é un dibattito sempre acceso nella community...su openvpn3 é stato implementato l'invio di ICMP packet-too-big in caso di protocollo non TCP, in modo da emulare in qualche modo un comportamento simile.
Su openvpn2 non si é voluto fare, ma si reputa che tutto sommato non ce ne sia bisogno perché i protocolli UDP spesso gestiscono le perdita in autonomia.
Detto questo, i par di capire che la VPN sia il piú piccolo dei problemi che volevi risolvere 
gandalf2016 Per OpenVPN basta abbassare l’MTU nelle impostazioni. Personalmente ho sempre impostato MTU a 1300 e di conseguenza MSS a 1260.
Personalmente aumento anche rcvbuf e sndbuf, ho ( spero per poco ancora ) una openvpn L2 su fwa w3 e per farla andare a velocità degne è stato un parto, anche verso ftth, fttc o altre reti mobili
@darkbasic
La situazione inversa è ciò che normalmente conta nell'uso pratico, tizio con hotspot oppure con rete di trasporto con mtu più basso (es. casi strani di ponti radio), in ogni caso vai incontro a frammentazione anche con jumbo frame o mtu 1500 lato wan server
ordex é un dibattito sempre acceso nella community...su openvpn3 é stato implementato l'invio di ICMP packet-too-big in caso di protocollo non TCP, in modo da emulare in qualche modo un comportamento simile.
Su openvpn2 non si é voluto fare, ma si reputa che tutto sommato non ce ne sia bisogno perché i protocolli UDP spesso gestiscono le perdita in autonomia.
Ho utilizzato pochissimo openvpn 3 anche perche' fino a poco fa non era neanche pacchettizzato per Debian, ma non ero a conoscenza di questa differenza. Sai dirmi anche perche' non hanno voluto implementare fragment su openvpn v3?
darkbasic Sai dirmi anche perche' non hanno voluto implementare fragment su openvpn v3?
--fragment é una reliquia del passato e l'unico motivo per cui esiste ancora su openvpn2 é per non rompere i setup di chi lo usa. Su openvpn3 si e scelto di non implementarlo a priori e di spingere la gente su --mssfix appunto.
Considera che le prestazioni sono altamente penalizzate in caso di --fragment, quindi é di fatto una "non soluzione".
ordex --fragment é una reliquia del passato e l'unico motivo per cui esiste ancora su openvpn2 é per non rompere i setup di chi lo usa
Peccato che su openvpn2 mssfix non funzioni con le connessioni udp.
Se openvpn3 invia un ICMP packet-too-big al contrario dovrebbe funzionare.
Rimane il fatto che fragment faceva comodo per mascherare l'utilizzo di una vpn, magari semplicemente anche in fase di debug dove il performance hit era trascurabile.
darkbasic Peccato che su openvpn2 mssfix non funzioni con le connessioni udp.
si é dibattuto tanto a riguardo, ma la conclusione é stata quella di cui sopra: per UDP si pensa non sia necessario perché i protocolli si dovrebbero adeguare. Comunque se pensi che sia una cosa problematica, manda per favore una mail in mailing list openvpn-devel, cosí da portare un esempio.
darkbasic Rimane il fatto che fragment faceva comodo per mascherare l'utilizzo di una vpn, magari semplicemente anche in fase di debug dove il performance hit era trascurabile.
perché non cambiare l'MTU in questo caso?
ordex Comunque se pensi che sia una cosa problematica, manda per favore una mail in mailing list openvpn-devel, cosí da portare un esempio.
Ho provato a debuggare problematiche simili in passato sulla mailing list, la conclusione e' stata:
We’ve found that transmission equipment CAN (and unfortunately sometimes does)
treat protocols differently. So what you find with ICMP, may differ from UDP or
TCP. Sometimes they are even routed differently!
Also, certain devices (no, I won’t specify them) are doing stealth tunneling,
without responding properly to their lowered MTU. It caused me a lot of grey
hairs.
Non ho approfondito ulteriormente, l'intenzione era di liberarmi di quella schifezza di linea il prima possibile.
ordex perché non cambiare l'MTU in questo caso?
Perche' oltre un certo MTU non posso andare per via dell'overhead del tunnel. Inoltre se il mio provider utilizza pppoe senza mini jumbo frames oltre a 1492 non potrei andare a prescindere dall'overhead del tunnel.
Fragment ti permette di simulare una LAN locale in cui MTU e' generalmente sempre 1500 e non e' necessario frammentare mai i pacchetti.
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile
