<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">чт, 24 сент. 2020 г. в 22:02, Evgeniy Berdnikov <<a href="mailto:bgx@protva.ru">bgx@protva.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, Sep 24, 2020 at 09:18:40PM +0500, Илья Шипицин wrote:<br>
>    чт, 24 сент. 2020 г. в 21:06, Evgeniy Berdnikov <<a href="mailto:bgx@protva.ru" target="_blank">bgx@protva.ru</a>>:<br>
> <br>
>       PPPoE ходит лишь по изернету, там "снаружи" ничего прилететь не может.<br>
> <br>
>    я примерно тыщу раз сталкивался с ситуацией<br>
>    "у нас не устанавливается SSL от браузера" --> "запускаем трейсроут" --> в<br>
>    транзите вижу узел с днс именем, содержащим pppoe.<br>
>    примерно в 100% случаях снижение MTU на клиенте или аналогичная<br>
>    манипуляция на сервере чинили<br>
>    при этом ни у меня, ни у клиента icmp не блокировано. просто сигнализация<br>
>    идет, вероятно, с pppoe узлами в транзите.<br>
<br>
 Вы перепрыгнули на другую ситуацию. Никаких там "pppoe в транзите"<br>
 наверняка нет (они могут быть лишь на 2м и предпоследнем хопе).<br>
 "Снаружи" на pppoe icmp никогда не прилетают, хотя бы потому, что<br>
 pppoe это не ip и вследствие этого он по интернету в принципе ходить<br>
 не может.<br></blockquote><div><br></div><div>вам может везти, если ваш сервер стоит рядом с сервером Яндекса. это</div><div>будет гарантировать, что любой региональный провайдер будет запариваться,</div><div>чтобы у его абонентов была связь до вас.</div><div><br></div><div><br></div><div>поверьте, если вы не рядом с Яндексом, вы таких чудес в транзите насмотритесь ...<br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
 Здесь же наверняка причина в том, что терминирующий pppoе шлюз не<br>
 посылает клиенту icmp на пакет с максимальным для изернета mtu,<br>
 хотя приделать к нему pppoe-шные хедеры тоже не может: места нет.<br>
 Таких кривых шлюзов немало, с этим я согласен.<br>
<br>
>       Посмотрите на openvpn, например. Он даёт вам mtu=1500 в туннеле по<br>
>       умолчанию и ваша голова не болит, как он там пакеты дробит и куда<br>
>       свои служебные заголоки фасует.<br>
> <br>
>    это ровно такая же ситуация, про которую я говорил. если вы являетесь той<br>
>    точкой, которая терминирует OpenVPN - вы видите<br>
>    icmp dest unreach и обрабатываете. если OpenVPN  где-то в транзите, леший<br>
>    знает, как смаршрутизируется icmp dest unreach<br>
<br>
 Никакой магии: icmp посылается на src_ip исходного пакета, и если пакет<br>
 был от openvpn, то icmp придёт обратно к узлу-отправителю с openvpn.<br>
 Тут всё детерминировано и однозначно. А тип icmp будет "frag-need".<br>
-- <br>
 Eugene Berdnikov<br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div>