Каковы оптимальные значения MTU для соединения L2TP/IPsec через NAT, если используются Accel-PPP и StrongSwan?

Question

Elijah

vpn

Каковы оптимальные значения MTU для соединения L2TP/IPsec через NAT, если используются Accel-PPP и StrongSwan?

Клиенты видят удалённую подсеть один раз из десяти, и если они ее видят, то через несколько секунд или минут она исчезает. <br/> <br/> В конфигурации фаервола установлено следующее правило: <br/> -A FORWARD -s 10.10.20.0/24 -o ens192 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360 <br/> <br/> Данные значения были выбраны случайно, но стоит отметить, что <b>предыдущее значение идеально подходит для работы IKEv2 за NAT</b>, и как для Split-Tunnel, так и для Full Tunnel функционирует безупречно. <br/> <br/> Другое правило: <br/> -A FORWARD -s 10.10.20.0/24 -o ens192 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1280:1536 -j TCPMSS --set-mss 1300 <br/> <br/> С этими параметрами всё работает идеально в режиме Split-Tunneling. <br/> <br/> Однако с Full-Tunnel пока возникают трудности. <br/> <br/> Есть еще один интересный момент: удалённый офис имеет два WAN-соединения (WAN1 и WAN2). Сервер слушает на WAN1, а клиенты подключаются через WAN2, так как на WAN1 уже установлено соединение IKEv2. <br/> <br/> Порты настроены только для UDP500 и 4500 по стандартной схеме. <br/> <br/> Я подозреваю, что ассиметричные маршруты создают дополнительную нагрузку, поэтому, вероятно, проблема заключается в MTU и нужно поиграть с этими настройками. <br/> <br/> Также возможно, что интернет не функционирует из-за ассиметричного маршрута у клиентов, но это не столь важно — я смогу поэкспериментировать с этим позже. Может быть, проблема также связана с MTU.

16 марта 2025 г. 13:24

Ответы на вопрос 2

Похожие вопросы

Answer 1

Проблемы с MTU (Maximum Transmission Unit) в соединениях L2TP/IPsec через NAT действительно часто могут быть источником трудностей, особенно когда дело касается ассиметричных маршрутов. Настройки MTU, которые вы используете, могут не соответствовать требованиям вашего конкретного окружения, и важно подходить к их выбору системно.

### Рекомендации по настройкам MTU

1. **Начальная настройка**: Рекомендуется установить MTU на 1400 для L2TP/IPsec. Это значение учитывает накладные расходы, связанные с шифрованием и инкапсуляцией, и позволяет избежать фрагментации.

2. **Настройки MSS (Maximum Segment Size)**:
- Используйте правило, которое уже хорошо работает в Split-Tunneling, с лимитом MSS, установленным на 1300 или около того. Это значение учитывает остальные заголовки и минимизирует возможность фрагментации. Понижение MSS может помочь в решении проблем с подключением.

3. **Фрагментация**: Убедитесь, что фрагментация IP (если она используется) настроена в соответствии с размерами пакетов. Зачастую проблемы с соединением возникают, когда пакеты фрагментируются по пути, что может привести к потере пакетов.

4. **Тестирование доступности**: Во время тестирования попробуйте использовать команды, такие как `ping` с различными значениями размера пакета, чтобы проверить, где происходит потеря. Например, выполните `ping -s 1400 <IP>` и постепенно уменьшайте размер до нахождения предела.

5. **Ассиметричные маршруты**: Рассмотрите возможность настройки маршрутизации на вашем маршрутизаторе, чтобы решить проблему с ассиметричными маршрутами. По возможности, убедитесь, что трафик клиентов идет по одному и тому же пути туда и обратно.

6. **Дополнительные параметры**:
- В некоторых ситуациях может помочь также установка `Don't Fragment flag` на уровне TCP/IP, чтобы предотвратить фрагментацию. Это можно сделать с помощью параметров iptables.

### Подводя итоги:

Поработайте с вышеуказанными рекомендациями и настройками MTU/MSS, чтобы стабилизировать подключение в режиме Full-Tunnel. Процесс может занять некоторое время, учитывая необходимость тестирования и отслеживания устойчивости соединения. Как только вы найдете оптимальные параметры, рекомендуется фиксировать их для будущих конфигураций и с минимальными изменениями по мере необходимости.

Answer 2

Короче или я тупой или лыжи не едут. 
 
 на Accel-ppp мучился всё воскресенье. Добился того что маршруты в split-tunneling то есть то пропадают. 
 
 Полный туннель так и не завёлся. 
 
 Перешёл на xl2tp всё настроил за 5 минут. Ну оно и понятно я 100 раз с ним работал... 
 
 Короче не судьба. Оставил accel-ppp до лучших времён для pptp и sstp. Может пригодится. Альтернтиав мало. 
 
 П. С. Я думаю что косяк со шлюзом VPN сервера. Так как с текущими настройками iptables у меня всё работает. Дело в accel-ppp.