vpn furcsaság

Hálózatok általános

Sziasztok!

 

Létrehoztam egy vpn-t (Windows RRAS), amin keresztül ssh-n rájelentkezek linuxos szerverekre. Működik is a dolog, némi szépséghibával. Az első meglepetés akkor ér, amikor mc-t akarok indítani: üres képernyő fogad, jobb felső sarokban a panel sarka látszik, és ebbe az állapotba bele is fagy.

Az ip a parancs szintén fagy. Ez kiírja a loopback if adatait, a következő if-ből már semmit, megfagy. Az összes Linuxos szerverünk ezt csinálja következetesen. Amikor a régi vpnnel csatlakozok, akkor ezek a hibák nem jelentkeznek. Mi okozhat ilyen hibákat? Logban nem látok hibajelzést.

  • 334 megtekintés

( junior013 | 2022. 02. 10., cs – 14:22 )

Szerkesztve: 2022. 02. 10., cs – 14:27

MTU vs. MSS eltérés szokott ilyet okozni: Amíg pici csomagok jönnek mennek (login, 1-2 sor, stb.) addig semmi gond, amint egy nagyobb adat meghaladja a csomagméretet, az már eldobódik.

Persze, ennek az egyeztetésnek normál esetben le kellene futnia a két végpont között. Hogy hol akad el, azt kell kideríteni. Ha esetleg az ICMP-t valami tűzfal fogja a két végpont között, az lehet probléma.

"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Teszteltem a mtu path-ot, amely az új vpn esetén

[WARNING] Possible PMTU blackhole in route to peer

üzenetet ad. A ping a régi vpn esetén

ping 1.2.3.4 -f -l 1472 

Packet needs to be fragmented but DF set. 

üzenetet ad, míg az új vpn esetén szimplán nem ping vissza mindaddig, amíg nem veszem vissza kellően a csomag méretét.

A RRAS szerveren engedélyezve van a Destination Unreachable Fragmentation Needed (ICMPv4-In) szabály bármely hálózatból.

( uid_6201 v | 2022. 02. 10., cs – 14:36 )

ping-elj át rajta nagyobb méretű csomaggal és DF flag-gel.
$ ping -Mdo -s <méret> <host>
Megoldás: VPN MTU-t a valósra visszavenni vagy az IP csomagjáról a DF flaget akár tűzfal mangle táblában levenni.

Elég sokat kínlódtam a dologgal az utóbbi napokban. Visszább vettem a szerver belső interfészének MTU-ját, valamint a RAS Dial-in if MTU-ját is. Volt, hogy ment is rendesen a kapcsolat, aztán megint nem. Most ott tartok, hogy akkor megy stabilan, ha a kliens oldalon is kézzel beállítom azt az MTU értéket, vagy kisebbet a vpn if-re, mint ami a szerver RAS interfészének MTU-ja.

Már csak az a kérdés, miért nem megy ez automatikusan?

Miért áll át a RAS if MTU-ja annak ellenére, hogy én megjegyeztetem vele?

netsh int ipv4 set subint "29" mtu=1250 store=persistent