В Птн, 12/12/2008 в 18:01 +0300, Artem Chuprina пишет: > Покотиленко Костик -> debian-russian@lists.debian.org @ Fri, 12 Dec 2008 > 16:12:58 +0200: > > >> >> >> > > VPN это отдельная печальная история и может создать намного > больше > >> >> >> > > проблем, чем вариант с ssh. > >> >> >> > > >> >> >> > Например? > >> >> >> > >> >> >> Начиная от проблем с безопасностью > >> >> > >> >> ПК> Помню только одну проблему с безопасностью, которая и ssh > касалась, > >> >> ПК> т.к. ода используют openssl. > >> >> > >> >> У openvpn проблема с безопасностью врожденная. Заключается она в том, > >> >> что аутентификацию он умеет, а авторизацию - нет. Ну, почти. > >> >> > >> >> >> и заканчивая настройкой с учетом параметров маршрутизаторов на > пути > >> >> >> траффика - приходится эмпирически параметры подбирать, как уж там, > >> >> >> mtu вроде и проч. > >> >> > >> >> ПК> Вы про что? Не слышал такого. > >> >> > >> >> Про устройство IP в курсе? Словосочетание "фрагментирование пакетов" > >> >> слышал? Что будет, если попытаться затуннелировать пакет > максимального > >> >> для данной физической сети размера, представляешь? > >> > >> ПК> Если попытаться затоннелировать пакет максимального для данной > >> ПК> физической сети размера, он пройдёт, а если размер пакета IP > >> ПК> превысит MTU - ICMP[Fragmentation needed] вернётся. Или, в случае с > >> ПК> VPN не так? Я с этим не сталкивался, поэтому если тут есть грабли - > >> ПК> выкладывайте. > >> > >> Тут есть три варианта: > >> > >> 1) PMTU discovery сработает. Все бы ничего, но делать его придется для > >> каждой сессии. > > ПК> Разве для каждой сессии? > > Угу. PMTU же для разных P, вообще говоря, разный. > > >> 2) Пакет таки порежут (если в случае TCP у пакета туннеля не стоит флаг > >> DF или он вообще не TCP). Поедет два пакета. Второй будет состоять из > >> заголовков по крайней мере наполовину > > ПК> На сколько я знаю, пакеты по дороге не режутся. Если IP пакет не > ПК> пролазит, он выбрасывается, а обратно шлётся уведомление, или я не > ПК> прав? > > Не прав. Совершенно. Чтобы пакет не фрагментировали, об этом надо > специально просить. Причем, если я правильно помню, это даже не IP, а > TCP флаг. Т.е. попросить не фрагментировать UDP- или ESP-пакет просто > не получится. Правда, в этом я уже не уверен. > > >> 3) "Продвинутые" сисадмины по дороге не слышали про PMTU, и вместо > >> возвращения Fragmentation needed пакет просто пропадет. > > ПК> Причём тут тоннель, при встрече с хостом с brain-dead > ПК> администратором и без тоннеля будут проблемы. Которые PMTU как раз > ПК> и решает, т.к. если есть Fragmentation needed, он обрабатывается > ПК> штатным стеком без PMTU. > > Данная проблема бывает ровно от соединения PMTU discovery с brain-dead > администратором. По отдельности оно не ломается. И поскольку хану мы > не лечим, то чинить можно только зажиманием MTU.
Где почитать можно, я неверное с этой разновидностью не сталкивался? Только что перечитал что есть что: PMTU: пассивно запоминает минимальный MTU для каждого пути назначения, где возникло превышение. Вычисляет он это так: в отсылаемых TCP пакетах ставится DF, и если получен ICMP[Fragmentation needed] значение запоминается на некоторое время. MSS: поле TCP заголовка указывающее максимальный размер пакета для этой сессии. Такой себе MTU для TCP сессии. Установка MSS=PMTU Помогает на локальном файрволе с пониженным MTU (<1500) от того, что на некотором сайте блокируют входящие ICMP[Fragmentation needed]. То есть PMTU помогает избежать лишних ICMP[Fragmentation needed] в вашу сторону, но без них не работает. MSS: помогает от дебильных админов сайтов, лишних ICMP[Fragmentation needed] в их сторону. Кстати, везде пишут, что фрагментация пакетов на роутерах метод древний и вместо него стараются использовать PMTU. Кстати, "brain-dead администратор" блокирует входящие ICMP[Fragmentation needed], от чего Вам поможет MSS=PMTU. Не знаю как расценивать, если вдруг "brain-dead администратор" блокирует исходящий ICMP[Fragmentation needed] и сам сидит на PPPoE и как с этим бороться. Ты кстати про этот случай говоришь? Наверно без PMTU пойдёт естественная фрагментация, но, мне кажется таких дебилов надо пинать, чтоб такое мнение не распространялось. Если подытожить, PMTU и MSS=PMTU спасают от 99% проблем для TCP, а UDP и остальные как повезёт, или пройдут по PMTU или будут фрагментированы. Есть поправки? -- Покотиленко Костик <cas...@meteor.dp.ua> -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org