Jump to content

Проблема загрузки сайтов при шифровании данных!

RHAMZIN
 Share

Recommended Posts

RHAMZIN

RHAMZIN

Posted
Posted (edited)

Помогите найти причину странного поведения.

Стоит VPN роутер на базе Slackware 13.1 с ядром 2.6.35-10.

Подняты поддержка протоколов PPTP/L2TP. VPN поддерживает шифрование данных (на базе accel 1.3.5).

 

Проблема: если у клиента стоит галочка "Требуется шифрование", то некоторые сайты вообще отказываются открываться, скорость ниже в 5-6 раз.

 

Может какие патчи нужно включить в ядро, чтобы нормально все стало функционировать?

Ядро стоит SMP (c полным пакетом всех необходимых моделей).

В .config есть:

CONFIG_PPP=m

CONFIG_PPP_MULTILINK=y

CONFIG_PPP_FILTER=y

CONFIG_PPP_ASYNC=m

CONFIG_PPP_SYNC_TTY=m

CONFIG_PPP_DEFLATE=m

CONFIG_PPP_BSDCOMP=m

CONFIG_PPP_MPPE=m

Ядро скомпилино и загружено!. Варианты по удаление вообще шифрования не предлагать! Сам понимаю, что без шифрования лучше.

Edited by RHAMZIN
RHAMZIN

RHAMZIN

Posted
  • Author
Posted (edited)

TCPMSS

 

Эта операция изменяет значение MSS18 в заголовках пакетов TCP SYN, позволяя управлять максимальным размером сегмента для соединения. Операция может использоваться только для пакетов TCP и требует наличия в строке правила спецификации протокола -p tcp. Кроме того, для использования этой операции нужно включить опцию TCPMSS target support. Эта операция может служить для борьбы с “отмороженными” провайдерами и серверами, которые блокируют сообщения ICMP Fragmentation Needed19. Симптомы проблемы состоят в том, что с Linux-брандмауэра (маршрутизатора) обеспечивается беспрепятственный доступ, но стоящие за брандмауэром компьютеры не могут обмениваться большими пакетами с внешними хостами:

 

подключение к Web-серверам происходит беспрепятственно, но при загрузке содержимого процесс “умирает”;

 

мелкие почтовые сообщения приходят нормально, а большие не доходят совсем;

 

ssh работает хорошо, но scp зависает после стартовой инициализации.

 

Для решения проблемы можно использовать команду типа приведенной ниже:

 

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

 

Опция

 

--set-mss value

 

используется для явной установки значения MSS, а

 

--clamp-mss-to-pmtu

 

автоматически выбирает для MSS значение (path_MTU – 40). Опции исключают одна другую и не могут использоваться совместно.

 

Для работы с операцией TCPMSS в ядре должна быть включена опция TCPMSS target support. Если для опции было выбрано значение M, потребуется также загрузка модуля ipt_TCPMSS.

Edited by RHAMZIN
Abram

Abram

Posted
Posted (edited)

RHAMZIN,

Сейчас немного больше времени, поясню: при шифровании с MPPE MTU немного меньше, чем без него, потому и топчетесь по граблям.

clamp-mss-to-pmtu - это костыль против неправильного MTU.

Edited by Abram

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.