Re: nginx SSL offload в highload проекте

Илья Шипицин chipitsine at gmail.com
Thu Aug 23 07:31:52 UTC 2012


23 августа 2012 г., 13:24 пользователь Alexey V. Karagodov <
kav at karagodov.name> написал:

> > и еще один момент вылетел из головы.
> > на системах Windows исходящие https соединения идут с включенным битом
> DF, соответственно вы в полный рост увидите (мы у себя видим) криво
> настроенные MTU и заблокированные "icmp dest unreach frag required" в
> транзите.
> >
> > как бороться с этим мы не придумали и тупо понизили на своей стороне
> MSS. уменьшение на 40 байтов должно хватить для закрытия типичных проблем с
> кривыми MTU в транзите.
> mtu=1500
> mss=mtu-40
>
> всегда везде работало
>

на сотнях тысячах пользователей попадаются несколько десятков с криво
настроенным mtu (в основном на pppoe тунелях, почему-то), там достаточно
отнять еще раз по 40 байт.

mtu = 1460
mss = mtu-40

и это закроет проблемных pppoe-клиентов.
кроме этого пару раз видели проблемы с mtu другой природы, когда "минус 40
байтов" не помогло.


>
> это только с вендрой? со всеми версиями?
>

да. да.


> P.S. на маршрутизаторе можно DF бит снять
>

ммм, а смысл ?


>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20120823/1b2d7672/attachment.html>


Подробная информация о списке рассылки nginx-ru