[RHAMZIN]

Помогите найти причину странного поведения.

Стоит VPN роутер на базе Slackware 13.1 с ядром 2.6.35-10.

Подняты поддержка протоколов PPTP/L2TP. VPN поддерживает шифрование данных (на базе accel 1.3.5).

 

Проблема: если у клиента стоит галочка "Требуется шифрование", то некоторые сайты вообще отказываются открываться, скорость ниже в 5-6 раз.

 

Может какие патчи нужно включить в ядро, чтобы нормально все стало функционировать?

Ядро стоит SMP (c полным пакетом всех необходимых моделей).

В .config есть:

CONFIG_PPP=m

CONFIG_PPP_MULTILINK=y

CONFIG_PPP_FILTER=y

CONFIG_PPP_ASYNC=m

CONFIG_PPP_SYNC_TTY=m

CONFIG_PPP_DEFLATE=m

CONFIG_PPP_BSDCOMP=m

CONFIG_PPP_MPPE=m

Ядро скомпилино и загружено!. Варианты по удаление вообще шифрования не предлагать! Сам понимаю, что без шифрования лучше.

Edited February 26, 2011 by RHAMZIN

[Abram]

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

 

[RHAMZIN]

TCPMSS

 

Эта операция изменяет значение MSS18 в заголовках пакетов TCP SYN, позволяя управлять максимальным размером сегмента для соединения. Операция может использоваться только для пакетов TCP и требует наличия в строке правила спецификации протокола -p tcp. Кроме того, для использования этой операции нужно включить опцию TCPMSS target support. Эта операция может служить для борьбы с “отмороженными” провайдерами и серверами, которые блокируют сообщения ICMP Fragmentation Needed19. Симптомы проблемы состоят в том, что с Linux-брандмауэра (маршрутизатора) обеспечивается беспрепятственный доступ, но стоящие за брандмауэром компьютеры не могут обмениваться большими пакетами с внешними хостами:

 

подключение к Web-серверам происходит беспрепятственно, но при загрузке содержимого процесс “умирает”;

 

мелкие почтовые сообщения приходят нормально, а большие не доходят совсем;

 

ssh работает хорошо, но scp зависает после стартовой инициализации.

 

Для решения проблемы можно использовать команду типа приведенной ниже:

 

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

 

Опция

 

--set-mss value

 

используется для явной установки значения MSS, а

 

--clamp-mss-to-pmtu

 

автоматически выбирает для MSS значение (path_MTU – 40). Опции исключают одна другую и не могут использоваться совместно.

 

Для работы с операцией TCPMSS в ядре должна быть включена опция TCPMSS target support. Если для опции было выбрано значение M, потребуется также загрузка модуля ipt_TCPMSS.

Edited February 27, 2011 by RHAMZIN

[Abram]

RHAMZIN,

Вы впишите.

[nuclearcat]

 

 

Интересно, сколько установлено mtu в pppd на стороне сервера

[Abram]

RHAMZIN,

Сейчас немного больше времени, поясню: при шифровании с MPPE MTU немного меньше, чем без него, потому и топчетесь по граблям.

clamp-mss-to-pmtu - это костыль против неправильного MTU.

Edited February 28, 2011 by Abram