classic.ISPforum.cz

Zdravím, obracím se na vás ohledně jednoho problému s Bridge a EoIP.

Když dám do Bridge jednotlivé fyzické porty vše funguje jak má. V okamžiku kdy do Bridge ještě přidám i vytvořený EoIP, tak se začne divně chovat internet. Některé stránky fungují normálně (třeba: ispforum.cz, facebook.com), jiné se odmítají načíst (třeba: idnes.cz, speedtest.net). Stačí v nastavení v Bridge / ports jen Disablovovat dané EoIP a vše funguje dále jak má. Ping funguje na všechny. Přikládám i Screen s nastavením.

bridge1 - Lan, funguje zcela korektně (nejsou v něm EoIP)
bridge2, tak ten právě zlobí.

Poradíte mi prosím, kde dělám chybu.

Tak problém snad vyřešen Stačilo nastavit MTU na 1500 u EoIP a vše jede.

neni stejne moc ? EoIP tunnel adds at least 42 byte overhead (8byte GRE + 14 byte Ethernet + 20 byte IP) Nemelo by to byt spsis 1500-42=1458?

K3NY píše:neni stejne moc ? EoIP tunnel adds at least 42 byte overhead (8byte GRE + 14 byte Ethernet + 20 byte IP) Nemelo by to byt spsis 1500-42=1458?

Ano správně tam má být 1458, ale při tomto MTU se projevuje výše popsané divné chování.

protože ti chybí pravidélko ve FW na change MTU, no když dáš MTU 1500 tak to bude fragmentovat, pokud tam je provoz nulanula tak to nebude moc ničemu vadit, pokud tam je více zákazníků, může to být potom problém a doporučil bych tu variantu s FW pravidélkem...

Nemyslíš spíš změnu MSS?

goblajz píše:Nemyslíš spíš změnu MSS?

tak

Složili jste dohromady dva problémy, co mu to mohou rozbíjet:
a) Stejné maximální MTU v rámci jedné L2 domény. Pokud udělám bridge a do něj připojím několik portů, tak bridge si nastaví MTU na nejnižší společnou bezpečnou hodnotu. A pokud do bridge připojím i fyzický Ethernet port (VLANu, ..), která z definici očekává fingující MTU 1500, tak nastane problém, jakmile ze strany Ethernetu začnou chodit pakety delší, než to MTU na bridge. V takovéto konfigurci je vhodné EoIP MTU vnutit na 1500, ať mi záhadně magicky nemizí některé delší pakety, protože pak to někdy a něco jde a něco zmizí.
b) Zaroutování dlouhého paketu do linky, kerá ho nepřenese se zkázanou automtickou fragmentací po cestě a stále neschopností některých systémů správně vyhodnotit a zaragovat na ICMP ohlášení o potřebě zkrátit vysílaná data. Toto se dá řešit částešně aspoň pomocí toho MSS change ve firewallu pro TCP protokol nebo někdy i zpětným povolením fragmentace, což je prasárna, ale pomáhá i na další protokoly (pokud cílová přijímající strana je schopna složit fragmenty opět dohromady).