OpenVPN + large MTU
-
Проблема такая. pfSense 2,2
На днях выяснял, почему с удалённой по OpenVPN(site-to-site) сетки клиенты AD на WinXP не видят домен и не применяют GPO.Снифером вытащил - что перед определением контролера домена машина на XP делает пинг-тест пакетом длиной 2048 байт. Пакеты такой длины через OpenVPN линк не проходят, и тачки отказываются работать в доменной среде, записывая в EventID событие 1054 (не удалось определить контролер домена). Наиболее понятное описание проблемы тут
Как мне заставить проходить пакеты длиной более 1472 через линк OpenVPN??? есть у кого нибудь такой опыт?
PS: я пробовал комбинацию
fragment 1400
mssfixвсё равно не работает.
Если выставитьmssfix 1400
то всё равно пакетики не ходят
Обмен пакетами с 192.168.40.1 по с 1500 байтами данных:
Ответ от 192.168.220.6: Заданный узел недоступен.
Ответ от 192.168.220.6: Заданный узел недоступен. -
Обмен пакетами с 192.168.40.1 по с 1500 байтами данных:
Ответ от 192.168.220.6: Заданный узел недоступен.
Ответ от 192.168.220.6: Заданный узел недоступен.Судя по этому цитате выше , проблема не в "Как мне заставить проходить пакеты длиной более 1472".
У вас проблема с настройкой OpenVPN, маршрутизацией, правилами fw etc.Что на концах туннеля (pfsense, win, *nix)? Какой тип адаптера OpenVPN ? Установлена ли галка на разрешение прохождения NetBIOS трафика ?
И да, рисуйте схему со всеми адресами!
P.s. Вот честно, если еще один вопрошающий выдаст что-то похожее из разряда "у меня болит голова" без приложения схемы, скринов настроек, скринов правил fw и т.д. и т.п. - буду посылать прямым текстом не боясь быть забаненным >:(
Люди, вы "занянчили" своими формулировками неизвестного. -
fw rules - на интерфейсе OpenVPN стоит allow all
Локальная сеть - 192.168.1.0/24
туннель - 192.168.220.4/30
Удалённая сеть - 192.168.40.0/24Site-to-site соединение на базе pfSense 2.2
Настройки сервера, а так же клиента . Всё что не показано на скриншотах - по дефолту (пусто).Поверх туннеля гуляет OSPF, не вижу смысла приводить его настройки.
Установлена ли галка на разрешение прохождения NetBIOS трафика ?
О какой галочке Вы говорите?
У вас проблема с настройкой OpenVPN, маршрутизацией, правилами fw etc.
А маршрутизация тут причём??
-
Вопрос снят, всё решилось задействованием параметра tun-mtu
Только осталось непонятно, почему mtu не определился автоматически. -
Вопрос снят, всё решилось задействованием параметра tun-mtu
Только осталось непонятно, почему mtu не определился автоматически.http://tuxnotes.ru/note/1
tun-mtu < mtu size > - устанавливает максимальный размер MTU. По умолчанию tun-mtu равен 1500
Он-то опредилился. Это к вашему провайдеру вопрос о размере mtu в его сети.
На WAN-е случаем не L2TP\PPTP на одном из концов туннеля ?
Далее. Текущий максимальный размер пакета можно определить опытным путем с пом. команды ping, пример : ping -l 1472 -f -t ya.ru
Если пакет не пролазит - уменьшаем значение после -l
Или же исп. утилиту mturoute (http://www.elifulkerson.com/projects/mturoute.php) -
на WANе голый эзернет.
Максимальный размер пакета я уже нашёл, и указал его в первом посту. И проблема исключительно внутри OpenVPN туннеля, всё остальное работает отлично.