Jump to content

Recommended Posts

Коллеги!

Возникла проблема с потерей пакетов через VPN ViPNet, когда клиент через туннель, между координаторами (сети туннелируются), пытается подключиться к почтовому серверу. Клиент подключается на порт 110, авторизуется и пытается забрать почту. На почтовом сервере в это время наблюдаю, что авторизация прошла успешно, но соединение либо "Disconnected", либо "Closed". Сетевая акула на стороне сервера регистрирует, что пакеты по "IMF"-протоколу уходят на IP-адрес клиента через туннель, но не доходят! Один раз все-таки каким-то образом получил одно письмо!

Такое впечатление, что пакеты теряются в VPN канале, либо что-то еще нужно открыть... Я не знаю, что еще может быть. На координаторе четко открыты порты 110, 25, 587

Почтовый сервер - Sendmail. Клиент - Thunderbird or Foxmail.

p.s. а может влиять на все это selinux or iptables ?

Share this post


Link to post
Share on other sites

Для начала прогоните iperf трафик от клиента к туннелю за координатором по tcp и udp. Оцените скорость по tcp и потери для udp. Для udp обязательно используйте ключ -b, чтобы регулировать полосу пропускания.

Может статься, что провайдер шейпит udp. Например, с Yota модемами для физических лиц такая ситуация существует.

Также на клиенте, если есть возможность, проанализируйте "сетевой акулой" трафик. Особенно соберите организуемую tcp сессию: какие флаги, window.

>Сетевая акула на стороне сервера регистрирует, что пакеты по "IMF"-протоколу уходят на IP-адрес клиента через туннель

Какой точно ip-адрес. Должен быть виртуальным, если на координаторе не используете forcereal.

Share this post


Link to post
Share on other sites

Для начала прогоните iperf трафик от клиента к туннелю за координатором по tcp и udp.

Имеется ввиду ("за координатором") координатор, который находится в головном офисе (ГО) или Филиале?

P.S. вопросов больше еще появилось. Вы уж извините, если что :)

Share this post


Link to post
Share on other sites

Какой точно ip-адрес. Должен быть виртуальным, если на координаторе не используете forcereal.

Адреса, имеются ввиду, туннелируемых сетей в ГО и Филиале. Виртуальные адреса не трогаем.

Share this post


Link to post
Share on other sites

Также на клиенте, если есть возможность, проанализируйте "сетевой акулой" трафик. Особенно соберите организуемую tcp сессию: какие флаги, window.

Строил сессию tcp, подключаясь на 110 порт по telnet. Анализ tcp-сессии показал, что клиент выбирает первоначально размер окна "Window size value" равным 8192, а сервер отвечает с "Window size value" равным 14600. Затем клиент выбирает размер окна "Window size value" равным 256 ("Calculated Window size" равным 65536). Сервер отвечает с "Window size value" равным 115 ("Calculated Window size" равным 14720).

Ширина каналов везде по 10 Мбит/с! Имеет ли место шейпинг udp трафика со стороны провайдера. (P.S. ISP - Ростелеком в ГО)

Share this post


Link to post
Share on other sites

Реально помог параметр "mssdecrease"! Исправил значение с "0" на "200". Желаю всем удачи!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.