Huawei AR161FG-L + PfSense 2.6.0 - ipsec s2s
-
@rnduser
Mtu 1400 а не mss -
@konstanti да, я понимаю разницу, спасиб.
Просто хочу понять тактику устранения проблемы. -
@konstanti said in Huawei AR161FG-L + PfSense 2.6.0 - ipsec s2s:
Попробуйте MTU 1400 сделать в настройках IPsec со стороны pf
В настройках WAN интерфейса же?
Не помогло -
GigabitEthernet0/0/4 current state : UP
Line protocol current state : UP
The Maximum Transmit Unit : 1500 bytes
логика в итоге какая?
с обоих сторон туннеля MTU / MSS одинаковые? -
при установлении tcp соединения при отправке SYN пакета отправляется максимальный размер сообщения
По этой цифре можно понять какой MSS согласовандля примера
IPv4 (2), length 68: 192.168.1.34.59369 > 162.247.241.4.443: Flags [S], seq 1064235115, win 65535, options [mss 1346,nop,wscale 5,nop,nop,TS val 1379599535 ecr 0,sackOK,eol], length 0
-
@konstanti добрый вечер.
Ниже прикрепил захват пакетов между хостами с разных сторон туннеля, win <-> linux. Если я правильно понял, то MSS = 1460, след. MTU = 1500.
Ещё со стороны huawei итдет трафик с flags [DF]. А дальше какая логика устранения проблемы?
1packetcapture.zip -
Сейчас нет возможности что-то смотреть
Ради интереса , можете выставить MTU на lan интерфейсе PF
или на компьютере , который инициирует соединение
И посмотрите , будут изменения или нетнапример , для Mac OS
-
@konstanti а вот захват iperf3 между этими хостами, по 10 секунд в каждую сторону. Со стороны huawei приходят закеты len=0
1iperf.zip -
@konstanti said in Huawei AR161FG-L + PfSense 2.6.0 - ipsec s2s:
Ради интереса , можете выставить MTU на lan интерфейсе PF
или на компьютере , который инициирует соединение- изменение MTU на LAN PfSense - не оказало никакого влияния
- изменение на ПК с одной стороны - подросла скорость, но не значительно
-
@konstanti уважаемый товарищ!
Искренне благодарю за помощь. Всё починилось.
Решение : использовать NAT-T c обеих сторон туннеля.
Политики трафик перехватывают как нужно.
TCP-MSS = 1300 с обеих сторон.а вот почему на upd / 500 не работало - вопрос.