Re: Problem s VPN tunely - zrejme fragmentace

Tue, 17 Nov 2009 23:51:39 -0800 

Zbyněk Burget napsal/wrote, On 11/16/09 14:38:
vetsina TCP komunikace nastaveny "Don't fragment" flag. Na UDP zalezi na typu provozu. Beznych 512B DNS paketu by se fragmentovat nemelo, ale vetsi pakety se fragmentovat mohou. 


Hmmm - takze kdyz mam sit s nekolika sty prevazne domacimi uzivateli, 
kde se "telefonuje" Skypem a ICQ, telefonuje pomoci VoIP, pouzivaji 
ruzne torrentove stahovace, tak tam ten UDP provoz je celkem cily... To 
se pak asi opravdu bude spatne odhadovat, jestli je neco moc nebo malo.



Existuje celkem dobry duvod, proc fragmentaci zabranit, ledaze ti na 
doruceni paketu opravdu prilis nezalezi. A ten duvod plati pro TCP a UDP 
stejne, Rozdil je jen v tom, ze zatimco na TCP se ti o reseni postara 
sitovy stack, na UDP si to (stejne jako radu dalsich veci) musi resit 
aplikace. A rada jich se to nejak resit snazi (prinejmensim tak, ze 
posilaji pomerne male pakety a doufaji, ze "to uz staci").



Ale kdyz si zjistis jake pakety tvoji sit opousteji fragmentovane, 
identifikujes jim prislusnou aplikaci a odhadnes jeji tok, tak zjistis, 
co bys mel povazovat za "normalni" ve tve siti.



ip:
        2196194 packets reassembled ok



Tohle uz muze byt divny. Pakety se reassembluji pouze v cili (a pak to 
jest emuze byt duvosedk nekterych firewallovych pravidel). Na tom tvem 
stroji asi Skype, ICQ, torrenty a buhvicojeste nebezi. Ledaze pro 
vsechny tyhle veci dela preklad ...



...a pri prohlizeni dalsich parametru se mi jeste nelibi tyhlety - nebo 
je to v poradku?


        5685 bad header checksums
        2 with size smaller than minimum
        149501 with data size < data length



To vsechno jsou pakety poskozene. Typicky vadne sitove karty (pripadne 
dobre karty v pretaktovanem pocitaci), nekdy vadna kabelaz pripadne 
elektromagneticke ruseni, ktere do kabelaze pronika.



        76547 packets for unknown/unsupported protocol
        21487 packets received for unknown multicast group


To nic moc neznamena - takove pakety skutecne nekdo poslat.


        8813 output packets dropped due to no bufs, etc.



Tolik paketu bylo zahozeno, protoze se "neveslo do linky". Dokud ale 
nevis do ktere tak nemas co resit. A to cislo je male.



        10 datagrams with bad address in header


Tohle vlastne nevim co je. Musel bych se podivad do zdrojaku ...

                                        Dan


--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l























					Odpovedet emailem