<html><head><meta http-equiv="Content-Type" content="text/html charset=koi8-r"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">что то мы заоффтопились ... <div><br><div><div>On 23.08.2012, at 11:31, Илья Шипицин <<a href="mailto:chipitsine@gmail.com">chipitsine@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><br><br><div class="gmail_quote">23 августа 2012 г., 13:24 пользователь Alexey V. Karagodov <span dir="ltr"><<a href="mailto:kav@karagodov.name" target="_blank">kav@karagodov.name</a>></span> написал:<br><blockquote style="margin: 0px 0px 0px 0.8ex; padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid; position: static; z-index: auto; " class="gmail_quote">
<div class="im">> и еще один момент вылетел из головы.<br>
> на системах Windows исходящие https соединения идут с включенным битом DF, соответственно вы в полный рост увидите (мы у себя видим) криво настроенные MTU и заблокированные "icmp dest unreach frag required" в транзите.<br>

><br>
> как бороться с этим мы не придумали и тупо понизили на своей стороне MSS. уменьшение на 40 байтов должно хватить для закрытия типичных проблем с кривыми MTU в транзите.<br>
</div>mtu=1500<br>
mss=mtu-40<br>
<br>
всегда везде работало<br></blockquote><div> </div><div>на сотнях тысячах пользователей попадаются несколько десятков с криво настроенным mtu (в основном на pppoe тунелях, почему-то), там достаточно отнять еще раз по 40 байт.</div>
<div> </div><div>mtu = 1460</div><div>mss = mtu-40</div><div> </div><div>и это закроет проблемных pppoe-клиентов.</div><div>кроме этого пару раз видели проблемы с mtu другой природы, когда "минус 40 байтов" не помогло.</div></div></blockquote>для пппое на клиентском железе (пппое-клиент) надо делать ещё -8 </div><div>для всяких там pptp/l2tp, гори они в аду, надо ещё минус несколько десятков </div><div><br></div><div>pmtu вам в помощь короче говоря </div><div>к примеру на Juniper SRX работает отлично просто, а Cisco ISR - шлак </div><div><br></div><div><br><blockquote type="cite"><div class="gmail_quote">
<div> </div><blockquote style="margin: 0px 0px 0px 0.8ex; padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid; position: static; z-index: auto; " class="gmail_quote">
<br>
это только с вендрой? со всеми версиями?<br></blockquote><div> </div><div>да. да.</div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">

P.S. на маршрутизаторе можно DF бит снять<br></blockquote><div> </div><div>ммм, а смысл ?</div></div></blockquote>будет больше мест, где оно пролезет, ну хотя бы по частям </div><div><br><blockquote type="cite"><div class="gmail_quote"><div> </div><blockquote style="margin: 0px 0px 0px 0.8ex; padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid; position: static; z-index: auto; " class="gmail_quote">

<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br>
_______________________________________________<br>nginx-ru mailing list<br><a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>http://mailman.nginx.org/mailman/listinfo/nginx-ru</blockquote></div><br></div></body></html>