Artyom Опубликовано 3 Апреля 2015 Жалоба Поделиться Опубликовано 3 Апреля 2015 Коллеги!Возникла проблема с потерей пакетов через VPN ViPNet, когда клиент через туннель, между координаторами (сети туннелируются), пытается подключиться к почтовому серверу. Клиент подключается на порт 110, авторизуется и пытается забрать почту. На почтовом сервере в это время наблюдаю, что авторизация прошла успешно, но соединение либо "Disconnected", либо "Closed". Сетевая акула на стороне сервера регистрирует, что пакеты по "IMF"-протоколу уходят на IP-адрес клиента через туннель, но не доходят! Один раз все-таки каким-то образом получил одно письмо!Такое впечатление, что пакеты теряются в VPN канале, либо что-то еще нужно открыть... Я не знаю, что еще может быть. На координаторе четко открыты порты 110, 25, 587Почтовый сервер - Sendmail. Клиент - Thunderbird or Foxmail.p.s. а может влиять на все это selinux or iptables ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 3 Апреля 2015 Жалоба Поделиться Опубликовано 3 Апреля 2015 Для начала прогоните iperf трафик от клиента к туннелю за координатором по tcp и udp. Оцените скорость по tcp и потери для udp. Для udp обязательно используйте ключ -b, чтобы регулировать полосу пропускания.Может статься, что провайдер шейпит udp. Например, с Yota модемами для физических лиц такая ситуация существует.Также на клиенте, если есть возможность, проанализируйте "сетевой акулой" трафик. Особенно соберите организуемую tcp сессию: какие флаги, window.>Сетевая акула на стороне сервера регистрирует, что пакеты по "IMF"-протоколу уходят на IP-адрес клиента через туннельКакой точно ip-адрес. Должен быть виртуальным, если на координаторе не используете forcereal. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 3 Апреля 2015 Автор Жалоба Поделиться Опубликовано 3 Апреля 2015 Для начала прогоните iperf трафик от клиента к туннелю за координатором по tcp и udp.Имеется ввиду ("за координатором") координатор, который находится в головном офисе (ГО) или Филиале?P.S. вопросов больше еще появилось. Вы уж извините, если что Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 7 Апреля 2015 Автор Жалоба Поделиться Опубликовано 7 Апреля 2015 Какой точно ip-адрес. Должен быть виртуальным, если на координаторе не используете forcereal.Адреса, имеются ввиду, туннелируемых сетей в ГО и Филиале. Виртуальные адреса не трогаем. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 7 Апреля 2015 Автор Жалоба Поделиться Опубликовано 7 Апреля 2015 Также на клиенте, если есть возможность, проанализируйте "сетевой акулой" трафик. Особенно соберите организуемую tcp сессию: какие флаги, window.Строил сессию tcp, подключаясь на 110 порт по telnet. Анализ tcp-сессии показал, что клиент выбирает первоначально размер окна "Window size value" равным 8192, а сервер отвечает с "Window size value" равным 14600. Затем клиент выбирает размер окна "Window size value" равным 256 ("Calculated Window size" равным 65536). Сервер отвечает с "Window size value" равным 115 ("Calculated Window size" равным 14720).Ширина каналов везде по 10 Мбит/с! Имеет ли место шейпинг udp трафика со стороны провайдера. (P.S. ISP - Ростелеком в ГО) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 9 Апреля 2015 Автор Жалоба Поделиться Опубликовано 9 Апреля 2015 Реально помог параметр "mssdecrease"! Исправил значение с "0" на "200". Желаю всем удачи! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.