Перейти к контенту

Резкое увеличение пинга в защищенной сети при фрагментации пакетов


Рекомендуемые сообщения

Наблюдается некоторая мистика с доступностью сети.
У нас удаленный филиал, получаем доступ к координатору через довольно длинный сегмент интернета, время полёта пакетов примерно 90 мс.

Но в случае фрагментации пакетов пинги резко увеличиваются в 20-30 раз при доступе к ресурсам защищенной сети за координатором.

Проверяю канал пингом с указываемым размером пакета, опцию "не фрагментировать" не ставлю. Кто сталкивался с похожей ситуацией?

Приложена схема со сценариями.

Сценарий 1 - пинг из защищенной сети до внешнего IP координатора.

  1. Размер пакетов до 1307 байт (ping -l 1307 99.99.99.99) - пинг 95 мс
  2. Размер пакетов 1308 -  1407 - пинг резко увеличивается - первый пакет пролетает примерно за 1000 мс, второй почти ровно 2000 мс, остальные по 2000.
    Обмен пакетами с 99.99.99.99 по с 1308 байтами данных:
    Ответ от 99.99.99.99: число байт=1308 время=1097мс TTL=46
    Ответ от 99.99.99.99: число байт=1308 время=1998мс TTL=46
  3. Размер пакетов более 1408 байт - пинг вырастает до 3300+ мс, четные пакеты не успевают возвращаться:
    Ответ от 99.99.99.99: число байт=1408 время=3444мс TTL=46
    Превышен интервал ожидания для запроса.
    Ответ от 99.99.99.99: число байт=1408 время=3324мс TTL=46
    Превышен интервал ожидания для запроса.

Сценарий 2 - пинг ресурса в защищенной сети за координатором - поведение аналогичное сценарию 1.

Сценарий 3 - пинг внешнего IP координатора с другого компа из открытой сети, рядом с компьютерами из из защищенной сети - канал интернет тот же самый.

  1. Пинг 95+ мс при размере пакета 1500. По заверениям провайдера MTU у нас 1500, что вполне похоже на правду.
  2. При установке флага "не фрагментировать" успешно пролезает 1472 байта за те же миллисекунды, что вполне вписывается в норму канала до тех мест, где стоит координатор.

Что уже попробовали - в настройках клиента "Максимальный размер сегмента MSS" уменьшали на 200 байт, явного эффекта нет, только порог резкого увеличения времени пинга сдвинулся.
В настройках Windows крутили максимальный MTU, явного эффекта нет - когда начинается фрагментация пакетов - пинг все-равно увеличивается в 10-30 раз.

Очень сильно подозреваю, что на координаторе достаточно выставить какой-то чекбокс или таймаут, касающийся фрагментации пакетов и всё резко станет хорошо.

VipNet Client версии 4.3 (проблема наблюдалась и на 3.2)
Координатор версии 4.1(4.10171) 

 

2018-04-19_14-24-47.png

Ссылка на комментарий
Поделиться на других сайтах

Настройте пропуск пакетов ICMP так, чтобы работал Path MTU Discovery и не клюйте себе мозг странными хотелками.

P.S. "... а я до сих пор поезда под откос пускаю".

Ссылка на комментарий
Поделиться на других сайтах

26 минут назад, basid сказал:

Настройте пропуск пакетов ICMP так, чтобы работал Path MTU Discovery и не клюйте себе мозг странными хотелками.

P.S. "... а я до сих пор поезда под откос пускаю".

И это всё внезапно вылечит? В каком месте пропуск пакетов нужен? На стороне клиента - в защищенную сеть, в открытую сеть? На стороне координатора?

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, PrAW сказал:

"Максимальный размер сегмента MSS" уменьшали на 200 байт

И эта настройка замечательно влияет исключительно на TCP, icmp и udp она не трогает.

 

1 час назад, PrAW сказал:

Очень сильно подозреваю, что на координаторе достаточно выставить какой-то чекбокс или таймаут, касающийся фрагментации пакетов и всё резко станет хорошо.

 Нет там такого чекбокса. И лучше не допускать фрагментации, так как это очень затратная операция для любого маршрутизатора, а у Вас еще и шифрование накладывается. И получается, что Вы запускаете свои 1500 байт, полный кадр, а координатору нужно это все инкапсулировать в udp, добавив сверху от 20 до 80 байт и сделать вывод, что в mtu этот пакет не проходит, значит нужно резать, а на обратной стороне собирать. На этой операции Вы и теряете свои пинги.

  Но если mss выставлен в 200 (и на клиентах и на координаторе) и Ваш продуктивный трафик это tcp, то проблем с его прохождением быть не должно.

Или Вам принципиально пускать только пинг по 1500? Для этого сеть собиралась?

Ссылка на комментарий
Поделиться на других сайтах

44 минуты назад, PrAW сказал:

И это всё внезапно вылечит?

Path MTU Discovery.

44 минуты назад, PrAW сказал:

В каком месте пропуск пакетов нужен?

ICMP Type 3 — Destination Unreachable (Code 4).

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.