MTU blackhole?
-
Всем привет. Пытаюсь пропинговать с запретом на фрагментацию внешний интерфейс (за ним веб сервер) снаружи, и получаю превышен интервал ожидания для запроса. Утилита MTUpath выдает макс MTU 1372, при этом кидает варнинг что возможен PMTU Blackhole. Кто-нибудь сталкивался? ICMP на внешнем интерфейсе разрешен any to any. Спасибо заранее.
-
Web сервер идет сразу за интерфейсом или через провайдера?
Приходилось решать вопросы о проблемах MTU с одним очень известным провайдером (всего у меня около 30 подключений у различных провайдеров, у того с кем были проблемы их 9). Доказывать что "Ты не осел" приходилось ооочень долго. Мне помогло то, что много разных подключений, и я графиками мониторинга (пинги, потери, загрузка канала), скринами результатов (tcpdump, tracert) смог доказать что косяк у них, не зависит от моих настроек и оборудования. Было "весело". Долгая была история.
Можно посмотреть эту статью http://habrahabr.ru/post/136871/ - может натолкнет на мысль.
А так вообще находил "черный дыру" MTU от 1400 до 1472, при меньшем пакет проходил, при большем говорил о необходимости дефрагментации, а при MTU в рамках этой "дыры" - "превышен интервал…."
Нужно искать где может быть проблема, и если путь до web сервера немаленьких (и часть пути не Ваша) - то ответ может найтись далеко не сразу. Если путь весь Ваш, - рисуйте схему, обозначайте где стоят firewall'ы (именно на них часто эти проблемы), коммутаторы, - обозначьте какие mtu на каких интерфейсах и проверьте их тем же ping'ом. Если все прошло хорошо, тогда нужно проверить MSS (maximum segment size) - также рисуем какие где значения и проверяем их (может где-то искусственно занижено, или vpn-тоннель где-нибудь идет через интерфейс с заниженным mtu). Информации в сети об этом достаточно даже на русском. Нужно пробовать, искать - тогда все получится :)