Актуальные значения MTU если клиент и сервер находятся за NAT для L2TP/Ipsec, связка Accel-ppp + Strongswan?
Вот с такими значениями клиенты видят удалённую подсеть 1 раз чере 10 раз. И если видят то через несколько секунд или минут не видят.
-A FORWARD -s 10.10.20.0/24 -o ens192 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
Я сделал эти от балды (кстати, предыдущее значение идеально работает для ikev2 за NAT, идеально и Split-Tunnel и Full Tunnel работает)
-A FORWARD -s 10.10.20.0/24 -o ens192 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1280:1536 -j TCPMSS --set-mss 1300
C этими значения работает идеально Split-Tnneling.
С Full-Tunnel пока не разобрался.
Ещё прикол в том что у удалённого офиса WAN1 и WAN2. Сам сервак слушает WAN1, а клиенты долбятся на WAN2 потому что на WAN1 уже сидит IKEv2
Порты брошены только UDP500 и 4500 по канону.
Я думаю ассиметричные маршруты ещё дают нагрузку. Так что проблема лишь в MTU им надо играть.
А интернет возможно не работает из-за ассиметричного маршрута у клиентов, но это и не самое главное я потом могу поэкспериментить. А может и опять же из за MTU не робит
Удалённые клиенты получают маршруты и Dns-suffix через dnsmasq раздаю
По поводу Full Tunnel я думаю это так то пофиг какой интерфейс ISP слушает ВПН.
Удалённые клиенты всё равно Маскируются под удалённый сервак 192.168.30.25 им по барабану
так что либо strongswan надо ковырять, либо в accel-ppp неправильный шлюз передаёт. либо MTU
маскарадинг работает, иначе я бы подсети удалёные не видел