ER8300G2-X路由器 IPSec VPN TCP包大于MTU时的丢包问题
- 1关注
- 4收藏,3038浏览
问题描述:
IPSec VPN正常已连接的情况下,通过VPN线路访问一个正常VPN内网网站时(数据量大且网络请求线程多),95%的概率会触发TCP丢包的问题,此次网站访问无法正常完成
并且出现问题后的现象为:
当接受的TCP包大于1378字节时(经过IP包封装后为1444字节,再经过ipsec ikev1封装估计就达到mtu值),包会被路由器丢弃掉
此时:
ICMP任意大小数据包正常发送和接受,
UDP任意大小数据包正常发送和接受,
TCP任意大小数据包正常发送,
TCP数据包小于等于1378字节时正常接受,大于1378字节时包会被路由器丢弃,导致本地接收端连接已建立但无法接收数据包,远程发送端卡住
----------------------------------------
ICMP测试由通过ping -s命令和wireshark工具验证
TCP、UDP测试由nc -l 和 nc -n命令 + wireshark工具验证
----------------------------------------
局域网内通过其他IPSec客户端使用同配置验证无此问题,可以排除是VPN服务端和运营商问题
----------------------------------------
重启路由器和VPN后,单线程发送或接受TCP大数据包正常,但是一旦使用浏览器通过VPN线路访问内网网站会触发此问题
组网及组网描述:
设备:ER8300G2-X
版本:ERHMG2-MNW100-R1117
- 2019-07-25提问
- 举报
-
(0)
最佳答案
可以把路由器的MTU值调小点就好乐
- 2019-07-25回答
- 评论(4)
- 举报
-
(0)
谢谢大佬回复,刚刚分别使用默认MTU值1492、1000、546测试,效果一样,而且被丢包的TCP包大小也会随着设置的MTU值变化
这么异常
改成1300试试,两边都改一下。要是对端设备能修改tcp mss的话该tcpmss
可以尝试修改路由器接口mtu测试
- 2019-07-25回答
- 评论(1)
- 举报
-
(0)
谢谢大佬回复,刚刚分别使用默认MTU值1492、1000、546测试,效果一样,而且被丢包的TCP包大小也会随着设置的MTU值变化
谢谢大佬回复,刚刚分别使用默认MTU值1492、1000、546测试,效果一样,而且被丢包的TCP包大小也会随着设置的MTU值变化
根据zhil444iao的方案,查了下相关资料,最终顺利解决了,再次感谢
***.***/projects/strongswan/wiki/ForwardingAndSplitTunneling
- 2019-07-25回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
谢谢,真心感谢,根据您的方案终于解决了