Offline, Latency

Konstanti

@kashtan
Я бы все-таки попробовал , на Вашем месте , уменьшить mss ради эксперимента .

kashtan

@konstanti не нашёл в настройка ipsec mss, можно только на самом интерфейсе менять.

Konstanti

@kashtan
У Вас классический IPsec туннель или что-то поверх IPSec ?

VPN/Psec/Advanced Settings

kashtan

@konstanti классический.
на версии 2.4.4 mss есть, а на 2.6.0 нет.

Konstanti

@kashtan

https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat.html

kashtan

@konstanti больше спасибо, сделал mss 1360 и всё полетело!!!
Настройка в андвансед-файрволл на 2.6.0.

На всякий случай ещё раз опишу что было, есть основной шлюз 2.6.0 к нему подключено несколько шлюзов разных версий по ipsec и когда идёт большой исходящий трафик с основного шлюза, интерфейс на котом весит ipsec тормозит, теряет пакеты, по логам только рестарты служб vpn ipsec видно и ничего не понятно.
Но что интересно, что в сети рядом лежат другие pfsense, с такими же настройками, на тех же свитчах и гипервизорах, и всё летает.

pigbrother

@konstanti said in Offline, Latency:

https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat.html

@kashtan said in Offline, Latency:

льше спасибо, сделал mss 1360 и всё полетело!!!

Странно и неудобно, что столь специфическую настройку поместили в общий раздел.
Как-то наступил на подобные грабли. Помогал коллеге сдавать объект с IPSEC филиал-> офис. Обе фазы поднимались, пинги ходили, но RDP\SMB\WWW не работали. Объект нужно было к утру открыть, пришлось экстренно поднимать OpenVPN.

Konstanti

@pigbrother

Ничего странного и нелогичного с точки зрения разработчиков я не вижу

Данная настройка относится именно к опциям PF , и никакого отношения к Strongswan не имеет ( а в разделе IPSEC как раз находятся все настройки , на основании которых формируются конфигурационные файлы Strongswan )

А эта опция попадает в файл rules.debug (scrub )
Так что все ,по-моему , понятно , почему ее переместили в другое место

А проблема mss в Ipsec давно известна )

werter

@pigbrother

Обе фазы поднимались, пинги ходили, но RDP\SMB\WWW не работали

1-м делом в таких случаях проверяю размер mtu:
ping -l <размер-пакета-в-байтах> -f -t <ip-addr>
Если он разный на концах, то привожу к единому знаменателю.

pigbrother

@werter said in Offline, Latency:

1-м делом в таких случаях проверяю размер mtu:

Насколько помню - mtu проверяли и меняли. А вот mss - нет.