Re: Problem s VPN tunely - zrejme fragmentace

Sat, 14 Nov 2009 11:20:16 -0800 

Radek Krejca napsal/wrote, On 11/14/09 17:56:

DL> Jen na okraj - zrovna tenhle problem je celkem snadno
DL> diagnostikovatelny. To se pusti tcpdump, nejprve na vstupnim interface,
DL> pak n atunelovem interface a pak na vychozim interface a clovek hned vi
DL> kudy paket sel pripadne nesel.

To jsem zkoumal, nicmene je pravda, ze ne dostatecne. Takze jelikoz
prave nemam pristup k pc, kde mam nainstalovany inkriminovany vpn
tunel, tak zde simulace na pingu. Sit je nasledujici:

10.0.0.1 - muj router - muj pocitac

Vystupni (interface blize 10.0.0.1) interface na muj router pres
tcpdump pri pouziti prikazu ping -l 1500 10.0.0.1 na muj pocitace
(mam ted k dispozici pouze win).

17:39:50.649012 IP 192.168.2.104 > 10.0.0.1: ICMP echo request, id 768, seq 
12800, length 1480
17:39:50.649014 IP 192.168.2.104 > 10.0.0.1: icmp
17:39:56.149009 IP 192.168.2.104 > 10.0.0.1: ICMP echo request, id 768, seq 
13056, length 1480
17:39:56.149011 IP 192.168.2.104 > 10.0.0.1: icmp
No, to ale znamena, ze paket na vystupnim interface je. Zda se byt fragmentovany (ten vystup je prilis orizly na to, aby se dalo rict "urcite" a "spravne" a "vsechny fragmenty") ale v kazdem pripade tam je.
Nicmene, tohle asi neni zaznam "tunelovych" paketu - to by jen tezko poznalo, ze je uvnitr ICMP. Tohle je nejspis stav pred vstupem do tunelu.
Takze jeste je treba zkoumat tunelove odchozi pakety. Idealne mit ty tcpdumpy spustene vsechny soucasne. Abys videl, ktere radky k sobe patri.
Pokud ke kazdemu paketu tak, jak jsi ho zaznameanl shora, bude jeden nebo vice odchozich tunelovych paketu, pak bude na case presunout se se zkoumanim na druhy konec tunelu. Pokud ne, problem je nekde tady. 



ip:
        2480402489 total packets received
        10380325 output datagrams fragmented
        39989831 fragments created
        20 datagrams that can't be fragmented
Ukazuje se, ze se u tebe pomerne intenzivne fragmentuje. Coz mimochodem neni z hlediska pruchodnosti a spolehlivosti moc dobre. Mel bys vysilajici aplikaci vysvetlit, ze takhle velke pakety jsou proste moc velke.
Jen me tak napada - TCP aplikace si maximalni vhodnou velikost paketu vetsinou samy spravne zjisti. Pokud nejaky nevhodne nakonfigurovany firewall po ceste nelikviduje informacni ICMP, ktere k tomu jsou potreba. Takze - pokud - samozrejme, ze je dobre vyresit i problem nefunkcni fragmentace. Ale i kdyz to dokazeme, porad zustane problem "jak je mozne, ze je fragmentace vubec potreba". 

                                                Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem