Você pode tentar criar uma regra em iptables
para definir o TCP MSS para o tráfego destinado a VPN a um valor mais baixo. Mas sem uma captura de pacotes, é difícil adivinhar o que está acontecendo.
Os backups (via Bacula) de um dos meus servidores (“A”) conectados via IPSec (Strongswan no teste Debian) a um daemon de armazenamento (“B”) não terminam 95% das vezes que eles são executados. O que aparentemente acontece é:
net.ipv4.ip_no_pmtu_disc=0
é definida por padrão, o bit IP Don't Fragment é definido no pacote de texto simples. (Os pacotes ICMP estão chegando ao host A e não há regras de iptables no lugar que bloqueiam o ICMP.)
Possíveis razões pelas quais isso acontece, posso pensar em:
Qual é a melhor maneira de corrigir isso, sem desabilitar globalmente a descoberta da PMTU ou diminuir a MTU da interface? Talvez limpar o bit DF de alguma forma como o FreeBSD faz com ipsec.dfbit = 0 ?
Você pode tentar criar uma regra em iptables
para definir o TCP MSS para o tráfego destinado a VPN a um valor mais baixo. Mas sem uma captura de pacotes, é difícil adivinhar o que está acontecendo.
Se a descoberta de PMTU em um cenário de VPN falhar, isso geralmente é um problema com os endereços IP públicos dos gateways ou roteadores intermediários ou mensagens ICMP filtradas. O MSS clamping é apenas uma solução feia.
Tags networking vpn ipsec linux strongswan