Задать вопрос
bassoon48
@bassoon48
Токсичный и нервный сись адмын

Актуальные значения MTU если клиент и сервер находятся за NAT для L2TP/Ipsec, связка Accel-ppp + Strongswan?

Вот с такими значениями клиенты видят удалённую подсеть 1 раз чере 10 раз. И если видят то через несколько секунд или минут не видят.

-A FORWARD -s 10.10.20.0/24 -o ens192 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360

Я сделал эти от балды (кстати, предыдущее значение идеально работает для ikev2 за NAT, идеально и Split-Tunnel и Full Tunnel работает)

-A FORWARD -s 10.10.20.0/24 -o ens192 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1280:1536 -j TCPMSS --set-mss 1300

C этими значения работает идеально Split-Tnneling.

С Full-Tunnel пока не разобрался.

Ещё прикол в том что у удалённого офиса WAN1 и WAN2. Сам сервак слушает WAN1, а клиенты долбятся на WAN2 потому что на WAN1 уже сидит IKEv2

Порты брошены только UDP500 и 4500 по канону.

Я думаю ассиметричные маршруты ещё дают нагрузку. Так что проблема лишь в MTU им надо играть.

А интернет возможно не работает из-за ассиметричного маршрута у клиентов, но это и не самое главное я потом могу поэкспериментить. А может и опять же из за MTU не робит
  • Вопрос задан
  • 147 просмотров
Подписаться 2 Простой 3 комментария
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы