[q] ipip tunnels on FreeBSD/Linux and DF flag
Hello! Есть: 2 маршрутизатора. 1-й - FreeBSD i386 4.11-RELEASE SMP 2-й - Slamd64 x86_64 2.6.12.4 SMP Первый и второй терминируют простые ipip туннели. Без шифрования. Замечено, что 1-й, при попытке засунуть в туннель клиента трафик с установленным в ip пакете DF - молча его игнорирует и пропускает пакетик максимальной длинны с фрагментацией последнего. Второй же, при аналогичных условиях этого не делает. Т.е., следует этому флагу (DF). Трафик к клиенту не едет (вот, любимый мелкософт уже не доступен этим клиентам...). Как заставить 2-й маршрутизатор вести себя, аналогично 1-му и игнорировать флаг DF, когда нужно маршрутизировать пакеты через туннель? То, что приходит в голову - перейти на gre или похачить кернел. Но я не верю, что нет более простого решения. гугл не помог. Спасибо! ps для информации: туннели строятся в локалке. Везде установлен mtu 1500. Проверялось из инета с FreeBSDшного тазика через ping -D -s ip. и вот, что выдавалось (все и так понятно из сообщения): 556 bytes from dddddd (XX.XX.XX.XX): frag needed and DF set (MTU 1480) -- Edward Melnik. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Edward Melnik wrote: EM> и вот, что выдавалось (все и так понятно из сообщения): EM> 556 bytes from dddddd (XX.XX.XX.XX): frag needed and DF set (MTU 1480) Может уйти с GIF'а на openvpn ? Джиттер без компрессии минимален. -- UKR.NET Postmaster =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Sun, Jan 15, 2006 at 11:38:21PM +0200, vladimir.sharun@ukr.net wrote:
Edward Melnik wrote: EM> и вот, что выдавалось (все и так понятно из сообщения): EM> 556 bytes from dddddd (XX.XX.XX.XX): frag needed and DF set (MTU 1480)
Может уйти с GIF'а на openvpn ? Джиттер без компрессии минимален.
тоже вариант, но есть вопросы: а) уберет ли это мою проблему на Linux маршрутизаторе? :) б) насколько стабилен? в) под что есть клиенты? меня интересует под FreeBSD 4/5/6 + Linux. Т.е., именно такие клиентские соединения могут быть у меня. Хотя, с openvpn возможно же и вин клиенты? г) насколько он тяжел для cpu ? д) под чем лучше держать openvpn сервер (linux/freebsd/other)? е) у меня X клиентов на одном маршрутизаторе. В случае ipip туннелей все планировалось конфигурять в автомате (скрипт + бд + крон). А тут как? ж) что есть лучшее, чем openvpn ? :) -- Edward Melnik. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Sun, Jan 15, 2006 at 11:47:57PM +0200, Edward Melnik wrote: EM> On Sun, Jan 15, 2006 at 11:38:21PM +0200, vladimir.sharun@ukr.net wrote: EM> > Edward Melnik wrote: EM> > EM> и вот, что выдавалось (все и так понятно из сообщения): EM> > EM> 556 bytes from dddddd (XX.XX.XX.XX): frag needed and DF set (MTU 1480) EM> > EM> > Может уйти с GIF'а на openvpn ? Джиттер без компрессии минимален. EM> тоже вариант, но есть вопросы: EM> а) уберет ли это мою проблему на Linux маршрутизаторе? :) EM> б) насколько стабилен? EM> в) под что есть клиенты? меня интересует под FreeBSD 4/5/6 + Linux. Т.е., EM> именно такие клиентские соединения могут быть у меня. Хотя, с openvpn EM> возможно же и вин клиенты? EM> г) насколько он тяжел для cpu ? EM> д) под чем лучше держать openvpn сервер (linux/freebsd/other)? EM> е) у меня X клиентов на одном маршрутизаторе. В случае EM> ipip туннелей все планировалось конфигурять в автомате (скрипт + бд + крон). EM> А тут как? EM> ж) что есть лучшее, чем openvpn ? :) vtun + ppp -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Тише едешь, не успеешь =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On 15 Jan 2006 at 09:51:51, Edward Melnik wrote:
То, что приходит в голову - перейти на gre или похачить кернел. Но я не верю, что нет более простого решения. гугл не помог.
Hi! решали эту проблему и остановились на tcpmssd меняет размер MTU для физич интерфейса http://www.freshports.org/net/tcpmssd/ tcpmssd is a divert(4) program that adjusts outgoing TCP data so that the requested segment size is not greater than the amount allowed by the interface MTU. работает, и с GIF GRE все в порядке, спасибо Ермилову! -- andy@cris.net AN1035-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет! On Mon, 16 Jan 2006, Andrey Nikolaev wrote:
On 15 Jan 2006 at 09:51:51, Edward Melnik wrote:
То, что приходит в голову - перейти на gre или похачить кернел. Но я не верю, что нет более простого решения. гугл не помог.
Hi! решали эту проблему и остановились на tcpmssd меняет размер MTU для физич интерфейса
http://www.freshports.org/net/tcpmssd/ tcpmssd is a divert(4) program that adjusts outgoing TCP data so that the requested segment size is not greater than the amount allowed by the interface MTU.
работает, и с GIF GRE все в порядке, спасибо Ермилову!
