Косяк с фрагментацией пакетов в ppp и размером MTU/MRU. (pppd, pptpd, pppoe, mtu, mru, mss, fragment)

To: Debian-russian <debian-russian@lists.debian.org>
Subject: Косяк с фрагментацией пакетов в ppp и размером MTU/MRU. (pppd, pptpd, pppoe, mtu, mru, mss, fragment)
From: Oleg Frolkov <info@of.pp.ru>
Date: Tue, 15 Jan 2008 00:31:22 +0300
Message-id: <[🔎] 478BD4AA.7010204@of.pp.ru>

Хай Олл.

В общем-то речь про очередной косяк ppp :) - с которым многие мучаются иответы я нашел только в какой-то из буржуйских рассылок.(Хотя сейчас еще раз поискал зная уже нужные слова и нашел во многихдругих местах, но тем не менее решил запостить сие письмо сюда -

может кому пригодится.)

В общем если на Debian etch 4.0 сделаете vpn сервер, то выяснится чтонекоторые сайты при подключении по такому соединению неоткрываются в принципе из-за маленького размера MTU/MRU и соответственнопопыткой фрагментировать пакеты. Однако некоторыесайты отдают пакеты с флагом dont fragment (ну например yandex) и этафрагментация обламывается..... в результате расследования выяснилосьчто какой-бы MRU/MTU не выставляли в конфиге - pppd договаривается свиндовыми машинами (Linux не пробовал тогда) на меньший размер(не помню на вскидку какой) и первым моим решением было добавить в/etc/ppp/ip-up.d скрипт которы с помощью ifconfig изменял-бы MTU/MRUна уже поднятом ppp интерфейсе. Это помогло но было в принципе криво,дальнейшие раскопки привели к вот такому решению:

/sbin/iptables -A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN-m tcpmss --mss 1301:65535 -j TCPMSS --set-mss 1300/sbin/iptables -A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN-m tcpmss --mss 1301:65535 -j TCPMSS --set-mss 1300

Это решение позволило расслабиться, но однажды на своей домашней машинена которой я настраивал pppoe с помощью pppoeconfобнаружилось более другое решение (хотя оно приводит в итоге к большемуколичеству правил при большом

количестве ppp интерфейсов)

/etc/init.d/ip-up.d/0clampmss
--------------------------------------------------------------------------------------------
#!/bin/sh
# Enable MSS clamping (autogenerated by pppoeconf)

iptables -t mangle -o "$PPP_IFACE" --insert FORWARD 1 -p tcp --tcp-flagsSYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

--------------------------------------------------------------------------------------------


/etc/init.d/ip-down.d/0clampmss
--------------------------------------------------------------------------------------------
#!/bin/sh
# Disable MSS clamping (autogenerated by pppoeconf)

iptables -t mangle -L -n -v --line-numbers | grep"TCPMSS.*$PPP_IFACE.*clamp" | cut -f1 -d " " | xargs -n1 -r iptables -tmangle -D FORWARD

--------------------------------------------------------------------------------------------

Как видно проблема решается немного разными способами, и я показатрудняюсь ответить какой из способов более правильный(как в плане архитектуры решения так и в плане самого принципа - в одномместе mss выставляется фиксированным, в другом как

я понял он выставляется равным mtu)

Вот в общем-то, может кому пригодится. Проблема опять-же из разряда -"косяк из коробки".



Олег.

Reply to:

Follow-Ups:
- Re: Косяк с фрагментацией пакетов в ppp и размером MTU/MRU. (pppd, pptpd, pppoe, mtu, mru, mss, fragment)
  - From: Andrey Lyubimets <andrey@nskes.ru>

Prev by Date: Re: OpenVPN, сертификаты и windows.
Next by Date: Re: OpenVPN, сертификаты и windows.
Previous by thread: Re: OpenVPN, сертификаты и windows.
Next by thread: Re: Косяк с фрагментацией пакетов в ppp и размером MTU/MRU. (pppd, pptpd, pppoe, mtu, mru, mss, fragment)
Index(es):
- Date
- Thread