[FUGSPBR] Problema na Rede Tunnel MTU

[Paulo Angelo]

Pessoal,

	Temos um problema interessante que, sem dúvidas, é um papo para
quem entende mesmo, por isso que eu mandei para essa lista.

	Tenho um túnnel (ipip) entre dois roteadores linux, em uma dessas
pontas do túnel eu tenho a internet para a rede que está do outro lado:


  rede--<ROTEADOR1>----------tunnel-ipip-----<ROTEADOR2>--->INTERNET


	A rede tem que ter acesso a internet passando por
ROTEADOR1->ROTEADOR2, para isso os pacotes passam por dentro do tunnel
ipip.

	O problema é: Quando os pacotes passam por dentro do tunnel, o MTU
tem que ser 1480 bytes, para garantir isso o roteador2 envia pacotes icmp
do tipo:

11:43:00.940138 <IPROUTER2> > 200.252.226.139: icmp: <IPROUTER2>
unreachable - need to frag (mtu 1480) [tos 0xc0]

Para os sites, só que, alguns firewalls nazistas bloqueiam todos os ICMPs
o que impede desse pacote chegar ao servidor de destino.

Alguém tem alguma soluçao?

Pensei em diminuir, manualmente, o tcpmss dos pacotes SYN, com a regra:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
           -j TCPMSS --set-mss 1460

no ROTEADOR1, com o dump eu continuo tendo o problema:

11:42:57.743528 200.252.226.139.80 > 172.16.30.6.1491: . 3148:4608(1460)
ack 329 win 8432 (DF)
11:42:57.743548 <IPROUTER2> > 200.252.226.139: icmp: <IPROUTER2>
unreachable - need to frag (mtu 1480) [tos 0xc0]


O que eu devo fazer?


Será que é viável tirar o bit "DF" dos pacotes e então fragmenta-los para
passar pelo túnel?

Ou setar o MTU do tunel para 1500 e depois, o que não funciona, talves
porque o tunel não fragmenta os pacotes para que eles passam pela
interface ethernet..

Alguém tem algum palpite? Algo que possa ajudar?


________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr