Jump to content
Калькуляторы

Перебивка MSS

Всем привет!

 

Собрал схему:

ПК1 ------- (BRIDGE) ------ L2 OVPN ------ (BRIDGE) ------ ПК2

 

Создал правило в мангле:

chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp in-interface=BR_LAN tcp-mss=1361-65535
chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp out-interface=BR_LAN tcp-mss=1361-65535

 

Слушаю сниффером трафик на ПК1 и вижу, что MSS не перебивается.

Вешать мангл на др. интерфейсы (участники бриджа) не дает, пишет "они слейвы, вешай на бридж"

Как перебить MSS при прохождении через бридж?

Edited by SOs

Share this post


Link to post
Share on other sites

А для чего все мероприятие?

 

Не спрашивай. Один начальник захотел на своем ТВ дома смотреть видосы с рабочей файлопомойки по DLNA. Отговорить не получилось.

Share this post


Link to post
Share on other sites

Создал правило в мангле:

chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp in-interface=BR_LAN tcp-mss=1361-65535
chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp out-interface=BR_LAN tcp-mss=1361-65535

 

Слушаю сниффером трафик на ПК1 и вижу, что MSS не перебивается.

Вешать мангл на др. интерфейсы (участники бриджа) не дает, пишет "они слейвы, вешай на бридж"

Как перебить MSS при прохождении через бридж?

 

Если у вас порты в бридже, и трафик проходит транзитом, то MSS поменять нельзя, хотя в этом случае вообще не понятно, для чего это мероприятие требуется.

 

Если вы хотите уменьшить MTU, что бы пакеты не фрагментировались в туннеле, это одно, если вам нужно пропускать пакеты размером более, чем пропускает туннель, или более 1500 байт, то нужно передавать трафик поверх IP через EoIP туннель, с ним никаких проблем нет, и любой трафик попав с одной стороны, легко выйдет в не изменном виде с другой.

 

В любом случае вместо OVPN следует использовать L2TP, если вам нужно, что бы по туннелю проходили пакеты 1500 байт, просто воспользуйтесь стандартными механизмами фрагментации трафика, путем изменения полей соответствующих полей в настройках туннельного протокола.

Share this post


Link to post
Share on other sites

Если у вас порты в бридже, и трафик проходит транзитом, то MSS поменять нельзя, хотя в этом случае вообще не понятно, для чего это мероприятие требуется.

 

Если вы хотите уменьшить MTU, что бы пакеты не фрагментировались в туннеле, это одно, если вам нужно пропускать пакеты размером более, чем пропускает туннель, или более 1500 байт, то нужно передавать трафик поверх IP через EoIP туннель, с ним никаких проблем нет, и любой трафик попав с одной стороны, легко выйдет в не изменном виде с другой.

 

В любом случае вместо OVPN следует использовать L2TP, если вам нужно, что бы по туннелю проходили пакеты 1500 байт, просто воспользуйтесь стандартными механизмами фрагментации трафика, путем изменения полей соответствующих полей в настройках туннельного протокола.

 

MTU на туннельном я пока выставил 1400, чтобы не высчитывать сейчас пейлоад. Правка MSS, как я понимаю, потребуется в любом случае, даже с EoIP для предотвращения фрагментации TCP трафика.

 

Для чего это надо?

ПК1 и ПК2 обмениваются MSS при tcp handshake. Это 1460 по дефолту. Про тунели они не знают, ничто MSS по пути не перебивает. После они начинают передавать с сегментом 1460, плюс 40 заголовки = 1500. И им все-равно, какие туннели они проходят, какие MTU по пути.

Edited by SOs

Share this post


Link to post
Share on other sites

У вас не верная схема, сделайте бридж с каждой стороны сетевой порт и EoIP туннель, по нему пройдут данные с любым размером пакета и никаких проблем не будет.

Данные в любом случае будут фрагментрованы при передаче, только вот EoIP туннель их соберет обратно, и если запустите пинг с флагом без фрагментации, то он пройдет с размером 1500 байт.

Share this post


Link to post
Share on other sites

Поборол.

 

Короче логика какая:

Смотрим движение пакетов для моей схемы

ТЫК

 

Короче

/interface bridge settings set use-ip-firewall=yes

И все завелось.

 

Схема "прокачала" 25Мб/с между ПК1 и ПК2 на hap_lite при 50% CPU в пике. Для 1080р вполне.

Edited by SOs

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this