Re: nginx SSL offload в highload проекте

Alexey V. Karagodov kav at karagodov.name
Thu Aug 23 07:44:30 UTC 2012


что то мы заоффтопились ... 

On 23.08.2012, at 11:31, Илья Шипицин <chipitsine at gmail.com> wrote:

> 
> 
> 23 августа 2012 г., 13:24 пользователь Alexey V. Karagodov <kav at karagodov.name> написал:
> > и еще один момент вылетел из головы.
> > на системах Windows исходящие https соединения идут с включенным битом DF, соответственно вы в полный рост увидите (мы у себя видим) криво настроенные MTU и заблокированные "icmp dest unreach frag required" в транзите.
> >
> > как бороться с этим мы не придумали и тупо понизили на своей стороне MSS. уменьшение на 40 байтов должно хватить для закрытия типичных проблем с кривыми MTU в транзите.
> mtu=1500
> mss=mtu-40
> 
> всегда везде работало
>  
> на сотнях тысячах пользователей попадаются несколько десятков с криво настроенным mtu (в основном на pppoe тунелях, почему-то), там достаточно отнять еще раз по 40 байт.
>  
> mtu = 1460
> mss = mtu-40
>  
> и это закроет проблемных pppoe-клиентов.
> кроме этого пару раз видели проблемы с mtu другой природы, когда "минус 40 байтов" не помогло.
для пппое на клиентском железе (пппое-клиент) надо делать ещё -8 
для всяких там pptp/l2tp, гори они в аду, надо ещё минус несколько десятков 

pmtu вам в помощь короче говоря 
к примеру на Juniper SRX работает отлично просто, а Cisco ISR - шлак 


>  
> 
> это только с вендрой? со всеми версиями?
>  
> да. да.
>  
> P.S. на маршрутизаторе можно DF бит снять
>  
> ммм, а смысл ?
будет больше мест, где оно пролезет, ну хотя бы по частям 

>  
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20120823/2ff17727/attachment-0001.html>


Подробная информация о списке рассылки nginx-ru