OpenVPN + large MTU



  • Проблема такая. pfSense 2,2
    На днях выяснял, почему с удалённой по OpenVPN(site-to-site) сетки клиенты AD на WinXP не видят домен и не применяют GPO.

    Снифером вытащил - что перед определением контролера домена машина на XP делает пинг-тест пакетом длиной 2048 байт. Пакеты такой длины через OpenVPN линк не проходят, и тачки отказываются работать в доменной среде, записывая в EventID событие 1054 (не удалось определить контролер домена). Наиболее понятное описание проблемы тут

    Как мне заставить проходить пакеты длиной более 1472 через линк OpenVPN??? есть у кого нибудь такой опыт?

    PS: я пробовал комбинацию

    fragment 1400
    mssfix

    всё равно не работает.
    Если выставить

    mssfix 1400

    то всё равно пакетики не ходят

    Обмен пакетами с 192.168.40.1 по с 1500 байтами данных:
    Ответ от 192.168.220.6: Заданный узел недоступен.
    Ответ от 192.168.220.6: Заданный узел недоступен.



  • Обмен пакетами с 192.168.40.1 по с 1500 байтами данных:
    Ответ от 192.168.220.6: Заданный узел недоступен.
    Ответ от 192.168.220.6: Заданный узел недоступен.

    Судя по этому цитате выше , проблема не в "Как мне заставить проходить пакеты длиной более 1472".
    У вас проблема с настройкой OpenVPN, маршрутизацией, правилами fw etc.

    Что на концах туннеля (pfsense, win, *nix)? Какой тип адаптера OpenVPN ? Установлена ли галка на разрешение прохождения NetBIOS трафика ?

    И да, рисуйте схему со всеми адресами!

    P.s. Вот честно, если еще один вопрошающий выдаст что-то похожее из разряда "у меня болит голова" без приложения схемы, скринов настроек, скринов правил fw и т.д. и т.п. - буду посылать прямым текстом не боясь быть забаненным  >:(
    Люди, вы "занянчили" своими формулировками неизвестного.



  • fw rules - на интерфейсе OpenVPN стоит allow all

    Локальная сеть - 192.168.1.0/24
    туннель - 192.168.220.4/30
    Удалённая сеть - 192.168.40.0/24

    Site-to-site соединение на базе pfSense 2.2
    Настройки сервера, а так же клиента . Всё что не показано на скриншотах - по дефолту (пусто).

    Поверх туннеля гуляет OSPF, не вижу смысла приводить его настройки.

    Установлена ли галка на разрешение прохождения NetBIOS трафика ?

    О какой галочке Вы говорите?

    У вас проблема с настройкой OpenVPN, маршрутизацией, правилами fw etc.

    А маршрутизация тут причём??



  • Вопрос снят, всё решилось задействованием параметра tun-mtu
    Только осталось непонятно, почему mtu не определился автоматически.



  • @derwin:

    Вопрос снят, всё решилось задействованием параметра tun-mtu
    Только осталось непонятно, почему mtu не определился автоматически.

    http://tuxnotes.ru/note/1

    tun-mtu < mtu size > - устанавливает максимальный размер MTU. По умолчанию tun-mtu равен 1500

    Он-то опредилился. Это к вашему провайдеру вопрос о размере mtu в его сети.
    На WAN-е случаем не L2TP\PPTP на одном из концов туннеля ?
    Далее. Текущий максимальный размер пакета можно определить опытным путем с пом. команды ping, пример : ping -l 1472 -f -t ya.ru
    Если пакет не пролазит - уменьшаем значение после -l
    Или же исп. утилиту mturoute (http://www.elifulkerson.com/projects/mturoute.php)



  • на WANе голый эзернет.
    Максимальный размер пакета я уже нашёл, и указал его в первом посту. И проблема исключительно внутри OpenVPN туннеля, всё остальное работает отлично.


Log in to reply