❦ 18 janvier 2018 09:14 +0100, Kevin Thiou <[email protected]> :
> effectivement le paramètre "ip clear-df" était sur le routeur qui
> marche :)
C'est un brin court-terme comme solution. Cela casse toute tentative de
PMTUD qui fonctionne. Du coup, tout le monde va envoyer des paquets à
1500 que ton routeur va passer son temps à fragmenter. Ces fragments
peuvent de plus paraître suspect à certains systèmes de détection qui
vont les rate limiter ou les dropper. Sans compter que cette solution ne
fonctionne pas du tout en IPv6.
Soit ton routeur ne renvoie pas correctement les ICMP too big (mais ce
serait sans doute vu sur n'importe quelle connexion SSH), soit le
problème est limité à certaines destinations qui ne le gèrent pas
correctement. Dans le dernier cas, la solution, c'est de placer TCP MSS
à la bonne valeur quand il est absent ou trop grand. Cela permet de ne
pas avoir de fragmentation sur TCP, d'avoir le PMTUD qui fonctionne sur
la plupart des destinations et généralement, les destinations qui font
de l'UDP savent gérer ce problème.
--
Always the dullness of the fool is the whetstone of the wits.
-- William Shakespeare, "As You Like It"
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
