Problem s MTU (v GRE tunelu)
Zdravím síťaře. Mám takový jeden problémek v sítí a asi jsem vyčerpal všechny své možnosti k nápravě, tak se zkusím obrátit sem.
Jde mi o PtP bezdrátový spoj. Kvůli prostupu multicastu wifi spojem je přes PtP spoj veden GRE tunel, který má na obou stranách IP adresy a skrz tuto trasu jde OSPF, a je jím routovaný kompletní provoz PtP spoje. MTU GRE rozhraní, kvůli hlavičce navíc je sníženo na 1476.
A tu je ten problém. Z nějakého mě neznámého důvodu nefunguje ani na TCP spojeních zjištění nejnižšího MTU trasy, pakety chodí o velikosti 1500, dochází k fragmentaci, což jednak snižuje kapacitu spoje, ale, jak jsem zjistil, některé webové serveru (například rajče nebo fejsbuk) nelibě nesou fragmentaci a například rajče nenaběhne vůbec. Po ručním snížení MTU na síťovce (linux, žádný problém) na 1476 se provoz najednou krásně rozběhne.
Co jsem zkoušel:
Kompletní rodina ICMP povolené všude
Zkoušel jsem zmenšit MTU na fyzickém rozhraní, na které se na druhé straně spoje připojují klienti, tedy rozhraní, na které je připojený AccessPoint, na 1476. Měl jsem podezření, že by GRE tunnel nějakým způsobem nedával vědět o fragmentaci, ale ani zde nedošlo ke zmeněně k lepšímu.
Zkoušel jsem přes DHCP vnutit (Option 26) klientům MTU na síťovce, ale to mi windows úspěšně ignorují. Myslím, že linux to vzal, ale musel bych si to několikrát opakovaně ověřit.
Na straně, kde jsou klienti je routrem (a iniciatorem GRE tunelu) routerboard s mikrotikem , na druhé straně je routrem EdgeMax router od Ubiquiti, který dělá směrem do internetu i překlad adres.
Díky za jakékoli nakopnutí schůdným směrem.
JR
1. ohledně fragmentace a ICMP fragmentation: ty to možná povolené máš, ale po celé cestě tomu tak být nemusí.
2. jak máš nastaveno MSS?
http://www.linuxtopia.org/Linux_Firewall_iptables/ x4700.html
Ou, magle tabulky... hmmm
ja myslel, ze to pujde bez podvadeni. Jistou nadeji vkladam do postupneho prechodu klienskych siti na IPv6 only.
Jsem zvedavy, jestli to pujde na tom UBNT routru nastavit.
jo, "máklé" tabulky
To je obecně problém GRE tunelu, tunelu, mikrotiku, jinde? Při lovení paketů i jen v rámco mojí sítě, navíc ze sítí, kde je povolený veškerý provoz jsem nezaznamenal žádný požadavek na změnu MSS, přestože komunikace prochází GRE tunelem. Nevybavuju se, že bych měl podobnou zkušenost s předchozím mikrotikýckým EoIP tunelem.
A co když dorazí paket, který má být směrován do tunelu a už má MSS menší než MTU tunelu (někde po cestě je něco užšího), i tam dojde k přepisu?
Tak ten workaround s mangle tabulkama funguje. Da se to nastavit i na tom EdgeRouter, ale jen s pevnym MTU? nejde tam clamp-mss-to-pmtu. Respektive ono by slo, pod tim jsou normalni iptables na linuxu, ale ja to radeji budu konfigurovat jen z cli.
Diky moc
PS: to je snad poprvé, co se mi na úzce odbornou otázku zde na poradně dostalo odpovědi
tak tvoje otázky jsou většinou obdobou toho, co z fyzikálna řeší Stephen Hawking