В Пнд, 15/12/2008 в 16:16 +0300, Max Kosmach пишет: > Покотиленко Костик пишет: > > >> Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу > >> сказать, > >> что это как раз вполне часто встречается, к сожалению. И что самое > >> печальное - часто бить таких админов невозможно по тем или иным > >> причинам. Вот и приходится людям изобретать IKE Fragmentation, IKEv2 и тд. > >> > >> > >> PS. Хотя бывают и более экзотические случаи чем банальный дроп icmp, > >> например мегафоновский 3G до недавноего времени дропал _первый_ пакет, > >> если его размер превышал магическое число 2 с чем-то килобайта. Да, > >> именно 2 с чем-то,а не 14xx/1500.(речь идет о фрагментированном IKE-пакете) > >> Что смешно - режется только первый большой пакет - стоит пройти хотя бы > >> одному пакету и далее можно слать любого размера. > >> Но эти хоть сознаются, что это их баг и они подумают. > > > > На крайняк, как тут советовали уже не раз, можно ограничить MTU у себя. > Можно, но как тут уже Артем написал - это процесс итерационный - > поломалось - минус байт 40 и попробовать еще. Опять поломалось - еще -40 :)
Точно :) > Но с IPsec (большая мозоль:) все чуть хуже - сертификат-то по любому > надо отправить, а они в 1500 байт бывает и не лезут (расширения и > т.д.), так что почти всегда требуется корректная работа с фрагментами, а > с этим опять у горе-админов проблемы - они считают что фрагментов не > существует :( Что одним пакетом обязательно должно? -- Покотиленко Костик <cas...@meteor.dp.ua> -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
