Estou configurando uma VPN no Ubuntu 14.04LTS que usa o IPSEC e realiza o NAT para os clientes. Está basicamente funcionando - posso me conectar a ele de um clinet (dispositivo Android) e navegar (por exemplo) www.google.com.
No entanto, não consigo navegar em www.bbc.co.uk. Quando tento, meu servidor VPN recebe a resposta de www.bbc.co.uk com o conjunto de bits não fragmentados e descarta-o. O Wireshark mostra muitos destes:
119 7.904053000 212.58.246.95 MY.IP.MY.IP TCP 1414 [TCP segment of a reassembled PDU]
120 7.904094000 MY.IP.MY.IP 212.58.246.95 ICMP 590 Destination unreachable (Fragmentation needed)
Por ping meu cliente do servidor VPN, verifiquei que o seu MTU é de cerca de 1380. O MTU do servidor VPN é de 1500.
Como isso supostamente funcionará, por favor? MTUs podem variar, então se a BBC se configurando não fragmentar, como isso deve ser tratado, por favor?
Eu diria que, se o não-fragmento estiver definido, tudo deve concordar com o menor MTU comum. Posso descobrir quem está se comportando mal?
O problema acabou sendo o firewall (não o Ubuntu ufw, mas o firewall fora do meu servidor fornecido pelo nosso departamento de TI) não permitindo a saída de pacotes ICMP.
Uma vez que isso foi ativado, a descoberta do caminho da MTU (ou o que quer que esteja acontecendo) começou a funcionar e tudo está bem.
Tags nat mtu ip-fragmentation