Открыть список
Как стать автором
Обновить

Комментарии 21

Для гентушников:
Чтобы использовать эти правила для iptables в ядре должны быть включены две опции — CONFIG_NETFILTER_XT_TARGET_TCPMSS и CONFIG_NETFILTER_XT_MATCH_TCPMSS.
criminally braindead ISPs из мана мне осбенно понравилось
Однажды для каждого настоящего системного администратора (или исполняющего обязанности такового) наступает момент истины. Ему выпадает судьба настроить маршрутизатор на компьютере с установленной ОС GNU/Linux.

*trollface*
> Однажды для каждого настоящего системного администратора (или исполняющего обязанности такового) наступает момент истины. Ему выпадает судьба настроить маршрутизатор на компьютере с установленной ОС GNU/Linux

Фак, я не настоящий :(

> Обескураженный админ звонит в техподдержку провайдера, но там от него быстро избавляются, советуя попробовать настроить маршрутизатор на OC Windows, а если уж и там не работает тогда… купить аппаратный маршрутизатор

И правильно делают, ибо нефиг. Лучше уж самый дешевый дерьмолинк, если сдохнет — можно взять на складе следующий из кучи, залить конфиги и работать дальше. Ну или брать сразу надежное решение — циски там, жуниперы всякие. Роутер на Windows тоже изврат, особенно учитывая что они разучились OSPF.

> Фак, я не настоящий :(

Ну не нашел я тут тега irony… Кто знает как им пользоваться — подскажите.

> И правильно делают, ибо нефиг. Лучше уж самый дешевый дерьмолинк, если сдохнет — можно взять на складе следующий из кучи, залить конфиги и работать дальше. Ну или брать сразу надежное решение — циски там, жуниперы всякие. Роутер на Windows тоже изврат, особенно учитывая что они разучились OSPF.

Не согласен с вами. Маленькая конторка у которой есть задачка пропускать большой поток трафика(по pps) + например шейпить его. Например веб-студия. Согласитесь, что цена старого системника с Linux и цена Cisco или Juniper, подходящего для этих целей, слабо сопоставимы. Я также считаю что кол-во таких маленьких фирмочек и кол-во тех, кто может себе позволить cisco тоже не сопоставимо.
Можете просто выделять текст курсивом ;-)
«Итак: если у Вас Такая Ситуация, то — Поздравляю! Вы столкнулись с Path MTU Discovering Black Hole.»

Поздравляю, Вы создали Path MTU Discovering Black Hole.

Задача начинающего администратора- не мешать работать тому что давно придумано (PMTU) и должно работать.
Ээээ… вы внимательно прочитали то что я написал? Да — в моей тестовой сети действительно искусственно создается Path MTU Discovering Black Hole фактически в зоне ответственности админа. Но в реальной сети все это происходит далеко за этой зоной. Мысленно поставьте еще одну машину между deb-serv-03 и deb-serv-05 — ситуация не изменится. Или представьте что меньший MTU — на vmnet1 у deb-home. В реальности это происходит либо из-за использования капсуляции(pptp или иной vpn) при организации доступа клиенту, либо например при введении дополнительного vlan в сети провайдера. Т е при уменьшении где-то MTU ниже стандартного 1500. И конечный админ на это повлиять ну никак не может.
например при введении дополнительного vlan в сети провайдера.

Неверно написал. Правильнее будет — при введении дополнительной капсуляции в сети провайдера. Не обязательно это vlan, может быть и pppoe или еще что-то.
Alex2ndr, я не со зла.

Часто встречается ситуация, когда новички блокируют весь ICMP на роутере и мешают работать тому же PMTU.

Чем больше людей знает о связи PMTU, ICMP, инкапсуляции — тем лучше :)

Удачи.
Допустим есть конечный веб-сервер который пропускает только TCP только на 80-й порт, ICMP закрыт полностью. На сервере MTU 1500.
Каким образом возможно смоделировать ситуацию при которой сайт не загрузится полностью? При MTU 1472 на ADSL модеме проблем нет.

Чисто теоретически вы уже имеете такую ситуацию. А работает оно… тут есть 2 варианта:
1. Ваш адсл модем уже добавил себе опцию -j TCPMSS --clamp-mss-to-pmtu. Я точно не скажу, но по моему в модемах производства D-Link это включено по умолчанию.
2. Кто-то еще по пути следования пакета имеет меньший или сравнимый MTU и добавил себе такую опцию.
Для запихивания tcp в vpn туннель использовал просто
ip ro add 10.10.10.0/24 via 192.168.0.1 mtu 1400

В некоторых случаях это решает проблему проще.
А с той стороны используются аналогичные настройки? У нас была проблема с партнёрами, которые по какой-то причине запретили ICMP через тоннель и игнорировали просьбу его открыть или настроить MTU у себя на интерфейсе. В итоге от на уходили нормальные пакеты (≤ PMTU), а ответы фрагментировались с той стороны.
А фрагментация черевата потерями из-за чего размер окна TCP не увеличивается — скорость передачи очень низкая.
Ну я не знаю, какие у вас каналы, что фрагментация становится серьезной пробелмой. Я не говорю, что фрагментация это хорошо, но я думаю что там 100 Мбит обычный десктоп будет пересобирать практически без нагрузки. Если скорость сильно низкая проблема скорее всего в другом.
А, неправильно понял о чем вы. Предыдущий комментарий считать ничтожным.
Нет, с обратной стороны icmp работали при правильно выставленном MTU интерфейса, который смотрел в VPN сеть. Иначе пришлось бы всем клиентским машинам выставлять MTU, что неудобно, или применять технологию топикстартера.
MSS Clamping, насколько мне известно, умеет любая современная ось.
А команда «ip6tables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu» позволит вам, наконец, почитать lkml.org при поднятом 6to4 туннеле.
а зачем делать в домашней сети (самая первая картинка) MTU=1400?
Если админ просто расшарил интернет маленькому проводному офису, незачем занижать MTU на внутреннем интерфейсе.
Не будет же у нас во внутренней сети ADSL или PPP.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.