Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Offline, Latency

    Scheduled Pinned Locked Moved Russian
    23 Posts 4 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @kashtan
      last edited by

      @kashtan
      Я бы все-таки попробовал , на Вашем месте , уменьшить mss ради эксперимента .

      K 1 Reply Last reply Reply Quote 1
      • K
        kashtan @Konstanti
        last edited by

        @konstanti не нашёл в настройка ipsec mss, можно только на самом интерфейсе менять.

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @kashtan
          last edited by Konstanti

          @kashtan
          У Вас классический IPsec туннель или что-то поверх IPSec ?

          VPN/Psec/Advanced Settings

          d9d76a50-e54e-4ba9-809f-e7405e5cf3d3-image.png

          K 1 Reply Last reply Reply Quote 1
          • K
            kashtan @Konstanti
            last edited by

            @konstanti классический.
            на версии 2.4.4 mss есть, а на 2.6.0 нет.

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @kashtan
              last edited by

              @kashtan

              https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat.html

              K P 2 Replies Last reply Reply Quote 2
              • K
                kashtan @Konstanti
                last edited by

                @konstanti больше спасибо, сделал mss 1360 и всё полетело!!!
                Настройка в андвансед-файрволл на 2.6.0.

                На всякий случай ещё раз опишу что было, есть основной шлюз 2.6.0 к нему подключено несколько шлюзов разных версий по ipsec и когда идёт большой исходящий трафик с основного шлюза, интерфейс на котом весит ipsec тормозит, теряет пакеты, по логам только рестарты служб vpn ipsec видно и ничего не понятно.
                Но что интересно, что в сети рядом лежат другие pfsense, с такими же настройками, на тех же свитчах и гипервизорах, и всё летает.

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother @Konstanti
                  last edited by pigbrother

                  @konstanti said in Offline, Latency:

                  https://docs.netgate.com/pfsense/en/latest/config/advanced-firewall-nat.html

                  @kashtan said in Offline, Latency:

                  льше спасибо, сделал mss 1360 и всё полетело!!!

                  Странно и неудобно, что столь специфическую настройку поместили в общий раздел.
                  Как-то наступил на подобные грабли. Помогал коллеге сдавать объект с IPSEC филиал-> офис. Обе фазы поднимались, пинги ходили, но RDP\SMB\WWW не работали. Объект нужно было к утру открыть, пришлось экстренно поднимать OpenVPN.

                  K werterW 2 Replies Last reply Reply Quote 0
                  • K
                    Konstanti @pigbrother
                    last edited by

                    @pigbrother

                    Ничего странного и нелогичного с точки зрения разработчиков я не вижу

                    Данная настройка относится именно к опциям PF , и никакого отношения к Strongswan не имеет ( а в разделе IPSEC как раз находятся все настройки , на основании которых формируются конфигурационные файлы Strongswan )

                    А эта опция попадает в файл rules.debug (scrub )
                    Так что все ,по-моему , понятно , почему ее переместили в другое место

                    А проблема mss в Ipsec давно известна )

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter @pigbrother
                      last edited by

                      @pigbrother

                      Обе фазы поднимались, пинги ходили, но RDP\SMB\WWW не работали

                      1-м делом в таких случаях проверяю размер mtu:
                      ping -l <размер-пакета-в-байтах> -f -t <ip-addr>
                      Если он разный на концах, то привожу к единому знаменателю.

                      P 1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother @werter
                        last edited by

                        @werter said in Offline, Latency:

                        1-м делом в таких случаях проверяю размер mtu:

                        Насколько помню - mtu проверяли и меняли. А вот mss - нет.

                        1 Reply Last reply Reply Quote 1
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.