Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

ssh et probleme de MTU

81 views
Skip to first unread message

Eric Belhomme

unread,
Nov 2, 2009, 2:36:37 AM11/2/09
to
Bonjour,

Je rencontre quelques difficult�s qui semblement li� � un probl�me de
MTU... Voici le contexte :

2 r�seaux LAN, interconnect�s par 2 gateways sous Linux et un tunnel
IPSec (cnx Internet IP ATM d'un cot�, PPPoE de l'autre)

Comme sympot�me, j'ai des gels de connexions (particuli�rement visibles
avec ssh), mais le ph�nom�ne n'est pas limit� � ce protocole)
Apr�s quelques tcpdumps, je me suis rendu compte que mes gateways ne
fragmentent pas les paquets trops gros, qui du coup sont dropp�s !

Il y a un filtrage netfilter assez restrictif sur ces machines, et je
suppose que c'est l� la cause de mon probl�me...

Je voudrais donc savoir quelles sont les "best practises" � appliquer
afin que la fragmentation se fasse proprement ?

Merci,

--
Rico

Nicolas George

unread,
Nov 2, 2009, 4:16:49 AM11/2/09
to
Eric Belhomme wrote in message <4aee8c08$0$272$426a...@news.free.fr>:

> Apr�s quelques tcpdumps, je me suis rendu compte que mes gateways ne
> fragmentent pas les paquets trops gros, qui du coup sont dropp�s !
>
> Il y a un filtrage netfilter assez restrictif sur ces machines, et je
> suppose que c'est l� la cause de mon probl�me...

Probablement.

> Je voudrais donc savoir quelles sont les "best practises" � appliquer
> afin que la fragmentation se fasse proprement ?

La fragmentation ne doit pas se faire, c'est � l'�metteur de limiter la
taille des paquets. Pour �a, il faut que les paquets ICMP fragmentation
needed lui parviennent.

Si tes routeurs n'�mettent pas ces ICMP, le probl�me est pr�cis�ment l�.

Pascal Hambourg

unread,
Nov 2, 2009, 10:19:22 AM11/2/09
to
Salut,

Nicolas George a ï¿œcrit :


> Eric Belhomme wrote in message <4aee8c08$0$272$426a...@news.free.fr>:
>

>> Je voudrais donc savoir quelles sont les "best practises" ᅵ appliquer

>> afin que la fragmentation se fasse proprement ?
>

> La fragmentation ne doit pas se faire, c'est ᅵ l'ᅵmetteur de limiter la
> taille des paquets. Pour ï¿œa, il faut que les paquets ICMP fragmentation
> needed lui parviennent.

Pour rappel, un message ICMP "fragmentation needed" n'est ï¿œmis que si le
paquet trop gros a l'option DF (Don't Fragment) activï¿œe, donc en gros si
l'algorithme "Path MTU Discovery" est activᅵ (net.ipv4.ip_no_pmtu_disc=0
pour Linux). Sinon, le routeur fragmente le paquet. D'autre part il y a
des circonstance ou l'ï¿œquipement qui voit passer un paquet trop gros
n'est pas un routeur IP et donc ne peut ni le fragmenter ni ï¿œmettre un
ICMP. C'est le cas dans certaines architectures mettant en oeuvre le
protocole PPPoE comme la collecte IP/ADSL de FT ou SFR. Certains FAI
contournent le problᅵme en rabotant ᅵ la volᅵe le MSS des connexions
TCP, mais ï¿œvidemment ï¿œa ne marche pas sur les communications chiffrï¿œes
par IPSec. En plus l'encapsulation d'IPSec diminue le MTU effectif, ce
qui ne simplifie pas les choses.

Eric, si tu arrives ᅵ identifier une valeur de MTU pour laquelle ᅵa
passe bien, tu peux essayer de raboter le MSS ᅵ la valeur correspondante
(MTU - 40) sur les routeurs Linux avec la cible TCPMSS dans une rï¿œgle
iptables *avant* que les paquets soient encapsulï¿œs dans IPSec, ou aprï¿œs
qu'ils soient dï¿œcapsulï¿œs.

Eric Belhomme

unread,
Nov 2, 2009, 1:03:22 PM11/2/09
to
Pascal Hambourg a e'crit :

Merci a` tous les deux, ce sont la` exactement le genre de re'ponses que je
recherchais !
Je mets en place les modifications ne'cessaires sur mes routeurs et vous
tiens au courant...

--
Rico

0 new messages