Problem s VPN tunely - zrejme fragmentace

Dan Lukes dan at obluda.cz
Sat Nov 14 20:19:41 CET 2009

Previous message: Problem s VPN tunely - zrejme fragmentace
Next message: Problem s VPN tunely - zrejme fragmentace
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Radek Krejca napsal/wrote, On 11/14/09 17:56:
> DL> Jen na okraj - zrovna tenhle problem je celkem snadno
> DL> diagnostikovatelny. To se pusti tcpdump, nejprve na vstupnim interface,
> DL> pak n atunelovem interface a pak na vychozim interface a clovek hned vi
> DL> kudy paket sel pripadne nesel.
> 
> To jsem zkoumal, nicmene je pravda, ze ne dostatecne. Takze jelikoz
> prave nemam pristup k pc, kde mam nainstalovany inkriminovany vpn
> tunel, tak zde simulace na pingu. Sit je nasledujici:
> 
> 10.0.0.1 - muj router - muj pocitac
> 
> Vystupni (interface blize 10.0.0.1) interface na muj router pres
> tcpdump pri pouziti prikazu ping -l 1500 10.0.0.1 na muj pocitace
> (mam ted k dispozici pouze win).
> 
> 17:39:50.649012 IP 192.168.2.104 > 10.0.0.1: ICMP echo request, id 768, seq 12800, length 1480
> 17:39:50.649014 IP 192.168.2.104 > 10.0.0.1: icmp
> 17:39:56.149009 IP 192.168.2.104 > 10.0.0.1: ICMP echo request, id 768, seq 13056, length 1480
> 17:39:56.149011 IP 192.168.2.104 > 10.0.0.1: icmp

No,  to ale znamena, ze paket na vystupnim interface je. Zda se byt 
fragmentovany (ten vystup je prilis orizly na to, aby se dalo rict 
"urcite" a "spravne" a "vsechny fragmenty") ale v kazdem pripade tam je.

Nicmene, tohle asi neni zaznam "tunelovych" paketu - to by jen tezko 
poznalo, ze je uvnitr ICMP. Tohle je nejspis stav pred vstupem do tunelu.

Takze jeste je treba zkoumat tunelove odchozi pakety. Idealne mit ty 
tcpdumpy spustene vsechny soucasne. Abys videl, ktere radky k sobe patri.

Pokud ke kazdemu paketu tak, jak jsi ho zaznameanl shora, bude jeden 
nebo vice odchozich tunelovych paketu, pak bude na case presunout se se 
zkoumanim na druhy konec tunelu. Pokud ne, problem je nekde tady.


> ip:
>         2480402489 total packets received
>         10380325 output datagrams fragmented
>         39989831 fragments created
>         20 datagrams that can't be fragmented

Ukazuje se, ze se u tebe pomerne intenzivne fragmentuje. Coz mimochodem 
neni z hlediska pruchodnosti a spolehlivosti moc dobre. Mel bys 
vysilajici aplikaci vysvetlit, ze takhle velke pakety jsou proste moc 
velke.

Jen me tak napada - TCP aplikace si maximalni vhodnou velikost paketu 
vetsinou samy spravne zjisti. Pokud nejaky nevhodne nakonfigurovany 
firewall po ceste nelikviduje informacni ICMP, ktere k tomu jsou 
potreba. Takze - pokud - samozrejme, ze je dobre vyresit i problem 
nefunkcni fragmentace. Ale i kdyz to dokazeme, porad zustane problem 
"jak je mozne, ze je fragmentace vubec potreba".

						Dan

Previous message: Problem s VPN tunely - zrejme fragmentace
Next message: Problem s VPN tunely - zrejme fragmentace
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list