Home » International » Russian » Как сделать ipip tunnel mtu > 1480 ?
| Как сделать ipip tunnel mtu > 1480 ? [message #37870] |
Thu, 29 October 2009 05:06  |
maxx
Messages: 13
Registered: November 2008
Location: Volgograd, Russia
|
Junior Member |
|
|
Использую контейнеры как виртуальные роутеры. Прокидываю в них вланы и туннели с нужных точек и подсетей, а внутри настраиваю все, что нужно клиенту (маршрутизацию, фаервол / nat, шейпинг и так далее). Использую также обычные ipip tunnel. У некоторых клиентов возникает проблема с mtu, так как большие пакеты с пометкой DF (не фрагментировать) через туннель 1480 байт не проходят.
Собственно, проблема. Описана также тут http://forum.nag.ru/forum/index.php?showtopic=52117.
Нужно на IPIP туннеле в Linux выставить mtu > 1480. Например, 1520. Команда "ip link set tun0 mtu 1520 up" замечательно работает, не ругается и затем "ip link show" показывает, что mtu стоит 1520, однако реально он равен mtu интерфейса, через который уходят инкапсулированные пакетыв минус 20 байт. Это легко проверить с помощью "ping -s 1500 -M do ...". Если включен PMTU на tunX, то ICMP сообщение четко показывает актуальный mtu на tunX.
Предполагаю, что потребуется пересборка ядра. Прежде чем копаться глучже, хотел узнать, может кто решал уже эту проблему. В BSD, кстати, все замечательно работает. Сколько поставишь mtu на туннеле, столько реально и будет (в разумных пределах конечно, на все ведь есть свои ограничения).
Краткий экскурс в проблему:
Собственно, поведение Linux в данной ситуации вполне разумно - понятно, что так делается для избежания излишней фрагментации больших пакетов. Однако, может возникать известная проблема. Несовпадение mtu у клиента (обычно 1500) с mtu на некоторых участках в сети провайдера (например, на туннелях, 1480), как известно, может приводить к нежелательной фильтрации пакетов большого размера с меткой DF (не фрагментировать).
Для решения этой проблемы есть специальный инструмент - PMTU, который подбирает MSS таким, чтобы пакеты этого размера с пометкой DF спокойно проходили от клиента до сервера (обычно, WEB). Механизм прост - если пришел слишком большой пакет с пометкой DF и он, например, не может упаковаться без фрагментации в туннель, то этот пакет отбрасывается, а отправителю посылается ICMP пакет с сообщением, каким должен быть максимальный размер сегмента в сети (MSS). Клиент уменьшает размер пакета и отправляется его снова, запоминая MSS для текущего TCP соединения.
Однако по ряду причин, PMTU может не работать. Самая распространенная из них - это фаервол на стороне клиента (к примеру, фильтруют все ICMP), причем клиент часто может отказываться подстраивать фаервол, а просто требует, чтобы все работало.
Что делают в таком случае? Есть разные варианты:
1. Принудительно заставлять все TCP соединения, проходящие через туннель, использовать подходящий MSS. Делают это с помощью фаервола. В Linux, например, так:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
или так
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss <value>
2. Принудительно сбрасывать флаг DF с пакетов, проходящих через туннель. Обычно, для этого используют патч для ядра и, опять-таки, с помощью фаервола, проделывают такой трюк.
Оба эти метода замечательно работают, но есть одно исключение - большие пакеты UDP с пометкой DF.
В итоге, остается вариант, делать на всем пути следования таких пакетов mtu 1500, а на IPIP туннелях, соответственно, 1520. Вот, откуда и возник изначальный вопрос. Буду благодарен любому опыту в решении этого вопроса.
|
|
|
|
Current Time: Thu Oct 16 00:45:37 GMT 2025
Total time taken to generate the page: 0.17498 seconds
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