Хорошая вещь, но ведь это только для TCP. То есть, как минимум можно ожидать от чересчур любознательных пользователей вопроса "а почему ping -Ds 1472 bone-router не работает?". Больше примеров неработы сходу придумать не могу, хотя не факт, что их не будет совсем (UDP-based приложений сейчас развелось немало, кто знает - может кто из них и балуется с DF). Я бы (если бы вдруг нужно было использовать именно Linux) в такой ситуации искал в ядре нужную "рукоятку" (игнорировать DF ведь не просто, а _очень_ просто), а если ее нет, то можно и самому патч написать. Sincerely, Dmitry -- Atlantis ISP, System Administrator e-mail: dmitry@atlantis.dp.ua nic-hdl: LYNX-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Добрый день. Вот понадобился монтажный шкаф так на 20-30 юнитов, что народ посоветует. Хотелось бы найти разумное сочетание цена/качество. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Jan 16, 2006 at 12:56:56PM +0200, Vitaly Puchkov wrote:
Добрый день.
Вот понадобился монтажный шкаф так на 20-30 юнитов, что народ посоветует. Хотелось бы найти разумное сочетание цена/качество.
Риант (http://www.riant.kiev.ua/)? -- VP992-RIPE | The girl opened her mouth, I opened my veins, | The girl opened her heart, I opened a door to another world... | (c) Tiamat '92, Clouds, "Undressed". =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
На страничке ни цен ни контактов...
----- Original Message -----
From: "Vladimir A. Podgorny"
On Mon, Jan 16, 2006 at 12:56:56PM +0200, Vitaly Puchkov wrote:
Добрый день.
Вот понадобился монтажный шкаф так на 20-30 юнитов, что народ посоветует. Хотелось бы найти разумное сочетание цена/качество.
Риант (http://www.riant.kiev.ua/)?
-- VP992-RIPE | The girl opened her mouth, I opened my veins, | The girl opened her heart, I opened a door to another world... | (c) Tiamat '92, Clouds, "Undressed". =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Jan 16, 2006 at 01:31:40PM +0200, Vitaly Puchkov wrote:
На страничке ни цен ни контактов...
Аднака. Anyway в Хотлайне можно посмотреть - помнится было. -- VP992-RIPE | The girl opened her mouth, I opened my veins, | The girl opened her heart, I opened a door to another world... | (c) Tiamat '92, Clouds, "Undressed". =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Jan 16, 2006 at 10:36:48AM +0200, Dmitry Pryanishnikov wrote:
кто из них и балуется с DF). Я бы (если бы вдруг нужно было использовать именно Linux) в такой ситуации искал в ядре нужную "рукоятку" (игнорировать DF ведь не просто, а _очень_ просто), а если ее нет, то можно и самому патч написать.
Сделал: net/ipv4/ipip.c 521,522c521 < u16 df = 0x0000; ---
u16 df = tiph->frag_off;
572,574c571,573 < // if (tiph->frag_off) < // mtu = dst_mtu(&rt->u.dst) - sizeof(struct iphdr); < // else ---
if (tiph->frag_off) mtu = dst_mtu(&rt->u.dst) - sizeof(struct iphdr); else
585c584 < // df |= (old_iph->frag_off&htons(IP_DF)); ---
df |= (old_iph->frag_off&htons(IP_DF));
587,591c586,590 < // if ((old_iph->frag_off&htons(IP_DF)) && mtu < ntohs(old_iph->tot_len)) { < // icmp_send(skb, ICMP_DEST_UNREACH, ICMP_FRAG_NEEDED, htonl(mtu)); < // ip_rt_put(rt); < // goto tx_error; < // } ---
if ((old_iph->frag_off&htons(IP_DF)) && mtu < ntohs(old_iph->tot_len)) { icmp_send(skb, ICMP_DEST_UNREACH, ICMP_FRAG_NEEDED, htonl(mtu)); ip_rt_put(rt); goto tx_error; }
Работает. Критикуйте :) -- Edward Melnik. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Jan 16, 2006 at 07:36:57AM +0200, Alexander Trotsai wrote:
EM> ж) что есть лучшее, чем openvpn ? :)
vtun + ppp
Это ответ на последний вопрос? Или на все? Т.к., меня интересует наиболее оптимальное решение для предоставления внешн. ip в локалке. -- Edward Melnik. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Jan 16, 2006 at 04:30:27PM +0200, Edward Melnik wrote: EM> On Mon, Jan 16, 2006 at 07:36:57AM +0200, Alexander Trotsai wrote: EM> > EM> ж) что есть лучшее, чем openvpn ? :) EM> > EM> > vtun + ppp EM> Это ответ на последний вопрос? Или на все? EM> Т.к., меня интересует наиболее оптимальное решение для предоставления внешн. EM> ip в локалке. poptop (pptp) зато стандлартно для винды + ms-chap v2 + mppe/mppc - но это уже может быть для системы напряжно проблем с mtu не будет ибо ppp over gre -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Не подкладывай грабли другому, пусть он это сделает для себя сам =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Jan 16, 2006 at 04:30:27PM +0200, Edward Melnik wrote:
On Mon, Jan 16, 2006 at 07:36:57AM +0200, Alexander Trotsai wrote:
EM> ж) что есть лучшее, чем openvpn ? :)
vtun + ppp
Это ответ на последний вопрос? Или на все?
Т.к., меня интересует наиболее оптимальное решение для предоставления внешн. ip в локалке. Причём под win ;) наверно.
У openvpn под win - странные ограничения на выдачу IP есть... -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (8)
-
Alexander Trotsai -
Andrey Nikolaev -
Dmitry Pryanishnikov -
Edward Melnik -
Paul Arakelyan -
Vitaly Puchkov -
Vladimir A. Podgorny -
vladimir.sharun@ukr.net