Jump to content
Калькуляторы

Проблема загрузки сайтов при шифровании данных! Если клиент использует шифрование, то некоторые сайты не открывает&#33

Помогите найти причину странного поведения.

Стоит VPN роутер на базе Slackware 13.1 с ядром 2.6.35-10.

Подняты поддержка протоколов PPTP/L2TP. VPN поддерживает шифрование данных (на базе accel 1.3.5).

 

Проблема: если у клиента стоит галочка "Требуется шифрование", то некоторые сайты вообще отказываются открываться, скорость ниже в 5-6 раз.

 

Может какие патчи нужно включить в ядро, чтобы нормально все стало функционировать?

Ядро стоит SMP (c полным пакетом всех необходимых моделей).

В .config есть:

CONFIG_PPP=m

CONFIG_PPP_MULTILINK=y

CONFIG_PPP_FILTER=y

CONFIG_PPP_ASYNC=m

CONFIG_PPP_SYNC_TTY=m

CONFIG_PPP_DEFLATE=m

CONFIG_PPP_BSDCOMP=m

CONFIG_PPP_MPPE=m

Ядро скомпилино и загружено!. Варианты по удаление вообще шифрования не предлагать! Сам понимаю, что без шифрования лучше.

Edited by RHAMZIN

Share this post


Link to post
Share on other sites

TCPMSS

 

Эта операция изменяет значение MSS18 в заголовках пакетов TCP SYN, позволяя управлять максимальным размером сегмента для соединения. Операция может использоваться только для пакетов TCP и требует наличия в строке правила спецификации протокола -p tcp. Кроме того, для использования этой операции нужно включить опцию TCPMSS target support. Эта операция может служить для борьбы с “отмороженными” провайдерами и серверами, которые блокируют сообщения ICMP Fragmentation Needed19. Симптомы проблемы состоят в том, что с Linux-брандмауэра (маршрутизатора) обеспечивается беспрепятственный доступ, но стоящие за брандмауэром компьютеры не могут обмениваться большими пакетами с внешними хостами:

 

подключение к Web-серверам происходит беспрепятственно, но при загрузке содержимого процесс “умирает”;

 

мелкие почтовые сообщения приходят нормально, а большие не доходят совсем;

 

ssh работает хорошо, но scp зависает после стартовой инициализации.

 

Для решения проблемы можно использовать команду типа приведенной ниже:

 

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

 

Опция

 

--set-mss value

 

используется для явной установки значения MSS, а

 

--clamp-mss-to-pmtu

 

автоматически выбирает для MSS значение (path_MTU – 40). Опции исключают одна другую и не могут использоваться совместно.

 

Для работы с операцией TCPMSS в ядре должна быть включена опция TCPMSS target support. Если для опции было выбрано значение M, потребуется также загрузка модуля ipt_TCPMSS.

Edited by RHAMZIN

Share this post


Link to post
Share on other sites

RHAMZIN,

Сейчас немного больше времени, поясню: при шифровании с MPPE MTU немного меньше, чем без него, потому и топчетесь по граблям.

clamp-mss-to-pmtu - это костыль против неправильного MTU.

Edited by Abram

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this