что то мы заоффтопились ...
On 23.08.2012, at 11:31, Илья Шипицин <chipitsine@gmail.com> wrote:
>
>
> 23 августа 2012 г., 13:24 пользователь Alexey V. Karagodov <kav@karagodov.name> написал:
> > и еще один момент вылетел из головы.
> > на системах Windows исходящие https соединения идут с включенным битом DF, соответственно вы в полный рост увидите (мы у себя видим) криво настроенные MTU и заблокированные "icmp dest unreach frag required" в транзите.
> >
> > как бороться с этим мы не придумали и тупо понизили на своей стороне MSS. уменьшение на 40 байтов должно хватить для закрытия типичных проблем с кривыми MTU в транзите.
> mtu=1500
> mss=mtu-40
>
> всегда везде работало
>
> на сотнях тысячах пользователей попадаются несколько десятков с криво настроенным mtu (в основном на pppoe тунелях, почему-то), там достаточно отнять еще раз по 40 байт.
>
> mtu = 1460
> mss = mtu-40
>
> и это закроет проблемных pppoe-клиентов.
> кроме этого пару раз видели проблемы с mtu другой природы, когда "минус 40 байтов" не помогло.
для пппое на клиентском железе (пппое-клиент) надо делать ещё -8
для всяких там pptp/l2tp, гори они в аду, надо ещё минус несколько десятков
pmtu вам в помощь короче говоря
к примеру на Juniper SRX работает отлично просто, а Cisco ISR - шлак
>
>
> это только с вендрой? со всеми версиями?
>
> да. да.
>
> P.S. на маршрутизаторе можно DF бит снять
>
> ммм, а смысл ?
будет больше мест, где оно пролезет, ну хотя бы по частям
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru