Problemas de VPN: MTU e Não-Fragmento

1

Estou configurando uma VPN no Ubuntu 14.04LTS que usa o IPSEC e realiza o NAT para os clientes. Está basicamente funcionando - posso me conectar a ele de um clinet (dispositivo Android) e navegar (por exemplo) www.google.com.

No entanto, não consigo navegar em www.bbc.co.uk. Quando tento, meu servidor VPN recebe a resposta de www.bbc.co.uk com o conjunto de bits não fragmentados e descarta-o. O Wireshark mostra muitos destes:

119 7.904053000 212.58.246.95  MY.IP.MY.IP    TCP   1414    [TCP segment of a reassembled PDU]
120 7.904094000 MY.IP.MY.IP    212.58.246.95  ICMP  590     Destination unreachable (Fragmentation needed)

Por ping meu cliente do servidor VPN, verifiquei que o seu MTU é de cerca de 1380. O MTU do servidor VPN é de 1500.

Como isso supostamente funcionará, por favor? MTUs podem variar, então se a BBC se configurando não fragmentar, como isso deve ser tratado, por favor?

Eu diria que, se o não-fragmento estiver definido, tudo deve concordar com o menor MTU comum. Posso descobrir quem está se comportando mal?

    
por Mark Smith 05.06.2015 / 12:07

1 resposta

1

O problema acabou sendo o firewall (não o Ubuntu ufw, mas o firewall fora do meu servidor fornecido pelo nosso departamento de TI) não permitindo a saída de pacotes ICMP.

Uma vez que isso foi ativado, a descoberta do caminho da MTU (ou o que quer que esteja acontecendo) começou a funcionar e tudo está bem.

    
por 05.06.2015 / 18:24