Проблемы MTU и MSS. Оптимизация работы VPN

Рет қаралды 11,602

MikroTik

Күн бұрын

Пікірлер: 14

@dmitrypisarevsky1723 6 жыл бұрын

Классный доклад! Спасибо!

@Alexander-tl8uw 10 ай бұрын

Привет. Впн сервер находится за МТ на котором запрещены forward и outgoing. Mtu discovery работает по icmp. Мешает ли такая конфигурация mt работе mtu discovery?

@cubaichik 5 жыл бұрын

Ребят такой вопрос. Имею интернет через авторизацию L2TP. Роутер кинетик ставит автоматом 1400 а у провайдера указано , если нужно указать MTU то ставить 1460. На всех других внутренних интерфейсах роутера стоит 1500. Чё какое ставить

@AlexPlast 4 жыл бұрын

И все таки с примером eoip и автоматическим понижением mtu bridge до mtu eoip правильно просто поднять вручную mtu на бридже до 1500 или использовать TCP MSS?

@GreatBAO2 Жыл бұрын

При схеме подключения удаленных офисов по EoIP тоннелям, я использую mangle правило по автоматическому выставлению наименьшего значения /ip firewall mangle add action=change-mss chain=postrouting new-mss=clamp-to-pmtu out-interface-list=WAN passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1300-65535

@Dmitrysib85 6 жыл бұрын

Почему в последнем примере уменьшение mtu в ВПН канале до 1400 помогло? Ведь что а случае 1450, что в случае с 1400 пакет 1500 будет разбиваться на два. Этот момент не совсем понятен - пример из жизни рассказали и решение, но объяснения не было

@DJumperGo 6 жыл бұрын

Вот тоже не понял, по логике вещей, надо резать MTU внутри

@СергейМ-з1ь 6 жыл бұрын

Попробую объяснить. Но сразу говорю: я сетевик начинающий, поэтому правильность моего объяснения не гарантирую. Значит у нас есть два уровня трафика: 1. Трафик внутри VPN. Будем называть его далее "уровень VPN". 2. Трафик более высокого уровня, на уровне Ethernet. В него заворачивается трафик VPN. Будем называть его "уровень Ethernet". Наша задача избавится от фрагментации на обоих этих уровнях. Нам сказано, что MTU на Ethernet уровне 1500. Значит что бы на этом уровне пакет не фрагментировался нужно что бы пакет VPN (полезная нагрузка в сумме со всеми накладными расходами на VPN (заголовки, шифрование и тд.)) не превышал 1500. Размер этих самых накладных расходов равен 50 (как он вычисляется показано на слайде). Значит MTU на уровне VPN получается 1450. Фрагментация на уровне VPN не возникает потому что в TCP есть механизмы подстройки размера MSS (а следовательно и максимального размера пакета) под действующий MTU. Про это говорится в презентации. Таким образом выполняется главная задача - фрагментация не возникает ни на одном из двух уровней. А дальше магия. Оказывается, что реальный MTU на уровне Ethernet не 1500, а 1480. Но размер VPN пакета у нас получается 1500. Следовательно на Ethernet уровне КАЖДЫЙ VPN пакет будет фрагментироваться на две части. Отсюда и падение скорости. Что нужно сделать? Нужно подобрать MTU на VPN уровне так что бы результирующий размер пакета был 1480. Следовательно это будет 1480-50=1430. Докладчик взял с запасом значение 1400. Почему он взял с запасом он тоже объясняет.

@СергейМ-з1ь 6 жыл бұрын

@@DJumperGo Он и резал внутри. С 1450 на 1400.

@ihelperone7890 6 жыл бұрын

Ужасно долго :( , !!!!!!!! Но информация полезная если смотреть на 4х скорости .

@vladimirpa177 6 жыл бұрын

нудно пипец

@031185alex 5 жыл бұрын

расказываешь складно но до меня многое не дошло не понятно ... я строитель не программист ... у меня провайдер транстелеком в казахстане подключен по adsl 2+ скорость 10мбит входящая и 1мбит исходящая ... видосы не виснут скачка 1 мегабайт пингую хоть америку скорость не падает отдает почти всю 10ку но пинг просто космос ... в играх сложно играть интернет печаль... когда только подключал все было ок потом не постепенно а в один момент бац и пинг из 60 привротился в 100+ понятное дело что там у них кто то лазил и кревыми ручками настройки сбил ... не признаеться провайдер говорит так и быть должно . в играх происходит следующие для примера игра танки ... растояние до танка в который стреляю 250 метров скорость танка пративника 35км скорость полета полета снаряда моего танка 1400 ... примерное упреждение на корпус выстрел пробил ... точно такая же ситуация выстрел а танк уже на 3 корпуса проехал задержка конкретно заметная ... как подобрать мту не понятно по трасировке либо на одном адресе застревают пакеты либо на другом сколько мту не перепробывал не чего не помогло ... провайдеру мозг выношу он говорит все хорошо лучше сделать не можем ... пакеты не проходят до шлюза 40пинга а шлюз на атс а атс 400 метров от меня . просто пипец . подскажите кто шарит . или помогите разобраться.

@031185alex 5 жыл бұрын

@@ЮрийБатьковичь-е3е Привет... да у меня пинг это пол беды ... у меня таблица route не видит не адрес интернета не сеть ...вообщем интернет есть но нет адреса сети а так же адреса интернет... по умолчанию трафик отпровляеться на все адреса в сети а их только 2 мой модем и мой комп ... что касается маршрутизации модема ... там шлюз провайдера завязан сам на себя к нему привязаны dns а комп мой связан с модемом ... не пойму как работает интернет но точно адрес смотрящий в интернет и смотрящий в сет не прописываеться в таблицах маршрутизации .

@031185alex 5 жыл бұрын

@@ЮрийБатьковичь-е3е модем tp-link 61n покупал сам в магазе ... а так же еще есть еще 2 модема на всех одинаковая история... ( вообщем есть шлюз провайдера он прописан по умолчанию ) трафик не делиться весь трафик идет через этот шлюз причем мой модем имея адрес 192.168.1.1 находиться не в одной сети с этим шлюзом провайдера... далее делаю следующие я не просто назначаю адрес своего модема из одинакового диапазона шлюза провайдера... а я его делаю точно таким же адресом что и шлюз ... и пофигу прокатывает их порт не видит адрес и пропускает трафик ему пофиг какой адрес у модема даже если он одинаковый с их портом...