боремся с фрагментацией пакетов MTU MSS

izuware

Доброго здоровья..

Столкнулся с проблемой "умирания" IPSEC. Решение проблемы выглядит так
iptables -t mangle -A INPUT -j TCPMSS –set-mss 1402 -s  {branch office IP} -p tcp --syn

подробное описание http://www.dlink.co.il/ru/faq/92/507.html

а как это решить на pf ?

izuware

Cейчас на страничке интерфейса поставил MTU 576,  tcpdump показывает что пакеты ходят по 1360…. ничего не понимаю но каналы пока работают.  Насколько это правильный выход? ifconfig кстати все равно пишет 1500, куда же уходит правильный параметр?

# ifconfig rl2
rl2: flags=8843 <up,broadcast,running,simplex,multicast>mtu 1500
        options=8 <vlan_mtu></vlan_mtu></up,broadcast,running,simplex,multicast> 

Shraik

вот, было про иписеки и мтэу

http://forum.pfsense.org/index.php/topic,19900.0.html

izuware

@Shraik:

вот, было про иписеки и мтэу

http://forum.pfsense.org/index.php/topic,19900.0.html

там они тоже в закладке вэба поменяли, это получается для всех соединений, а хотелось бы для конкретных. хотя уже все равно, два дня полет нормальный для всех впнов.

Eugene

а при чём тут iptables?

zar0ku1

@Eugene:

а при чём тут iptables?

казалось бы…

izuware

пофлудим?

zar0ku1

@izuware:

пофлудим?

конечно

scrub in on <if0> all no-df</if0>

izuware

@zar0ku1:

scrub in on <if0> all no-df</if0>

в каком месте применять? после перезагрузки правил файрвола ?

zar0ku1

@izuware:

в каком месте применять? после перезагрузки правил файрвола ?

в pf прменять… эммм... а как у тебя это правило заработает, если ты не перезагрузишь/перечитаешь фаервол?

dvserg

Посмотрите в сторону меню System > Advanced раздел Traffic Shaper and Firewall Advanced . Читаем и активируем нужные галки.

• Clear DF bit instead of dropping
• Firewall Optimization Options
• Disable Firewall Scrub

izuware

@zar0ku1:

@izuware:

в каком месте применять? после перезагрузки правил файрвола ?

в pf прменять… эммм... а как у тебя это правило заработает, если ты не перезагрузишь/перечитаешь фаервол?

так и не понял, куда записать..  :-\

izuware

@dvserg:

Посмотрите в сторону меню System > Advanced раздел Traffic Shaper and Firewall Advanced . Читаем и активируем нужные галки.

• Clear DF bit instead of dropping
• Firewall Optimization Options
• Disable Firewall Scrub

спасибо, попробую.
а на что это должно повлиять?
первый пункт снимаем DF вместо дропа пакета.. так пакеты на самом деле не дропаются …
по второму не понятно что выставить, у меня везде по умолчанию, нормаль
третий вообще непонятен, слово scrub услышал вчера впервый раз  ???

zar0ku1

@izuware:

cпасибо, попробую.
а на что это должно повлиять?
первый пункт снимаем DF вместо дропа пакета.. так пакеты на самом деле не дропаются …
по второму не понятно что выставить, у меня везде по умолчанию, нормаль
третий вообще непонятен, слово scrub услышал вчера впервый раз  ???

http://www.openbsd.org/faq/pf/scrub.html

@izuware:

так и не понял, куда записать..  :-\

настоятельно рекомендую почитать что такое packet filter (pf) и как им пользоваться