    >Прежде чем ругаться, надо разобраться.

     
  • 2.19, port20031, 13:49, 11/12/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Можно вопрос в догонку ?
    Ситуация такая :
    1)от прова инет приходит через адсл ,с него на свич ,со свича компы получают реальные ип;
    2)на одном из них крутится мой сервак , на нем есть сервер впн , который нормально обслуживает компы с серой сетки и компы , подключенные со свича .
    Проблема в том что с инета  впн типа подымается , но там ни чего не ходит .
    Может поможите ?
     
  • 2.20, sfstudio, 16:05, 11/12/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >на линуксовом клиенте? Если случай #1, тогда всё совершенно правильно, т.к.
    >винда при поднятии VPN искренне считает, что у неё MTU 1400.

    В случае pptp на сервере в /etc/ppp/options.pptp достаточно указать:
    mru mtu и не заморачиваться, тогда значения будут корректно переданы вантузу и приняты в работу.
    Ессно сразу заработает и --clamp-mss-to-pmtu

    [root@sadnet:linux]# pptp --version
    pptp version 1.7.2
    [root@sadnet:linux]# pppd --version
    pppd version 2.4.5
    [root@sadnet:linux]# uname -a
    Linux sadnet.lo 2.6.27.8 #9 Mon Dec 8 04:46:11 OMST 2008 i686 Pentium III (Coppermine) GNU/Linux


     
  • 1.21, replicant, 00:14, 15/12/2008 [ответить] [смотреть все]  
  • +/
    [root@sadnet:linux]# pppd --version
    pppd version 2.4.5

    2.4.5 или я отстал от жизни?

     
  • 1.22, rrv, 08:44, 15/12/2008 [ответить] [смотреть все]  
  • +/
    Это костыли! Достаточно правильно настроить mpd добавив опцию set pptp disable windowing.
    Читать тут http://rrv.nsk.ru/wiki/index.php/Vpn_server_%D0%BD%D0%B0_
     
  • 1.23, andrek, 03:55, 02/09/2009 [ответить] [смотреть все]  
  • +/
    тоже натолкнулся на теже грабли, вообщем решение простое, выставляем mtu mru в конфиге ppptp-options, и результирующее правило в iptables:
    $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 0:65535 -j TCPMSS --clamp-mss-to-pmtu -i ppp+
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor