Jump to content
PrAW

Резкое увеличение пинга в защищенной сети при фрагментации пакетов

Recommended Posts

Наблюдается некоторая мистика с доступностью сети.
У нас удаленный филиал, получаем доступ к координатору через довольно длинный сегмент интернета, время полёта пакетов примерно 90 мс.

Но в случае фрагментации пакетов пинги резко увеличиваются в 20-30 раз при доступе к ресурсам защищенной сети за координатором.

Проверяю канал пингом с указываемым размером пакета, опцию "не фрагментировать" не ставлю. Кто сталкивался с похожей ситуацией?

Приложена схема со сценариями.

Сценарий 1 - пинг из защищенной сети до внешнего IP координатора.

  1. Размер пакетов до 1307 байт (ping -l 1307 99.99.99.99) - пинг 95 мс
  2. Размер пакетов 1308 -  1407 - пинг резко увеличивается - первый пакет пролетает примерно за 1000 мс, второй почти ровно 2000 мс, остальные по 2000.
    Обмен пакетами с 99.99.99.99 по с 1308 байтами данных:
    Ответ от 99.99.99.99: число байт=1308 время=1097мс TTL=46
    Ответ от 99.99.99.99: число байт=1308 время=1998мс TTL=46
  3. Размер пакетов более 1408 байт - пинг вырастает до 3300+ мс, четные пакеты не успевают возвращаться:
    Ответ от 99.99.99.99: число байт=1408 время=3444мс TTL=46
    Превышен интервал ожидания для запроса.
    Ответ от 99.99.99.99: число байт=1408 время=3324мс TTL=46
    Превышен интервал ожидания для запроса.

Сценарий 2 - пинг ресурса в защищенной сети за координатором - поведение аналогичное сценарию 1.

Сценарий 3 - пинг внешнего IP координатора с другого компа из открытой сети, рядом с компьютерами из из защищенной сети - канал интернет тот же самый.

  1. Пинг 95+ мс при размере пакета 1500. По заверениям провайдера MTU у нас 1500, что вполне похоже на правду.
  2. При установке флага "не фрагментировать" успешно пролезает 1472 байта за те же миллисекунды, что вполне вписывается в норму канала до тех мест, где стоит координатор.

Что уже попробовали - в настройках клиента "Максимальный размер сегмента MSS" уменьшали на 200 байт, явного эффекта нет, только порог резкого увеличения времени пинга сдвинулся.
В настройках Windows крутили максимальный MTU, явного эффекта нет - когда начинается фрагментация пакетов - пинг все-равно увеличивается в 10-30 раз.

Очень сильно подозреваю, что на координаторе достаточно выставить какой-то чекбокс или таймаут, касающийся фрагментации пакетов и всё резко станет хорошо.

VipNet Client версии 4.3 (проблема наблюдалась и на 3.2)
Координатор версии 4.1(4.10171) 

 

2018-04-19_14-24-47.png

Share this post


Link to post
Share on other sites

Настройте пропуск пакетов ICMP так, чтобы работал Path MTU Discovery и не клюйте себе мозг странными хотелками.

P.S. "... а я до сих пор поезда под откос пускаю".

Share this post


Link to post
Share on other sites
26 минут назад, basid сказал:

Настройте пропуск пакетов ICMP так, чтобы работал Path MTU Discovery и не клюйте себе мозг странными хотелками.

P.S. "... а я до сих пор поезда под откос пускаю".

И это всё внезапно вылечит? В каком месте пропуск пакетов нужен? На стороне клиента - в защищенную сеть, в открытую сеть? На стороне координатора?

Share this post


Link to post
Share on other sites
1 час назад, PrAW сказал:

"Максимальный размер сегмента MSS" уменьшали на 200 байт

И эта настройка замечательно влияет исключительно на TCP, icmp и udp она не трогает.

 

1 час назад, PrAW сказал:

Очень сильно подозреваю, что на координаторе достаточно выставить какой-то чекбокс или таймаут, касающийся фрагментации пакетов и всё резко станет хорошо.

 Нет там такого чекбокса. И лучше не допускать фрагментации, так как это очень затратная операция для любого маршрутизатора, а у Вас еще и шифрование накладывается. И получается, что Вы запускаете свои 1500 байт, полный кадр, а координатору нужно это все инкапсулировать в udp, добавив сверху от 20 до 80 байт и сделать вывод, что в mtu этот пакет не проходит, значит нужно резать, а на обратной стороне собирать. На этой операции Вы и теряете свои пинги.

  Но если mss выставлен в 200 (и на клиентах и на координаторе) и Ваш продуктивный трафик это tcp, то проблем с его прохождением быть не должно.

Или Вам принципиально пускать только пинг по 1500? Для этого сеть собиралась?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.