Problém s tuhnutím SSH pr(i nespolehlivé lince

Vladimir Dvorak dvorakv na vdsoft.org
Středa Srpen 22 16:47:42 CEST 2007 

Pavel Lisý napsal(a):
> Tomas Kouba píše v St 22. 08. 2007 v 13:21 +0200:
>   
>> Pavel Lisý wrote:
>>     
>>> Vladimir Dvorak píše v St 22. 08. 2007 v 11:49 +0200:
>>>       
>>>> ... ono to "spadnuti" SSH relace zpusobi nejdriv samotny SSH protokol 
>>>> (protoze tam mas urcite zapnut KeepAlive) a potom (connection closed) 
>>>> samotne TCP.
>>>>
>>>> Osobne bych sel do zvyseni ClientAliveCountMax (etc/ssh/sshd_config). 
>>>> Vice viz 'man 5 sshd_config'.
>>>>         
>>> To jsem již zkoušel, v sshd_config mám toto:
>>>
>>> ClientAliveInterval 10
>>> ClientAliveCountMax 12
>>>
>>> ale tuhne to stejně jako před tím. 
>>>
>>> Myslel jsem, že by to mělo vydržet alespoň 2 minuty výpadku, ale tuhne
>>> to okamžitě po těch pingách s řádově delší odezvou. Možná to schodí něco
>>> jiného po cestě?
>>>       
>> A to mate linux vs. linux? Ja jsem mel podobny problem pri spojeni win (putty) -> linux.
>> Ve FAQ k putty je pak popsane nastaveni windows, aby to nedelaly.
>>     
>
> Mám to linux vs. linux, ale po cestě je nejprve cisco a pak winroute.
> Zatím to vypadá, že tomu nesvědčí kombinace cisco+winroute 
>
> Propojení je trochu složitější, možná ho raději popíši:
>
> Tato konfigurace výpadek nerozchodí a vytuhne (stačí 1-2s s horší
> latencí):
> ----
> linux-ssh-A -> linux-fw (se propojí přes vpnc/ipsec a udělá tunel na
> cisco) -> cisco -> winroute -> linux-ssh-C
>
>
>   
V teto konfiguraci, oproti te "fungujici", mate navic linuxovy-fw s 
nejakou implementaci IPsecu - proto bych rekl, ze bych hledal uzke misto 
zde, resp. snad ani ne v tunelu, ale v konfiguraci daneho firewallu. 
Dost mozna se bude jednat o nejake vytimeoutovani; mrknete do 
promennych, ktere se modifikuji ve Vasem firewallovacim skriptu (sysctl) 
- nekdy muze zlobit ECN, mrknete do pravidel u iptables (zda tam neni 
nejaka conntract,limit featura a podobne).

Jinak... tcpdump is your friend.

-- 
 Vladimir Dvorak
 UNIX/Linux 

 * VDSOFT.ORG                 email: dvorakv na vdsoft.org    *
 * tel: (+420) 602 944 941    web:   http://www.vdsoft.org *

Další informace o konferenci Linux