Ssh + OpenVPN

ssh + openvpn

0

1

Такая проблема: Есть несколько серверов, которые держат туннель на OpenVPN 2.1.0 Все работает отлично, кроме одного. Не могу просматривать файлы и вывод команд при подключению к этим серверам через внутренние адреса (10.10.10.0/24), сессия просто намертво зависает. При подключении через улицу (83.239.xx.xxx) все ок.

Ссылка

←	Установка сервера 1с x64 и хранилище конфигураций x32

Как уменьшить VDI?

→

MTU?

uspen ★★★★★
(11.04.12 07:19:07 UTC)

Ответ на: комментарий от uspen 11.04.12 07:19:07 UTC

1500

edyard
(11.04.12 07:23:04 UTC) автор топика

Ответ на: комментарий от edyard 11.04.12 07:23:04 UTC

пробую ставить меньше, видимо это ответ на мой вопрос

edyard
(11.04.12 07:24:59 UTC) автор топика

Ответ на: комментарий от edyard 11.04.12 07:24:59 UTC

видимо это ответ на мой вопрос

нет, это намек на то, что запрещать ICMP надо с умом.

~~no-dashi~~ ★★★★★
(11.04.12 07:58:21 UTC)

Ответ на: комментарий от no-dashi 11.04.12 07:58:21 UTC

Не понял, причем icmp ? через туннель разрешено все, ICMP режется только с улицы

edyard
(11.04.12 08:00:47 UTC) автор топика

Ответ на: комментарий от edyard 11.04.12 08:00:47 UTC

Не понял, причем icmp ? через туннель разрешено все, ICMP режется только с улицы

А я не верю. Вот извини - но не верю. Проблемы с MTU в 99.9% случаев порождены криворукими администраторами, которые режут или не разрешают ICMP там где не нужно.

~~no-dashi~~ ★★★★★
(11.04.12 08:05:06 UTC)

Ответ на: комментарий от no-dashi 11.04.12 08:05:06 UTC

да я и сам бы не верил, но..

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 2482K 713M ACCEPT all — eth0 * 0.0.0.0/0 0.0.0.0/0 49044 8408K ACCEPT all — tun0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 16 1128 ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 4768K 1737M ACCEPT all — eth0 tun0 0.0.0.0/0 0.0.0.0/0 4499K 537M ACCEPT all — tun0 eth0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 15M packets, 9567M bytes)

соответственно, eth0 - локальная сеть, tun0 - туннель \

edyard
(11.04.12 08:09:52 UTC) автор топика

Ответ на: комментарий от edyard 11.04.12 08:09:52 UTC

красивости не получились, так лучше видно http://paste.org.ru/?107bps

edyard
(11.04.12 08:12:16 UTC) автор топика

Ответ на: комментарий от edyard 11.04.12 08:12:16 UTC

Поставил link-mtu 1300 и все заработало !

edyard
(11.04.12 08:51:44 UTC) автор топика

Ответ на: комментарий от edyard 11.04.12 08:51:44 UTC

Я не очень вникал в конфиги, но вообще говоря: если с улицы запрет на icmp, а ведь верхний тоннель уже по улице бегает. Не?

DALDON ★★★★★
(11.04.12 08:54:08 UTC)

Ответ на: комментарий от DALDON 11.04.12 08:54:08 UTC

нет

edyard
(11.04.12 09:09:36 UTC) автор топика

Ссылка

Ответ на: комментарий от edyard 11.04.12 08:09:52 UTC

ЕМНИП если openvpn туннель идет по udp, то PMTU discovery не поможет - т.к. он работает только с туннелями поверх tcp. Другое дело то, что внутри туннеля протоколы, базирующиеся на tcp должны сами всё разрулить

Pinkbyte ★★★★★
(11.04.12 12:35:13 UTC)

Ссылка

Ответ на: комментарий от edyard 11.04.12 08:09:52 UTC

а с другой стороны файрвол точно icmp не режет?

Pinkbyte ★★★★★
(11.04.12 12:35:36 UTC)

Ответ на: комментарий от Pinkbyte 11.04.12 12:35:36 UTC

дело было в MTU, ICMP тут совершенно не причем. MTU интернет канала на обоих сторонах 1500 и MTU vpn туннеля был 1500, как я сам этого не заметил, не знаю

edyard
(11.04.12 17:15:39 UTC) автор топика

Ответ на: комментарий от edyard 11.04.12 17:15:39 UTC

при неполадках с MTU обычно шлется ICMP-сообщение Fragmentation Needed. Если оно адекватно обрабатывается - срабатывает Path MTU Discovery(если он не выключен). А теперь представь что происходит если это сообщение не обрабатывается, а отбрасывается файрволлом? Правильно - борода происходит!

Pinkbyte ★★★★★
(11.04.12 17:21:13 UTC)

Ответ на: комментарий от Pinkbyte 11.04.12 17:21:13 UTC

Ага, тогда понижение MTU просто позволило не появляться ICMP-сообщению. Странно конечно, но Бог с ним, как нибудь на досуге повникаю в ICMP коды ибо вещь необходимая

edyard
(11.04.12 17:25:47 UTC) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Установка сервера 1с x64 и хранилище конфигураций x32

Admin

Как уменьшить VDI?

→

Похожие темы