LINUX.ORG.RU
ФорумAdmin

FreeRADIUS и EAP-TLS проблема с MTU у виндовых клиентов

 , , ,


0

1

Привет. Есть FreeRADIUS EAP-TLS для 802.1x проводных подключений. С Линуксовыми ОС всё ок.

На Винде стоит сторонний VPN клиент, который понижает MTU адаптера до ~1300, НО Винда на EAP-TLS ответные с толстым клиентским сертом игнорит этот MTU и всё равно пытается слать размером 1492, отчего, пакет не выходит (если этот сторонний фильтр выключить, то всё ок).

У FreeRADIUS стоит Framed-MTU =1200, но, как я понял, это только на «выход», на поведение ответов клиента это не влияет.

В общем, как Винду (удалить VPN не вариант) заставить фрагментировать EAP-TLS на более мелкие пакеты или, в идеале, может есть у FreeRADIUS магия ?



Последнее исправление: Rif (всего исправлений: 2)
Порт открыт но не работает
Как завести в Youtrack 300 тасок и не вспотеть?

У FreeRADIUS есть в секции eap параметр fragment_size. Когда FreeRADIUS инкапсулирует EAP сообщение в RADIUS-ответ Access-Challenge, он нарезает EAP сообщение на фрагменты такого размера. RADIUS-ответ приходит на Ethernet коммутатор, тот извлекает фрагмент из RADIUS-ответа, инкапсулирует его в EAPoL кадр и шлёт хосту. То есть эта настройка влияет только на размер EAPoL кадров от коммутатора к хосту.

А кадры от хоста к коммутатору – это надо смотреть настройки суппликанта на хосте. Виндовый суппликант это тёмный лес. И не про линукс.

iliyap ★★★★★
()
Последнее исправление: iliyap (всего исправлений: 1)

(если этот сторонний фильтр выключить, то всё ок)

Что за «стороний фильтр»?

Может просто перестать блокировать icmp type 3 (Destination Unreachable) code 4 (Fragmentation Needed/DF set) ?

Вроде как оффтопик умеет отрабатывать эту icmp.

vel ★★★★★
()
Порт открыт но не работает
Admin
Как завести в Youtrack 300 тасок и не вспотеть?