Re: [semi OT] Postfix error (causa router): RISOLTO
Provo a dare qualche info in mio possesso.
Quando lungo un percorso c'è una MTU non omogena i problemi sono
praticamente garantiti.
Dunque se c'è una ecapsulation (tipo Tunnel IPSEC, GRE, GTP, o altro) la
MTU si riduce necessariamente ad un valore inferiore per cui i due host
non sanno più gestire correttamente la dimensione del canale fisico
sottostante in quanto il primo segmento che incontrano (LAN locale) ha
MTU 1500 mentre magari il Path MTU verso altre destinazioni è ridotto.
Se questo è percettibile da uno dei due end-point non è detto che lo sia
analogamente dall'altro capo della comunicazione per questo tipicamente
si interviene su un altro parametro del TCP (non funziona con UDP) che
prende il nome di MSS.
La cosa consigliata da tutti (cisco compresa) è settare l'MSS dei
pacchetti TCP in uscita in modo che la comunicazione si stabilisca
evitando ai pacchetti singoli di superare la dimensione del massimo
pacchetto trasmissibile senza frammentazione.
Un bell'articolo sul fenomeno e sulle sue contromisure è qui:
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml
Purtroppo è solo in inglese ma credo che si possa fare la medesima cosa
che si fa sul router agendo sul kernel del nostro Linux.
Ad esempio agendo con iptables ed ip route:
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
--set-mss 1408
ip route add 192.168.1.0/24 dev eth0 advmss 1408
I due comandi (sono un mero esempio e vanno personalizzati in base alle
esigenze) vanno adoperati assieme perchè uno agisce sull'MSS nella
direzione fuori->dentro l'altro agisce sull'MSS dentro->fuori. In
particolare al posto della coda FORWARD portebbe essere adoperata la
coda OUTPUT. Il valore 1408 è un valore ragionevolmente basso ma non è
detto che sia l'unico valore valido.
Spero che questo possa aiutare nella solzuione definitiva del problema.
Il 04/10/2011 06:37, dea ha scritto:
Pero sappi che il problema potrebbe essere non remoto ma locale. Hai
il mano il tuo router di terminazione ? ci puoi mettere le mani a livello
di configurazione.
Io prima di dicevo di un problema sulle vpn legato al fatto che impongo
una MTU 1500 e questi router che mi danno quando arriva un codice di
risync della vpn per restare up anche senza traffico il router
scarta il pacchetto e la linea cade! per errore locale perche il
pacchetto e' piccolo e ad altri problemi...
No, il router di terminazione non è nostro, tuttavia non è stato minimamente
toccato negli ultimi mesi.
Di contro abbiamo già provato a forzare la sua MTU a 1500 ed anche a meno
senza risultati, quindi lo abbiamo lasciato come era prima (e come ha sempre
funzionato).
Ancora, la scheda di rete che si interfaccia verso il router ha una MTU di
1500 (standard).
Non rimane che dubitare del router che sta nel mezzo (quello che è stato
sostituito) ...
Luca
--
=======================================================================
Ing. Maurizio Scarpa
Via Lucrezia Romana, 65
00043 - Ciampino (RM)
mail: scarpam72@gmail.com
skype: scarpam72
=======================================================================
begin:vcard
fn:Maurizio Scarpa
n:Scarpa;Maurizio
email;internet:scarpam72@gmail.com
x-mozilla-html:TRUE
version:2.1
end:vcard
Reply to: