OpenVPN: Yol MTU sorunlarını istemci başına nasıl azaltabilirim?

Müşterilerimize yüklenmiş onlarca gömülü cihaz var, hepsi de OpenVPN servisimize ev sahipliği yapıyor. Bu genel olarak iyi çalışıyor, ancak bazı müşterilerimizin ciddi MTU sorunları var. Ağlarını düzeltmek için müşteriler üzerindeki etkimiz sınırlıdır, bu nedenle bununla başa çıkmak için OpenVPN'e ihtiyacımız var. Kısacası sorum şu:

Bazı istemcilerin düşük yollu MTU'larını istemci başına temeller üzerinde, yani tüm istemciler için en kötü durumu barındıran genel ayarları kullanmadan nasıl azaltabilirim?

En kötü durumumuzun oldukça kötü olduğuna dikkat edin: MTU 576 yolu, tüm parçaları düşürür, kendini parçalamaz, DF bitini onurlandırmaz. Neden bu sorunu küresel olarak çözmemeyi tercih ettiğimi görüyorsunuz.

OpenVPN manpage teklifler MTU bir dizi en önemlisi seçenekleri ile ilgili --link-mtu, --tun-mtu, --fragment and --mssfix. Ama aynı zamanda diyor

--link-mtu [...] Ne yaptığınızı bilmiyorsanız bu parametreyi ayarlamamak en iyisidir.

--tun-mtu [...] MTU boyutlandırma sorunlarıyla ilgilenmek için --fragment ve / veya --mssfix seçeneklerini kullanmak en iyisidir.

Bu yüzden denemeye başladım --fragmentve --mssfixkısa süre sonra en azından eskisinin sadece istemci tarafı değil, aynı zamanda sunucu tarafı da ayarlanması gerektiğini fark ettim . Daha sonra sunucu tarafı istemci başına yapılandırma üzerinden baktım --client-config-dirama diyor ki

Aşağıdaki seçenekler istemciye özgü bağlamda yasaldır: --push, --push-reset, --iroute, --ifconfig-push ve --config.

MTU seçeneklerinden bahsedilmiyor!

İşte daha spesifik sorularım:

• Neden tam olarak link-mtu ve tun-mtucesaretiniz kırıldı? Bu seçeneklerle ilgili olası sorunlar nelerdir? Düşük seviyeli IP başlığı munging ile oldukça rahat olduğumu unutmayın.
• Seçeneklerden hangisi link-mtu tun-mtu fragment mssfixÇalışmak hangilerinin sunucu tarafında yansıtılması gerekir?
• Seçeneklerden hangisi link-mtu tun-mtu fragment mssfix kullanılabilir client-config-dir?
• Dört seçeneğin de sunucu tarafında yansıtılması ve içeride kullanılamaması durumunda client-config-dir : İstemci başına düşük yollu MTU ile savaşmanın alternatifleri var mı?

Notlar:

• Sorularımın bir kısmı 5 yıl önce soruldu burada , Ama o zamanlar gerçekten cevaplanmadılar, bu yüzden onları kopyalamaya cesaret .
• OpenVPN sunucusu şu anda Ubuntu 12.04'te 2.2.1. Ubuntu 14.04'te 2.3.2 sürümüne yükseltme hazırlıyoruz
• OpenVPN istemcileri Debian 7.6 için 2.2.1'dir
• Bir müşterinin yolunu MTU'yu kendim manuel olarak belirlemekten mutluluk duyuyorum
• Şu anda çok fazla sunucu tarafı test edemiyoruz. Ama biz ayrı bir test yatağı inşa ediyoruz, yakında hazır olmalıyız.

Herhangi bir yararlı tavsiye için minnettarım.

İstemci tarafında sorunu mssfix 1300yapılandırma dosyasına ekleyerek sorunu çözdüm.

Openvpn man sayfasından:

--mssfix max
    Announce to TCP sessions running over the tunnel that they should limit their send packet sizes such that after OpenVPN has encapsulated them, the resulting UDP packet size that OpenVPN sends to its peer will not exceed max bytes. 

Çözümüm için orijinal fikir personalvpn.org'dan geldi

Cevap eksikliği göz önüne alındığında, şimdi çok zarif değil, ama basit bir çözüm gönderiyorum: "Kötü istemciler" için TCP üzerinde başka bir OpenVPN örneği çalıştırın

proto tcp

istemcideki TCP MSS'yi düşürün, ör.

iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ${OUT_DEV} -j TCPMSS --set-mss ${PATH-MTU-MINUS-40}

Bu çözümün bir avantajı, her müşterinin kendi MSS'sini ayarlayabilmesidir.

Bu kuşkusuz TCP üzerinden TCP'dir, ancak birçok senaryoda yeterince iyi performans göstermelidir .

Ben hala gerekli olmayan çok ilgilenen çözümler olduğumu unutmayın proto tcpve ben az ya da çok özetlenen gereksinimleri karşılamak eğer onları geçerli cevap olarak işaretleyeceğim.