Почему не создаются динамические правила в Mangle?

Question

[Шамиль]

Ситуация такая:
Есть роутер с белым IP, выходит в инет через PPTP, в свойствах PPP - Profiles стоит галочка на - Change TCP MSS.
Помню что год назад в Mangle создавались 2 правила - Change MSS, для входящих и исходящих и исходящих интерфейсов РРР.
На текущий день мне приходится вручную создавать правило в mangle, но есть проблема с правильным выбором TCP MSS- есть подозрения что у меня не совсем правильные значения.
Сегодня зашел в другой офис, и заметил что там есть те правила в манглах, которые создались автоматически - и вроде как говорится - бери и по шаблону настрой - но у них разные типы подключения и разные MTU

Comments

[Wexter]

правила появляются сами при подключении

[Шамиль]

Wexter, так подключения есть - а правил нет

[Wexter]

Шамиль, обновите прошивку до последней версии

Answer 1

[HawK]

Release 6.39 2017-04-28
What's new in 6.39 (2017-Apr-27 10:06):
...
!) ppp - implemented internal algorithm for "change-mss", no mangle rules necessary;
...

Если в таблице mangle создаются динамические правила - обновите версию Router OS.

Comments

[Шамиль]

Обновил версию до 6.40.5, так мне надо чтоб правила сами создавались. Т.к. у меня неправильно работает правило, которое я сам написал.. Вернее я не могу правильно посчитать значение tcp mss

[HawK]

"change-mss" можно использовать, если у вас где-то по пути трафика возникают проблемы связанные с pmtu discovery black hole, в старых версиях Router OS (до 6.39) создавались 2 динамических правила в цепочке mangle для ppp-интерфейсов, в совсем старых (5.26) создавались правила для каждого ppp-подключения. Эти правила значительно увеличивают нагрузку на процессор и начинаю с 6.39 в Router OS используется внутренний алгоритм для подстройки mss без использования mangle, который решает проблемы с pmtu discovery black hole, все должно работать без всяких правил в mangle.
Если проблема точно в pmtu - посмотрите решение здесь - Почему VPN (pptpd) работает при подключении с декс...

[Шамиль]

HawK, а почему значение mtu именно 1410 ?
я просто игрался по-всякому, но как-то ощущение то не оптимальное значение выставил.
сейчас у меня стоит 1430.. но столкнулся с тем, что отказывается работать 3CX телефония, в итоге пришлось перенести в другой офис где другой провайдер и другой тип подключения

[HawK]

MSS + заголовок TCP + заголовок IP ≤ MTU. Если это условие не выполняется может возникать PMTU discovery black hole.
MMS=1410 - такое значение стояло по-умолчанию в динамических правилах для старых версий Router OS, сталкивался с тем что этого было недостаточно и приходилось опытным путем уменьшать до 1390. Более оптимальным было использование параметра new TCP MSS: clamp to pmtu для syn-пакетов с mss 1200-65535, работало гарантировано во всех случаях. После обновления ROS до 6.39 - правила отключил и все работает без них.

[Шамиль]

HawK, уменьшали tcp-mss путем наблюдения до пинга "без фрагментации" или каким способом ?

[HawK]

Шамиль, уменьшал до тех пор, пока не начинали открываться зависающие веб-страницы. Проблема была именно в том, что некоторые веб-страницы зависали, больше никаких проблем не было.

[Шамиль]

HawK, я игрался с этими значениями, понижал понижал, в итоге сайты начали открываться, но телефония не могла принимать sip транки :(