O Debian não encaminha através de L2TPv3 mais do que a interface virtual mtu l2tp

1

R3 - R1 - Internet - R90

R3: ip addr 10.123.0.3
R1:

sudo ip l2tp add tunnel tunnel_id 699 peer_tunnel_id 699 encap udp local 5.254.174.8
remote 5.254.174.90 udp_sport 699 udp_dport 699
sudo ip l2tp add session tunnel_id 699 session_id 699 peer_session_id 699
sudo ip link set l2tpeth0 up mtu 1446
sudo ip link add brvlan699 type bridge
sudo ip link set l2tpeth0 master brvlan699
sudo vconfig add eth1 699
sudo ip link set eth1.699 master brvlan699
sudo ip link set brvlan699 up
sudo ip a add 10.123.0.1/24 dev brvlan699


R90:

ip l2tp add tunnel tunnel_id 699 peer_tunnel_id 699 encap udp local 5.254.174.90 remote 5.254.174.8 udp_sport 699 udp_dport 699
ip l2tp add session tunnel_id 699 session_id 699 peer_session_id 699

ip link set l2tpeth0 up mtu 1446
ip link add brvlan699 type bridge
ip link set l2tpeth0 master brvlan699
vconfig add eth1 699
ip link set eth1.699 master brvlan699
ip link set brvlan699 up
ip a add 10.123.0.90/24 dev brvlan699


Então temos R1 10.123.0.1, R90 10.123.0.90, R3 10.123.0.3
Cada host pode pingar todos. Mas R3- > R90 ou R90- > R3 podem fazer ping apenas no tamanho máximo do pacote ICMP 1446 como interface mtu l2tpeth0. Por que não fragmenta e envia mais pacotes? R1 pode enviar até 15 000B ICMP para R3 ou R90 através de túnel, mas ping de ponta a ponta através de R1 apenas 1446, mais é timeout. Como otimizar valores de mtu e mss para este túnel com vlan dentro e como fazê-lo funcionar para pacotes maiores com fragmentação?

    
por Nico Zyrtec 15.09.2014 / 20:52

1 resposta

0

link

Há algo para você aí:

A bridge para o L2TPv3 contém dispositivos com diferentes MTU3. Além disso, como a conexão é ligada, nenhum roteamento acontece e a MTU não é ajustada automaticamente pelo roteador. Todos os dispositivos na LAN geralmente usam um MTU de 1500. O MTU dos dispositivos L2TPv3 é de aproximadamente 1400. Como o próprio túnel não pode fragmentar os pacotes, todos os pacotes maiores que o MTU são perdidos. (...) Para resolver o problema, a ponte de firewall e o TCP MSS Clamping são usados. Bridge firewalling significa que as regras do iptables são usadas quando um pacote passa uma ponte. Normalmente isso não deve funcionar, já que uma bridge só funciona na Camada 2. No entanto, se o firewall de ponte estiver habilitado no kernel, uma ponte pode funcionar na Camada 2, assim como na Camada 3.

    
por 15.09.2014 / 22:49