Jump to content

Recommended Posts

Коллеги!

Возникла проблема с потерей пакетов через VPN ViPNet, когда клиент через туннель, между координаторами (сети туннелируются), пытается подключиться к почтовому серверу. Клиент подключается на порт 110, авторизуется и пытается забрать почту. На почтовом сервере в это время наблюдаю, что авторизация прошла успешно, но соединение либо "Disconnected", либо "Closed". Сетевая акула на стороне сервера регистрирует, что пакеты по "IMF"-протоколу уходят на IP-адрес клиента через туннель, но не доходят! Один раз все-таки каким-то образом получил одно письмо!

Такое впечатление, что пакеты теряются в VPN канале, либо что-то еще нужно открыть... Я не знаю, что еще может быть. На координаторе четко открыты порты 110, 25, 587

Почтовый сервер - Sendmail. Клиент - Thunderbird or Foxmail.

p.s. а может влиять на все это selinux or iptables ?

Share this post


Link to post
Share on other sites

Для начала прогоните iperf трафик от клиента к туннелю за координатором по tcp и udp. Оцените скорость по tcp и потери для udp. Для udp обязательно используйте ключ -b, чтобы регулировать полосу пропускания.

Может статься, что провайдер шейпит udp. Например, с Yota модемами для физических лиц такая ситуация существует.

Также на клиенте, если есть возможность, проанализируйте "сетевой акулой" трафик. Особенно соберите организуемую tcp сессию: какие флаги, window.

>Сетевая акула на стороне сервера регистрирует, что пакеты по "IMF"-протоколу уходят на IP-адрес клиента через туннель

Какой точно ip-адрес. Должен быть виртуальным, если на координаторе не используете forcereal.

Share this post


Link to post
Share on other sites

Для начала прогоните iperf трафик от клиента к туннелю за координатором по tcp и udp.

Имеется ввиду ("за координатором") координатор, который находится в головном офисе (ГО) или Филиале?

P.S. вопросов больше еще появилось. Вы уж извините, если что :)

Share this post


Link to post
Share on other sites

Какой точно ip-адрес. Должен быть виртуальным, если на координаторе не используете forcereal.

Адреса, имеются ввиду, туннелируемых сетей в ГО и Филиале. Виртуальные адреса не трогаем.

Share this post


Link to post
Share on other sites

Также на клиенте, если есть возможность, проанализируйте "сетевой акулой" трафик. Особенно соберите организуемую tcp сессию: какие флаги, window.

Строил сессию tcp, подключаясь на 110 порт по telnet. Анализ tcp-сессии показал, что клиент выбирает первоначально размер окна "Window size value" равным 8192, а сервер отвечает с "Window size value" равным 14600. Затем клиент выбирает размер окна "Window size value" равным 256 ("Calculated Window size" равным 65536). Сервер отвечает с "Window size value" равным 115 ("Calculated Window size" равным 14720).

Ширина каналов везде по 10 Мбит/с! Имеет ли место шейпинг udp трафика со стороны провайдера. (P.S. ISP - Ростелеком в ГО)

Share this post


Link to post
Share on other sites

Реально помог параметр "mssdecrease"! Исправил значение с "0" на "200". Желаю всем удачи!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.