IPsec - Alguns acessos TCP não funcionam [Resolvido]
Dica publicada em Linux / Segurança
IPsec - Alguns acessos TCP não funcionam [Resolvido]
Saudações.
Como há algum tempo, ou melhor, há muito tempo, estava com um problema, onde, nas unidades onde existiam túnel VPN, não funcionavam algumas conexões TCP, tais como HTTP no Apache, acesso via TS, e outros tipos de acesso.
Diante do fato e da muita dificuldade para localizar, primeiro a causa raiz e depois a solução, quero compartilhar o que identificamos - pois foi com a ajuda de um colega de serviço, grande Izaias - valeu pela força mano. ;-)
Como o MTU nas conexões, por padrão 1500, não é o tamanho adequado para túneis VPN sob IPsec (que foi o que analisamos).
Só estou fazendo o resumo aqui, mas, foram vários meses de testes, pois as causas poderiam ser diversas e foram muitos testes realizados.
Bom, vamos à solução:
# iptables -t mangle -I POSTROUTING -p tcp -s $SUAREDEINTERNA --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1100)
O 1100 é o tamanho do MTU que ficou adequado para nosso ambiente.
Fonte de onde surgiu a possível solução:
Abraço e fique com DEUS! ;-)
Como há algum tempo, ou melhor, há muito tempo, estava com um problema, onde, nas unidades onde existiam túnel VPN, não funcionavam algumas conexões TCP, tais como HTTP no Apache, acesso via TS, e outros tipos de acesso.
Diante do fato e da muita dificuldade para localizar, primeiro a causa raiz e depois a solução, quero compartilhar o que identificamos - pois foi com a ajuda de um colega de serviço, grande Izaias - valeu pela força mano. ;-)
Como o MTU nas conexões, por padrão 1500, não é o tamanho adequado para túneis VPN sob IPsec (que foi o que analisamos).
Só estou fazendo o resumo aqui, mas, foram vários meses de testes, pois as causas poderiam ser diversas e foram muitos testes realizados.
Bom, vamos à solução:
# iptables -t mangle -I POSTROUTING -p tcp -s $SUAREDEINTERNA --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1100)
O 1100 é o tamanho do MTU que ficou adequado para nosso ambiente.
Fonte de onde surgiu a possível solução:
Abraço e fique com DEUS! ;-)
estava há alguns dias com um problema numa unidade/filial pelo qual não conseguia realizar download via scp através do túnel de VPN que estabilizava. Apenas funcionava o upload.
Segue o trecho do problema que ocorria:
[root@SRV ~]# scp root@10.10.x.x:/tmp/log_link .
root@10.10.x.x's password:
log_link 0% 0 0.0KB/s - stalled -Killed by signal 2.
Essa palavra stalled estava sendo um tormento e pensei até em bug do scp, mas não era. Resolvi agora há pouco testar sua dica e funcionou!
Quero registrar aqui meu agradecimento por isso.
Forte abraço!