OpenVPN + Quagga OSPF нет маршрута при изменении MTU
-
http://serverfault.com/questions/434969/ospfd-over-an-openvpn-link-strange-error-in-logs
I gave up struggling with OpenVPN in tun mode and set up a tap-based OpenVPN. Everything started to work as expected.
P.s. http://blog.ipspace.net/2009/11/ip-ospf-mtu-ignore-is-dangerous-command.html
-
В General Settings не нужно указывать никакие "Subnet to Route". На сервере и на клиенте в Interface Settins добавьте интерфейсы LAN с той же Area и установленным флажком Interface is passive
-
спасибо за 2 поста выше! Вы оба правы!
Проблема решена! -
сглазил….
сделал tun->tap, поменял настройки OSPF, удалил доп параметры tun-mtu с обоих концов.... пинг в 9к прошёл!
Но спустя некоторое время - всё вернулось на круги своя :) попробовал всё вернуть на место и проделать ещё раз - всё равно фрагментации пакета нет.
Я же правильно понимаю, как вариант можно активировать ip ospf mtu-ignore: disabled ? а как это сделать через веб-pfsense? -
2 derwin
Можно ли еще раз скрины настроек (global settings, interfaces) клиента и сервера, учитывая это :
В General Settings не нужно указывать никакие "Subnet to Route". На сервере и на клиенте в Interface Settins добавьте интерфейсы LAN с той же Area и установленным флажком Interface is passive
Спасибо.
-
сервер
-
клиент
-
есть идеи?
-
Может только с пингом что-то не так? У меня те же симптомы в одну сторону (потому что все клиенты Mikrotik), кстати tun, но каких-то проблем со связью не наблюдается.
В любом случае решение похоже есть. Объявите OpenVPN интерфейсы сервера и клиента явно, через Interfaces > (assign) и разрешите их (галка Enable Interface). Никаких настроек в них делать не надо, только имя задать разве что. Удалите в Quagga OSPFd > Interface Settings старые интерфейсы OpenVPN и добавьте вместо них вновь объявленные. -
Да, после явного объявления интерфейса в Status > Interfaces убедитесь, что он имеет IP из туннельной сети, а он конечно же не имеет никогда. Тут проще всего перезагрузиться.
Вообще вся эта связка из OpenVPN + явные интерфейсы + OSPF отличается страшным глючевом потому что все наперебой пихают свои маршруты в RT и например после редактирования настроек OpenVPN клиента/сервера он не поднимается пока не запретишь явный интерфейс, потом поднимается, разрешаешь интерфейс - он не имеет адреса, и все по кругу. Презагрузка как ни странно помогает, как-то они договариваются. -
эта проблема актуальна для Windows XP, который шлёт 2кб пакет для проверки тикета Kerberos. Тип пакета UDP
Т.е. компы на этой винде со временем теряют домен AD. -
IPSec (L2) вместо OpenVPN пробовали ?
-
ещё нет. Обязательно попробую.
-
Только tap сперва.