Ssh + OpenVPN

ssh + openvpn

0

1

Такая проблема: Есть несколько серверов, которые держат туннель на OpenVPN 2.1.0 Все работает отлично, кроме одного. Не могу просматривать файлы и вывод команд при подключению к этим серверам через внутренние адреса (10.10.10.0/24), сессия просто намертво зависает. При подключении через улицу (83.239.xx.xxx) все ок.

Ссылка

←	Установка сервера 1с x64 и хранилище конфигураций x32

Как уменьшить VDI?

→

MTU?

uspen ★★★★★
(11.04.12 11:19:07 MSK)

Ответ на: комментарий от uspen 11.04.12 11:19:07 MSK

1500

edyard
(11.04.12 11:23:04 MSK) автор топика

Ответ на: комментарий от edyard 11.04.12 11:23:04 MSK

пробую ставить меньше, видимо это ответ на мой вопрос

edyard
(11.04.12 11:24:59 MSK) автор топика

Ответ на: комментарий от edyard 11.04.12 11:24:59 MSK

видимо это ответ на мой вопрос

нет, это намек на то, что запрещать ICMP надо с умом.

~~no-dashi~~ ★★★★★
(11.04.12 11:58:21 MSK)

Ответ на: комментарий от no-dashi 11.04.12 11:58:21 MSK

Не понял, причем icmp ? через туннель разрешено все, ICMP режется только с улицы

edyard
(11.04.12 12:00:47 MSK) автор топика

Ответ на: комментарий от edyard 11.04.12 12:00:47 MSK

Не понял, причем icmp ? через туннель разрешено все, ICMP режется только с улицы

А я не верю. Вот извини - но не верю. Проблемы с MTU в 99.9% случаев порождены криворукими администраторами, которые режут или не разрешают ICMP там где не нужно.

~~no-dashi~~ ★★★★★
(11.04.12 12:05:06 MSK)

Ответ на: комментарий от no-dashi 11.04.12 12:05:06 MSK

да я и сам бы не верил, но..

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 2482K 713M ACCEPT all — eth0 * 0.0.0.0/0 0.0.0.0/0 49044 8408K ACCEPT all — tun0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 16 1128 ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 4768K 1737M ACCEPT all — eth0 tun0 0.0.0.0/0 0.0.0.0/0 4499K 537M ACCEPT all — tun0 eth0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 15M packets, 9567M bytes)

соответственно, eth0 - локальная сеть, tun0 - туннель \

edyard
(11.04.12 12:09:52 MSK) автор топика

Ответ на: комментарий от edyard 11.04.12 12:09:52 MSK

красивости не получились, так лучше видно http://paste.org.ru/?107bps

edyard
(11.04.12 12:12:16 MSK) автор топика

Ответ на: комментарий от edyard 11.04.12 12:12:16 MSK

Поставил link-mtu 1300 и все заработало !

edyard
(11.04.12 12:51:44 MSK) автор топика

Ответ на: комментарий от edyard 11.04.12 12:51:44 MSK

Я не очень вникал в конфиги, но вообще говоря: если с улицы запрет на icmp, а ведь верхний тоннель уже по улице бегает. Не?

DALDON ★★★★★
(11.04.12 12:54:08 MSK)

Ответ на: комментарий от DALDON 11.04.12 12:54:08 MSK

нет

edyard
(11.04.12 13:09:36 MSK) автор топика

Ссылка

Ответ на: комментарий от edyard 11.04.12 12:09:52 MSK

ЕМНИП если openvpn туннель идет по udp, то PMTU discovery не поможет - т.к. он работает только с туннелями поверх tcp. Другое дело то, что внутри туннеля протоколы, базирующиеся на tcp должны сами всё разрулить

Pinkbyte ★★★★★
(11.04.12 16:35:13 MSK)

Ссылка

Ответ на: комментарий от edyard 11.04.12 12:09:52 MSK

а с другой стороны файрвол точно icmp не режет?

Pinkbyte ★★★★★
(11.04.12 16:35:36 MSK)

Ответ на: комментарий от Pinkbyte 11.04.12 16:35:36 MSK

дело было в MTU, ICMP тут совершенно не причем. MTU интернет канала на обоих сторонах 1500 и MTU vpn туннеля был 1500, как я сам этого не заметил, не знаю

edyard
(11.04.12 21:15:39 MSK) автор топика

Ответ на: комментарий от edyard 11.04.12 21:15:39 MSK

при неполадках с MTU обычно шлется ICMP-сообщение Fragmentation Needed. Если оно адекватно обрабатывается - срабатывает Path MTU Discovery(если он не выключен). А теперь представь что происходит если это сообщение не обрабатывается, а отбрасывается файрволлом? Правильно - борода происходит!

Pinkbyte ★★★★★
(11.04.12 21:21:13 MSK)

Ответ на: комментарий от Pinkbyte 11.04.12 21:21:13 MSK

Ага, тогда понижение MTU просто позволило не появляться ICMP-сообщению. Странно конечно, но Бог с ним, как нибудь на досуге повникаю в ICMP коды ибо вещь необходимая

edyard
(11.04.12 21:25:47 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Установка сервера 1с x64 и хранилище конфигураций x32

Admin

Как уменьшить VDI?

→

Похожие темы