<html><head><meta http-equiv="Content-Type" content="text/html charset=koi8-r"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On 23.08.2012, at 11:49, Илья Шипицин <<a href="mailto:chipitsine@gmail.com">chipitsine@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div class="gmail_quote">23 августа 2012 г., 13:44 пользователь Alexey V. Karagodov <span dir="ltr"><<a href="mailto:kav@karagodov.name" target="_blank">kav@karagodov.name</a>></span> написал:<br><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<div style="word-wrap:break-word">что то мы заоффтопились ... <div><br><div><div class="im"><div>On 23.08.2012, at 11:31, Илья Шипицин <<a href="mailto:chipitsine@gmail.com" target="_blank">chipitsine@gmail.com</a>> wrote:</div>
<br><blockquote type="cite"><br><br><div class="gmail_quote">23 августа 2012 г., 13:24 пользователь Alexey V. Karagodov <span dir="ltr"><<a href="mailto:kav@karagodov.name" target="_blank">kav@karagodov.name</a>></span> написал:<br>
<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<div>> и еще один момент вылетел из головы.<br>
> на системах Windows исходящие https соединения идут с включенным битом DF, соответственно вы в полный рост увидите (мы у себя видим) криво настроенные MTU и заблокированные "icmp dest unreach frag required" в транзите.<br>


><br>
> как бороться с этим мы не придумали и тупо понизили на своей стороне MSS. уменьшение на 40 байтов должно хватить для закрытия типичных проблем с кривыми MTU в транзите.<br>
</div>mtu=1500<br>
mss=mtu-40<br>
<br>
всегда везде работало<br></blockquote><div> </div><div>на сотнях тысячах пользователей попадаются несколько десятков с криво настроенным mtu (в основном на pppoe тунелях, почему-то), там достаточно отнять еще раз по 40 байт.</div>

<div> </div><div>mtu = 1460</div><div>mss = mtu-40</div><div> </div><div>и это закроет проблемных pppoe-клиентов.</div><div>кроме этого пару раз видели проблемы с mtu другой природы, когда "минус 40 байтов" не помогло.</div>
</div></blockquote></div>для пппое на клиентском железе (пппое-клиент) надо делать ещё -8 </div><div>для всяких там pptp/l2tp, гори они в аду, надо ещё минус несколько десятков </div><div><br></div><div>pmtu вам в помощь короче говоря </div>
<div> </div></div></div></blockquote><div> </div><div>про pmtu я в курсе. но, если я контролирую только серверную часть (и не блокирую исходящие от меня icmp), какие у меня есть возможности в плане pmtu ?</div><div> </div>
<div>кроме "понизить mss до безопасного уровня, чтобы везде пролазило", что я могу сделать ?</div></div></blockquote><div><a href="http://en.wikipedia.org/wiki/Path_MTU_Discovery">http://en.wikipedia.org/wiki/Path_MTU_Discovery</a></div><div><span style="font-family: sans-serif; font-size: 13px; line-height: 19px; background-color: rgb(255, 255, 255); ">Some implementations of PMTUD attempt to prevent this problem by inferring that large payload packets have been dropped due to MTU rather than because of link congestion. </span></div><div>найти "правильную" реализацию pmtud ... </div><div><br></div><div><a href="http://juniper.ie/techpubs/en_US/junose12.3/information-products/topic-collections/swconfig-ip-ipv6/index.html?id-92450.html">http://juniper.ie/techpubs/en_US/junose12.3/information-products/topic-collections/swconfig-ip-ipv6/index.html?id-92450.html</a></div><div><br></div><div><br></div><blockquote type="cite"><div class="gmail_quote"><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<div style="word-wrap:break-word"><div> </div><div>к примеру на Juniper SRX работает отлично просто, а Cisco ISR - шлак </div><div><br></div><div><div class="im"><br><blockquote type="cite"><div class="gmail_quote">
<div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<br>
это только с вендрой? со всеми версиями?<br></blockquote><div> </div><div>да. да.</div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">


P.S. на маршрутизаторе можно DF бит снять<br></blockquote><div> </div><div>ммм, а смысл ?</div></div></blockquote></div>будет больше мест, где оно пролезет, ну хотя бы по частям </div><div> </div></div></blockquote>
<div> </div><div>надо будет поизучать этот вопрос.</div><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">
<div style="word-wrap:break-word"><div> </div><div class="im"><div><br><blockquote type="cite"><div class="gmail_quote"><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">


<div><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></blockquote></div><br>
_______________________________________________<br>nginx-ru mailing list<br><a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br><a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote>
</div><br></div></div><br>_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br></blockquote></div><br>
_______________________________________________<br>nginx-ru mailing list<br><a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>http://mailman.nginx.org/mailman/listinfo/nginx-ru</blockquote></div><br></body></html>