RHAMZIN Опубликовано 26 февраля, 2011 (изменено) · Жалоба Помогите найти причину странного поведения. Стоит VPN роутер на базе Slackware 13.1 с ядром 2.6.35-10. Подняты поддержка протоколов PPTP/L2TP. VPN поддерживает шифрование данных (на базе accel 1.3.5). Проблема: если у клиента стоит галочка "Требуется шифрование", то некоторые сайты вообще отказываются открываться, скорость ниже в 5-6 раз. Может какие патчи нужно включить в ядро, чтобы нормально все стало функционировать? Ядро стоит SMP (c полным пакетом всех необходимых моделей). В .config есть: CONFIG_PPP=mCONFIG_PPP_MULTILINK=y CONFIG_PPP_FILTER=y CONFIG_PPP_ASYNC=m CONFIG_PPP_SYNC_TTY=m CONFIG_PPP_DEFLATE=m CONFIG_PPP_BSDCOMP=m CONFIG_PPP_MPPE=m Ядро скомпилино и загружено!. Варианты по удаление вообще шифрования не предлагать! Сам понимаю, что без шифрования лучше. Изменено 26 февраля, 2011 пользователем RHAMZIN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 26 февраля, 2011 · Жалоба iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RHAMZIN Опубликовано 27 февраля, 2011 (изменено) · Жалоба TCPMSS Эта операция изменяет значение MSS18 в заголовках пакетов TCP SYN, позволяя управлять максимальным размером сегмента для соединения. Операция может использоваться только для пакетов TCP и требует наличия в строке правила спецификации протокола -p tcp. Кроме того, для использования этой операции нужно включить опцию TCPMSS target support. Эта операция может служить для борьбы с “отмороженными” провайдерами и серверами, которые блокируют сообщения ICMP Fragmentation Needed19. Симптомы проблемы состоят в том, что с Linux-брандмауэра (маршрутизатора) обеспечивается беспрепятственный доступ, но стоящие за брандмауэром компьютеры не могут обмениваться большими пакетами с внешними хостами: подключение к Web-серверам происходит беспрепятственно, но при загрузке содержимого процесс “умирает”; мелкие почтовые сообщения приходят нормально, а большие не доходят совсем; ssh работает хорошо, но scp зависает после стартовой инициализации. Для решения проблемы можно использовать команду типа приведенной ниже: iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Опция --set-mss value используется для явной установки значения MSS, а --clamp-mss-to-pmtu автоматически выбирает для MSS значение (path_MTU – 40). Опции исключают одна другую и не могут использоваться совместно. Для работы с операцией TCPMSS в ядре должна быть включена опция TCPMSS target support. Если для опции было выбрано значение M, потребуется также загрузка модуля ipt_TCPMSS. Изменено 27 февраля, 2011 пользователем RHAMZIN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 28 февраля, 2011 · Жалоба RHAMZIN, Вы впишите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 28 февраля, 2011 · Жалоба Интересно, сколько установлено mtu в pppd на стороне сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 28 февраля, 2011 (изменено) · Жалоба RHAMZIN, Сейчас немного больше времени, поясню: при шифровании с MPPE MTU немного меньше, чем без него, потому и топчетесь по граблям. clamp-mss-to-pmtu - это костыль против неправильного MTU. Изменено 28 февраля, 2011 пользователем Abram Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
