MTU и VPN Ubuntu Server 12.04

[logabot]

Есть US 12.04 на ней настроен pptpd. Проблема заключается в том, что по стандарту как бы ни подключись всегда устанавливается MTU:1396.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

ppp0      Link encap:Point-to-Point Protocol
          inet addr:192.168.0.1  P-t-P:192.168.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:103 errors:0 dropped:0 overruns:0 frame:0
          TX packets:61 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:13553 (13.5 KB)  TX bytes:9789 (9.7 KB)

Это дает потерю в скорости передачи и проблемы с открытием некоторых сайтов.

/etc/ppp/pptp-option

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

r@nod1-1223:~$ cat /etc/ppp/pptpd-options
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 10.0.0.1

proxyarp

nodefaultroute
lock


nobsdcomp

mtu 1492
mru 1492

Пробовал 1500. Не помогает.

Помогает только команда

Код: [Выделить]

ifconfig ppp0 mtu 1500

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

r@nod1-1223:~$ ifconfig ppp0 mtu 1500
r@nod1-1223:~$ ifconfig
ppp0      Link encap:Point-to-Point Protocol
          inet addr:192.168.0.1  P-t-P:192.168.0.3  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:4246 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5747 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:450392 (450.3 KB)  TX bytes:6681180 (6.6 MB)

/etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address -.-.-.-.-
        netmask 255.255.255.224
        mtu 1500


auto eth1
iface eth1 inet dhcp

post-up /etc/nat

/etc/nat

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/4 -j MASQUERADE
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -j REJECT


Добавлять для каждого соединения mtu ручками не комильфо. Прошу помощи.

[fisher74]

А Вы уверены, что для соединения через интерфейс с mtu 1500 правильно создавать тоннель с mtu 1500?
И почему Вы не показываете что творится с несущим интерфейсом (через который поднимается тоннель), как я понял eth0?
И почему не выравниваете mtu при форвардинге пакетов? Явно же необходимо выравнивание.

[koshev]

Действительно, очень интересное поведение pptpd.

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

root@dc-hub:/etc/ppp/ip-up.d# ifconfig ppp0; cat /etc/ppp/pptpd-options |grep -vE '^#|^$'
ppp0      Link encap:Point-to-Point Protocol
          inet addr:10.155.1.66  P-t-P:10.155.1.100  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1372  Metric:1
          RX packets:63 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:11221 (11.2 KB)  TX bytes:137 (137.0 B)

name pptpd
refuse-pap
refuse-chap
require-mschap
require-mschap-v2
proxyarp
nodefaultroute
lock
mtu 1372
nobsdcomp
debug
root@dc-hub:/etc/ppp/ip-up.d#

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

root@dc-hub:/etc/ppp/ip-up.d# ifconfig ppp0; cat /etc/ppp/pptpd-options |grep -vE '^#|^$'
ppp0      Link encap:Point-to-Point Protocol
          inet addr:10.155.1.66  P-t-P:10.155.1.100  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:48 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:4781 (4.7 KB)  TX bytes:137 (137.0 B)

name pptpd
refuse-pap
refuse-chap
require-mschap
require-mschap-v2
proxyarp
nodefaultroute
lock
mtu 1472
nobsdcomp
debug
root@dc-hub:/etc/ppp/ip-up.d#

Не даёт поднят MTU выше 1400, хотя PPTP спокойно влезает в 1472. Раньше такого не замечал, можно было и 1500 выставлять. Это 10.04.4, кстати, то есть уже некоторое время так.
И таки да, дефрагментировать MTU по TCP-протоколу было бы очень кстати.

[fisher74]

Это всё к тому, что проблема решается одним правилом:

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

[logabot]

Это всё к тому, что проблема решается одним правилом:

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

Так оно не решает проблему размера MTU. С этой строчкой оно остается такой же.

(Нажмите, чтобы показать/скрыть)

administrator@nod1-1223:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:25:22:14:11:b0
          inet addr:10.-.-.-  Bcast:10.-.-.-  Mask:255.255.255.248
          inet6 addr: fe80::225:22ff:fe14:11b0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:161 errors:0 dropped:0 overruns:0 frame:0
          TX packets:152 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:26640 (26.6 KB)  TX bytes:26144 (26.1 KB)
          Interrupt:42 Base address:0x6000

eth1      Link encap:Ethernet  HWaddr 00:09:3b:f0:1a:40
          inet addr:10.0.0.10  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::209:3bff:fef0:1a40/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:87 errors:0 dropped:0 overruns:0 frame:0
          TX packets:98 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:17430 (17.4 KB)  TX bytes:19608 (19.6 KB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:192.168.0.1  P-t-P:192.168.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:102 errors:0 dropped:0 overruns:0 frame:0
          TX packets:61 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:15117 (15.1 KB)  TX bytes:10962 (10.9 KB)

Ну не меняется MTU, интернет берется из eth1 и передается по ppp0 через eth0.

А Вы уверены, что для соединения через интерфейс с mtu 1500 правильно создавать тоннель с mtu 1500?
И почему Вы не показываете что творится с несущим интерфейсом (через который поднимается тоннель), как я понял eth0?
И почему не выравниваете mtu при форвардинге пакетов? Явно же необходимо выравнивание.

Ну я не говорю что именно 1500, хотя бы больше 1400 выставить его, но не выставляется оно.
Только ручками через ifconfig для каждого соединения.

Это всё к тому, что проблема решается одним правилом:

Код: [Выделить]

sudo iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

Неа, все равно 1396

[fisher74]

Правилом не решается проблема малого MTU. Им решается вопрос нормальной работы шлюза даже с таким mtu, потому как даже выставив его в "хотя бы больше 1400" - проблемы с недоступностью некоторых сайтов останется.
Введите правило и посмотрите, как изменится ситуация у клиентов.

[logabot]

Правилом не решается проблема малого MTU. Им решается вопрос нормальной работы шлюза даже с таким mtu, потому как даже выставив его в "хотя бы больше 1400" - проблемы с недоступностью некоторых сайтов останется.
Введите правило и посмотрите, как изменится ситуация у клиентов.

Проблема заключается в том, что есть узкое место в пути до шлюза, это канал в 2 Мб/сек с 30 пользователями, и 10 из них подключаются и по vpn.
И в связи с этим хотелось бы увеличить производительность этого канала для пользователей по pptp.

[fisher74]

проблемы с открытием некоторых сайтов.

Вот эта проблема решается.

А по поводу производительности за счёт увеличения mtu... Если честно лень пересчитывать на сколько меньше теряется траффика при mtu 1492 (больше никак, в рассматриваемом случае) относительно 1396 на служебных пакетах. Но уверен, что цифра не будет столь значительна, чтобы клиенты это почувствовали. Это больше похоже на тюнинг канала, а не его турбирование.