Резервные копии (через Бакулюмы) одного из моих серверов связанное через IPSec (Strongswan на тестировании Debian) демону устройства хранения данных (“B”) не заканчивает 95% времен, которые они выполняют. То, что, по-видимому, происходит:
net.ipv4.ip_no_pmtu_disc=0
установлен по умолчанию, IP не Фрагментируют бит, установлен в пакете простого текста.(Пакеты ICMP достигают хоста A и нет никаких правил iptables на месте того блока ICMP.)
Возможные причины, почему это происходит, о котором я могу думать:
Что лучший способ состоит в том, чтобы зафиксировать это, не отключая исследование PMTU глобально или понизив интерфейс MTU? Возможно, очиститесь, бит DF так или иначе как FreeBSD делает с ipsec.dfbit=0?
Можно попробовать создать правило в iptables
, чтобы установить TCP MSS для трафика, предназначенного для VPN, на более низкое значение. Но без захвата пакетов трудно угадать, что происходит.
Если PMTU-обнаружение в сценарии VPN не удается, это, как правило, проблема с публичными IP-адресами шлюзов или маршрутизаторов в промежутке между ICMP-сообщениями или с отфильтрованными ICMP-сообщениями. Зажим MSS является лишь уродливым обходным путем.
.