[SOs]

Всем привет!

 

Собрал схему:

ПК1 ------- (BRIDGE) ------ L2 OVPN ------ (BRIDGE) ------ ПК2

 

Создал правило в мангле:

chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp in-interface=BR_LAN tcp-mss=1361-65535
chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp out-interface=BR_LAN tcp-mss=1361-65535

 

Слушаю сниффером трафик на ПК1 и вижу, что MSS не перебивается.

Вешать мангл на др. интерфейсы (участники бриджа) не дает, пишет "они слейвы, вешай на бридж"

Как перебить MSS при прохождении через бридж?

Изменено 21 августа, 2015 пользователем SOs

[Saab95]

А для чего все мероприятие?

[SOs]

А для чего все мероприятие?

 

Не спрашивай. Один начальник захотел на своем ТВ дома смотреть видосы с рабочей файлопомойки по DLNA. Отговорить не получилось.

[Saab95]

Создал правило в мангле:

chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp in-interface=BR_LAN tcp-mss=1361-65535
chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp out-interface=BR_LAN tcp-mss=1361-65535

 

Слушаю сниффером трафик на ПК1 и вижу, что MSS не перебивается.

Вешать мангл на др. интерфейсы (участники бриджа) не дает, пишет "они слейвы, вешай на бридж"

Как перебить MSS при прохождении через бридж?

 

Если у вас порты в бридже, и трафик проходит транзитом, то MSS поменять нельзя, хотя в этом случае вообще не понятно, для чего это мероприятие требуется.

 

Если вы хотите уменьшить MTU, что бы пакеты не фрагментировались в туннеле, это одно, если вам нужно пропускать пакеты размером более, чем пропускает туннель, или более 1500 байт, то нужно передавать трафик поверх IP через EoIP туннель, с ним никаких проблем нет, и любой трафик попав с одной стороны, легко выйдет в не изменном виде с другой.

 

В любом случае вместо OVPN следует использовать L2TP, если вам нужно, что бы по туннелю проходили пакеты 1500 байт, просто воспользуйтесь стандартными механизмами фрагментации трафика, путем изменения полей соответствующих полей в настройках туннельного протокола.

[SOs]

Если у вас порты в бридже, и трафик проходит транзитом, то MSS поменять нельзя, хотя в этом случае вообще не понятно, для чего это мероприятие требуется.

 

Если вы хотите уменьшить MTU, что бы пакеты не фрагментировались в туннеле, это одно, если вам нужно пропускать пакеты размером более, чем пропускает туннель, или более 1500 байт, то нужно передавать трафик поверх IP через EoIP туннель, с ним никаких проблем нет, и любой трафик попав с одной стороны, легко выйдет в не изменном виде с другой.

 

В любом случае вместо OVPN следует использовать L2TP, если вам нужно, что бы по туннелю проходили пакеты 1500 байт, просто воспользуйтесь стандартными механизмами фрагментации трафика, путем изменения полей соответствующих полей в настройках туннельного протокола.

 

MTU на туннельном я пока выставил 1400, чтобы не высчитывать сейчас пейлоад. Правка MSS, как я понимаю, потребуется в любом случае, даже с EoIP для предотвращения фрагментации TCP трафика.

 

Для чего это надо?

ПК1 и ПК2 обмениваются MSS при tcp handshake. Это 1460 по дефолту. Про тунели они не знают, ничто MSS по пути не перебивает. После они начинают передавать с сегментом 1460, плюс 40 заголовки = 1500. И им все-равно, какие туннели они проходят, какие MTU по пути.

Изменено 21 августа, 2015 пользователем SOs

[Saab95]

У вас не верная схема, сделайте бридж с каждой стороны сетевой порт и EoIP туннель, по нему пройдут данные с любым размером пакета и никаких проблем не будет.

Данные в любом случае будут фрагментрованы при передаче, только вот EoIP туннель их соберет обратно, и если запустите пинг с флагом без фрагментации, то он пройдет с размером 1500 байт.

[SOs]

Поборол.

 

Короче логика какая:

Смотрим движение пакетов для моей схемы

ТЫК

 

Короче

/interface bridge settings set use-ip-firewall=yes

И все завелось.

 

Схема "прокачала" 25Мб/с между ПК1 и ПК2 на hap_lite при 50% CPU в пике. Для 1080р вполне.

Изменено 21 августа, 2015 пользователем SOs