Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze | |||
| it:server:openvpn [2025/05/13 21:47] – [OpenVPN] Petr Nosek | it:server:openvpn [2025/05/13 21:59] (aktuální) – Petr Nosek | ||
|---|---|---|---|
| Řádek 96: | Řádek 96: | ||
| Výstup tohoto příkazu zobrazil aktuálně používané DNS servery, což umožňuje ověřit, zda se změna správně projevila. | Výstup tohoto příkazu zobrazil aktuálně používané DNS servery, což umožňuje ověřit, zda se změna správně projevila. | ||
| + | |||
| + | ===== Problémy s SSH ===== | ||
| + | |||
| + | Měl jsem problém, že ze serveru se mi nedařilo navázat spojení přes SSH u klientského počítače, | ||
| + | |||
| + | OpenVPN ve výchozím nastavení nebrání fragmentaci velkých TCP segmentů uvnitř tun-virt-rozhraní. Vaše MTU (1500 B na tun0) minus kryptografický overhead protokolu UDP/OpenVPN a minus IP/UDP hlavičky vychází někde kolem 1 400 B. Server ale posílá kusy až 1 388 B – to sice vypadá v pořádku, ale když se součet uvnitř šifrovaného UDP tunelu překlene do fragmentů (nebo někde v síti fragmenty zahazují), klient je už nikdy neslepí a TCP je neposkytne uživatelské aplikaci. | ||
| + | |||
| + | Vyřešil jsem to tak, že na konfiguračního souboru serveru jsem přidal: | ||
| + | |||
| + | < | ||
| + | mssfix 1200 | ||
| + | tun-mtu 1400 | ||
| + | </ | ||
| + | |||
| + | * mssfix 1200 přinutí OpenVPN, aby upravilo MSS v TCP handshake na 1200 B, takže SSHKEX paket nikdy nepřesáhne bezpečnou velikost. | ||
| + | * tun-mtu 1400 pak nastavení tun-rozhraní na 1 400 B, aby zbyl dostatek místa i na OpenVPN hlavičky. | ||
| + | |||
| + | Bylo mi doporučeno to přidat i do konfiguračního souboru klienta, ale tam jsem to nepřidával a zatím to vypadá, že SSH už funguje. | ||
Petr Nosek