先附上:大概的VPN架構圖,三點之間都是用政策對政策的方式,建立VPN連線。
各位大大們,問題大概是這樣的。
大陸的同事,反應對台北與分公司的遠端服務及Mail,速度很慢。
我去確認了,流量正常,沒有塞的狀況;不過在大陸的netscree25上面出現很多Fragmented traffic的Alert。(如下圖)
會看到,都是 台北與分公司 對大陸那台連線產生的Fragmented traffic,不到一分鐘就會出現1次訊息。
問題是 三台FireWall都有設定Block Fragmented traffic,就唯獨大陸那台會出現Alert。
之後,我把大陸那台Block Fragmented traffic的防禦機制取消掉,就正常了。(如下圖)
有什麼方向可以找出這種問題嗎?
雖然不開Fragmented traffic的防禦機制,運作上也正常,不過就是怕會被封包攻擊。
而且為什麼是台北及分公司的VPN流量會出現Fragmented traffic呢?
這種狀況也是最近才發生的~
求解答了~
已邀請的邦友 {{ invite_list.length }}/5
阿咧, 早上咖啡沒喝夠. 要回應竟然按到 "刪除"...
回應:
ESP header 長度大概 50 ~ 58 bytes. 你個結果可能是在 VPN 整段路由中有 MTU 值較小的設備.
你可以分別用台北和分公司內部的一部電腦,用 ping 的方式測試,ping大陸內部的一個 IP.
找到 mss 最佳值.
例如: 大陸內部 IP address 為 192.168.100.100,執行下列 ping 指令(以windows為例)
ping 192.168.100.100 -l 1350 -f
Reply from 192.168.100.100: Packet needs to be fragmented but DF set.
如果 ping 的結果如上,就表示 mss=1350 還是太大.就再換一個較低的值試一次,直到可以ping通. 就把這個 mss值設到 flow vpn-tcp-mss or flow tcp-mss 去.
zyman2008大大,報告最近測試進度:
現在台北端ns25設定完 tcp-mss 1400之後,狀況還是一樣。用您說的Ping的方式,有通。(如下圖)
ns25 (get flow的畫面)
不過我發現分公司SSG140,可以設定您說的vpn-tcp-mss這個部份,設定完 分公司到大陸那邊,就不會有Fragmented traffic的狀況了呢。(get flow的畫面)
台北端的ns25沒有分 vpn-tcp-mss 與 tcp-mss,那這個要怎麼處理?all packet都設1400嗎?
第一張圖,有抓錯XD
Ping 192.168.54.3(大陸內部IP) -f -l 1400,是有通的。
SSG140 就分了 outbound vpn 與 bi-directional vpn ,ns25上面沒有。
設定完 SSG140的 vpn-tcp-mss(bi-directional vpn)部份,分公司就沒有這個狀況。
照理說台北的 NS25 set flow tcp-mss 應該要解掉這個問題,不知道是不是有 bug.
那也只能,先試一下 set flow all-tcp-mss 是不是就 OK 了,只是這樣其他不進 VPN 的
tcp traffic 也都會被影響,傳送效率可能會變差.
zyman2008大大,報告最新測試進度:
台北ns25 set flow all-tcp-mss 1400之後,大陸那邊就不會有Fragmented traffic的狀況。
另外因為台北ns25這邊有兩條對外的網路線,ethernet3是到internet、ethernet4是專門給VPN用。
我在interface4上面有設定 MTU是1400,不過發現Fragmented traffic還是會發生。
不能這樣設定嗎?(ethernet4的設定,如下圖)
要改 tunnel interface 的 MTU, 不是 ethernet 的 MTU.
感謝zyman2008大大的耐心回答,這部份我會再測試測試。
iThome鐵人賽
看影片追技術