SZ
Ну вы пытаетесь подсунуть лицензию от другого клиента. У вас сейачс какая лицензия стоит? Можете открыть блокнотом и проверить идентификатор клиента в каждой лицензии. Если у Вас там какая-то тестовая снимите ее и подсуньте новую.
Size: a a a
2020 September 23
K
Добрый день, я правильно понимаю что mtu в VPN-канале для пользовательского трафика должно быть меньше 1360? это вызвано накладными рвсходами гост шифрования? а умеет ли континент снимать df бит, ставить принудительно вроде умеет, а как снимать не нашел
В 3.7.7 можно снимать, MTU в канале VPN на L3 1448 байт, по идее Континет сам отсылает ICMP клиенту с требованием понизить MTU
SZ
Это в свойствах КШ. Автоматом стоит галочка "Автоматически согласовывать MTU в канале VPN" это значит ставиться флаг df и используется ICMP тип 3 код 4 для определения мту в канале. Если вы снимите галочку, то флаг df ставится не будет и определятся мту на канеле тоже не будет
Р
Это в свойствах КШ. Автоматом стоит галочка "Автоматически согласовывать MTU в канале VPN" это значит ставиться флаг df и используется ICMP тип 3 код 4 для определения мту в канале. Если вы снимите галочку, то флаг df ставится не будет и определятся мту на канеле тоже не будет
ставить я понял, а снимать он будет проходящие через него?
SZ
он просто на туннельные пакеты не будет этот флаг ставить
SZ
mss где-то там же да
Р
он просто на туннельные пакеты не будет этот флаг ставить
если ко мне прилетает пакет больше 1448 и с df, то с этой установкой он всё равно его отбрасывает?
SZ
нет, отбрасывать нечего не будет) Он зашифрует трафик пользователя, а дальше по своему МТУ на интерфейсе будет отправлять пакеты без флага df, ему в этом случае все равно что на пути будет устройство с меньшим МТУ, это устройство разобьет на 2 пакета.
SZ
А когда у вас все из коробки то кш во внешнем канале согласовывает МТУ и только потом отправляет пакеты нужной длины и с флагом df
DV
Доброго дня. Коллеги, подскажите, а есть ли документ по алгоритму перехода с 3.7 на 3.9?
Р
А когда у вас все из коробки то кш во внешнем канале согласовывает МТУ и только потом отправляет пакеты нужной длины и с флагом df
внешний канал это vpn? просто проблема именно с пользовательским трафиком теряются большие пакеты и я хочу понять как это лучше лечить "Настройки MSS" и установить нужную длину или убирать "Автоматически согласовывать MTU в канале VPN". я правильно понимаю, что df убирается только внутри VPN, а не на пользовательском трафике?
SZ
Да, просто может возникнуть следующая ситуация: на внешнем канале(например Интернет) у кого-то мту меньше 1500 и это устройство не отвечает на ICMP. КШ будет слать пакеты 1500 и будет ставить флаг df. Эти пакеты дропнутся в итоге на этом устройстве. А вот если пойдет пакет 1500 без флага df то он пройдет.
SZ
КШ с вашими пользователями сам должен согласовать МТУ с учетом вычета для VPN заголовка
SZ
я бы либо флаг убирал с двух сторон, либо МТУ подгонял, ну либо MSS но он только для TCP трафика
Р
я бы либо флаг убирал с двух сторон, либо МТУ подгонял, ну либо MSS но он только для TCP трафика
с двух сторон это как? на конечных устройствах пользователей тоже?