В Пнд, 15/12/2008 в 13:59 +0300, Max Kosmach пишет: > Покотиленко Костик пишет: > > >> >> Данная проблема бывает ровно от соединения PMTU discovery с brain-dead > >> >> администратором. По отдельности оно не ломается. И поскольку хану мы > >> >> не лечим, то чинить можно только зажиманием MTU. > >> > >> ПК> Где почитать можно, я неверное с этой разновидностью не сталкивался? > >> > >> ПК> Только что перечитал что есть что: > >> > >> ПК> PMTU: пассивно запоминает минимальный MTU для каждого пути назначения, > >> ПК> где возникло превышение. Вычисляет он это так: в отсылаемых TCP > >> пакетах > >> ПК> ставится DF, и если получен ICMP[Fragmentation needed] значение > >> ПК> запоминается на некоторое время. > >> > >> Ну. А теперь представь себе, что благодаря идиоту-админу, зарезавшему > >> все типы пакетов, про которые он сам ничего не выучил, Fragmentation > >> needed к тебе не вернулся. Сам был зарезан по дороге от того места, где > >> дропнули твой пакет с флагом DF. Угадай с трех раз, что будет. > > > > Отослал письмо не дописав, сорьки. > > Зачем гадать, и так ясно, бить таких админов надо. Только это очень > > большая редкость когда блокируют исходящие icmp, по сравнению с тем, как > > блокируют входящие. > > Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу > сказать, > что это как раз вполне часто встречается, к сожалению. И что самое > печальное - часто бить таких админов невозможно по тем или иным > причинам. Вот и приходится людям изобретать IKE Fragmentation, IKEv2 и тд. > > > PS. Хотя бывают и более экзотические случаи чем банальный дроп icmp, > например мегафоновский 3G до недавноего времени дропал _первый_ пакет, > если его размер превышал магическое число 2 с чем-то килобайта. Да, > именно 2 с чем-то,а не 14xx/1500.(речь идет о фрагментированном IKE-пакете) > Что смешно - режется только первый большой пакет - стоит пройти хотя бы > одному пакету и далее можно слать любого размера. > Но эти хоть сознаются, что это их баг и они подумают.
На крайняк, как тут советовали уже не раз, можно ограничить MTU у себя. -- Покотиленко Костик <[email protected]> -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
