+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Правила динамической обработки PPPoE сломались.

Правила динамической обработки PPPoE сломались., RouterOS

xxiii

Guest

25.07.2007 19:13:00

Это немного обсуждалось в теме «Проблемы с MTU». Кратко: если в профиле PPPoE установлено значение Change TCP MSS, то создается два динамических правила обработки трафика (mangle rules): одно, которое изменяет все исходящие SYN-пакеты с интерфейса PPPoE явно до максимально допустимого значения для PPPoE, и другое, которое изменяет все входящие SYN-пакеты до максимально допустимого значения для PPPoE. Проблема в том, что эти правила делают это независимо от того, какие значения были раньше. Это нарушает связь с любым сайтом, у которого есть/требуется более низкое значение. Правила нужно изменить, чтобы использовать clamp to pmtu и/или добавить утверждение TCP MSS (в Winbox это показано на вкладке «Дополнительно» для конкретного правила обработки трафика) только для пакетов, у которых MSS больше того значения, до которого правило собирается его изменить. Эта проблема была конкретно замечена в 2.9.44. Я обнаружил это, пытаясь доказать, что удаленный сайт отбрасывает сообщения ICMP "packet-too-big", и обнаружил в захвате пакетов: Пакет, входящий в MikroTik: https > 2463 [SYN, ACK] Seq=0 Ack=1 Win=4140 Len=0 MSS=1380. Тот же пакет, покидающий MikroTik через интерфейс PPPoE: https > 2463 [SYN, ACK] Seq=0 Ack=1 Win=4140 Len=0 MSS=1452.

xxiii

Guest

13.09.2007 18:40:00

К вышесказанному, вот вам: RFC: http://www.ietf.org/rfc/rfc879.txt И (довольно объемная) техническая статья на эту тему: http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml В частности, обратите внимание на фразу (выделено мной): "Отправляющая сторона *должна* ограничить размер данных в одном TCP-сегменте значением, не превышающим MSS, сообщенное принимающей стороной". Это та часть, которую нарушает динамическое правило mangle для PPPoE в RouterOS (устанавливая значение, которое потенциально может быть больше, чем указывает удаленный хост). Требуемое поведение указано/обсуждается как минимум в следующих RFC: 1191, 1063, 791, 793, и, особенно, RFC 879.

macgaiver

Guest

14.09.2007 09:32:00

Это гораздо проще сделать, просто уменьшив MTU и MRU на сервере до нужного значения. Правила change-mss по умолчанию работают в 99% ситуаций, остальные 1% – это для сложных настроек, где используется VPN, и там нужно что-то другое, так что в этом случае нужно создавать настройку вручную. Я не готов страдать от увеличения нагрузки на процессор только ради того, чтобы каждое правило должно было проверять ещё одно условие.

sten

Guest

14.09.2007 23:49:00

Я не согласен, делать что-то неправильно и очень быстро — хуже, чем сделать правильно. Динамические правила регулировки MSS некорректны и ломают всё. В интернете полно хостов с очень низким MTU. Проблема в том, что MSS устанавливается безусловно и не только снижается, когда это нужно, что приводит к разрыву TCP-соединения с этими хостами. Например, если у mikrotik.com MTU 1400, а ваше соединение установлено на 1420, вы не сможете зайти на этот сайт. Хочу также добавить, что опция clamp-to-pmtu в типичном случае работает только в одну сторону: пакеты входящие через Ethernet-интерфейс (MTU 1500) и выходящие через PPPoE-интерфейс (MTU 1492), тогда MSS будет 1452, но пакеты входящие через PPPoE-интерфейс (MTU 1492) и выходящие через Ethernet-интерфейс (MTU 1500), тогда MSS останется прежней (обычно 1460). Кроме того, clamp-to-pmtu работает путем выполнения дополнительного поиска маршрута, что также значительно замедляет работу роутера. Однако это часто быстрее, чем выполнение сотен динамических правил регулировки MSS (как включено в профиле PPP). Реализации PPP на других платформах часто реализуют регулировку MSS как часть драйвера PPP/IP, и ни один из вышеперечисленных недостатков не возникает.

sergejs

Guest

18.09.2007 06:48:00

Этот вопрос находится в рассмотрении. Динамический PPPoE предназначен для базовых клиентов. Если у вашего PPP-сервера одновременно более 50 клиентов, мы настоятельно рекомендуем отключить динамические правила mangle и создать статические. Так вы сможете ввести необходимую конфигурацию mangle и одновременно увеличить производительность, уменьшив количество mangle-правил.

macgaiver

Guest

18.09.2007 07:24:00

Любой ppp-сервер с любым количеством клиентов может заменить все динамические правила преобразования адресов, используя эту статическую настройку: создадим переход в новую цепочку для всех tcp syn-пакетов. /ip firewall mangle add action=jump chain=forward jump-target=change-mss protocol=tcp tcp-flags=syn,!rst. Исключаем все tcp syn-пакеты, которые не нуждаются в изменении (в основном, пакеты, приходящие со всех остальных интерфейсов, кроме ppp-интерфейсов). У меня 4 интерфейса (ether1, ether2, ether3, wlan1), а pppoe-сервер находится на ether3. /ip firewall mangle add action=return chain=change-mss in-interface=ether1
/ip firewall mangle add action=return chain=change-mss in-interface=ether2
/ip firewall mangle add action=return chain=change-mss in-interface=wlan1. Изменяем MSS для всех ppp-интерфейсов всего одним правилом: /ip firewall mangle add action=change-mss chain=change-mss new-mss=1452 protocol=tcp tcp-flags=syn tcp-mss=1453-65535

sten Guest	#7 0 18.09.2007 08:48:00 Твой пример регулирует mss только в одну сторону. Ты также регулируешь mss на стороне клиента?

macgaiver

Guest

18.09.2007 09:05:00

У меня обычно клиенты — это ПК конечных пользователей, поэтому корректировка MSS нужна только в одном направлении. Когда клиент отправляет TCP SYN пакет, он автоматически присваивает MSS из непосредственно подключенного PPP интерфейса. Если вы используете VPN как туннель (между двумя сетями), то эти правила нужно применять и на стороне клиента тоже.

sten Guest	#9 0 18.09.2007 09:30:00 В таком случае, ты уверен, что нужно менять mss?

macgaiver Guest	#10 0 18.09.2007 12:05:00 Стен - Это просто пример, который может быть полезен тем, у кого возникла эта проблема! В моем случае обе настройки работали правильно, только в одной было около 300 правил динамического перенаправления, во второй — 5 (очевидно, быстрее). И у меня не возникло проблем с применением предложенных изменений ко второй настройке, даже если они мне не нужны.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры