Problém s tuhnutím SSH pr(i nespolehlivé lince
Vladimir Dvorak
dvorakv na vdsoft.org
Středa Srpen 22 16:47:42 CEST 2007
Pavel Lisý napsal(a):
> Tomas Kouba píše v St 22. 08. 2007 v 13:21 +0200:
>
>> Pavel Lisý wrote:
>>
>>> Vladimir Dvorak píše v St 22. 08. 2007 v 11:49 +0200:
>>>
>>>> ... ono to "spadnuti" SSH relace zpusobi nejdriv samotny SSH protokol
>>>> (protoze tam mas urcite zapnut KeepAlive) a potom (connection closed)
>>>> samotne TCP.
>>>>
>>>> Osobne bych sel do zvyseni ClientAliveCountMax (etc/ssh/sshd_config).
>>>> Vice viz 'man 5 sshd_config'.
>>>>
>>> To jsem již zkoušel, v sshd_config mám toto:
>>>
>>> ClientAliveInterval 10
>>> ClientAliveCountMax 12
>>>
>>> ale tuhne to stejně jako před tím.
>>>
>>> Myslel jsem, že by to mělo vydržet alespoň 2 minuty výpadku, ale tuhne
>>> to okamžitě po těch pingách s řádově delší odezvou. Možná to schodí něco
>>> jiného po cestě?
>>>
>> A to mate linux vs. linux? Ja jsem mel podobny problem pri spojeni win (putty) -> linux.
>> Ve FAQ k putty je pak popsane nastaveni windows, aby to nedelaly.
>>
>
> Mám to linux vs. linux, ale po cestě je nejprve cisco a pak winroute.
> Zatím to vypadá, že tomu nesvědčí kombinace cisco+winroute
>
> Propojení je trochu složitější, možná ho raději popíši:
>
> Tato konfigurace výpadek nerozchodí a vytuhne (stačí 1-2s s horší
> latencí):
> ----
> linux-ssh-A -> linux-fw (se propojí přes vpnc/ipsec a udělá tunel na
> cisco) -> cisco -> winroute -> linux-ssh-C
>
>
>
V teto konfiguraci, oproti te "fungujici", mate navic linuxovy-fw s
nejakou implementaci IPsecu - proto bych rekl, ze bych hledal uzke misto
zde, resp. snad ani ne v tunelu, ale v konfiguraci daneho firewallu.
Dost mozna se bude jednat o nejake vytimeoutovani; mrknete do
promennych, ktere se modifikuji ve Vasem firewallovacim skriptu (sysctl)
- nekdy muze zlobit ECN, mrknete do pravidel u iptables (zda tam neni
nejaka conntract,limit featura a podobne).
Jinak... tcpdump is your friend.
--
Vladimir Dvorak
UNIX/Linux
* VDSOFT.ORG email: dvorakv na vdsoft.org *
* tel: (+420) 602 944 941 web: http://www.vdsoft.org *
Další informace o konferenci Linux