작성 : 오명오 ( SLRCLUB.com )
대상 : 기업 내 VPN 구성, 라우터 및 공유기 커스텀 구성을 이용하는 고급사용자
문제점 : www.slrclub.com 및 www.naver.com 등에 대한 접속이 원활치 않는 경우
해결법 : SLRCLUB 및 Naver는 icmp 를 차단하고 있습니다. (naver는 type3에 대하여서도 차단)
또한 SLRCLUB 은 특정 ICMP 에 대하여서는 OPEN 하고 있으나, 구버전의 코어모듈,드라이버모듈 등을 탑재한 장비 또는 리눅스의 경우 icmp 역탐을 할수없어 PMTU 를 구분하지 못해 연결자체가 차단되는 경우가 있습니다.
통상 이러한 호스트를 블랙홀 라우터/호스트 라고 칭하는 경우가 있습니다.
1) 기본적으로 VPN 의 각 point 별 MTU 의 오차로 인해 문제가 발생하는 경우가 있으므로 제조사 혹은 개발사에 문의해보시기 바랍니다. 그러나 이 문서는 조금 더 깊은 내용을 다루고 있습니다.
소프트웨어 VPN은 통상적으로 VPN 은 1400~1500 사이의 MTU를 사용하며, 프로그램별로 상이합니다.
이 값의 제공은 절대적이며 오차가 발생할 경우 연결자체가 매우 불안정하여 모든 사이트가 열리지 않습니다.
통상 1400 이며, 1450 인 VPN 도 있습니다.
서버가 1400 을 사용할 경우 클라이언트도 1400 을 사용하는것이 정석이며, 정상적인 소프트웨어입니다.
그러나 overhead 의 검출기능이 구현되지 않은 구형 VPN 의 경우 vpn 헤더값을 이만큼 삭제해주어야 합니다.
따라서 이경우 소스가 있는것이 좋습니다. 정확히 몇바이트가 vpn 간의 통신 오버헤드가 나는것인지를 알아야 합니다.
ping -f -l 1400 등의 명령어로 도스나 리눅스에서 체크해볼 수 있습니다.
가급적 최하단 클라이언트를 통한 체크를 권장합니다.
통상적으로 VPN 은 약 60바이트를 사용합니다.
따라서 클라이언트 피어측의 mtu 값을 1390 등으로 조정합니다. 그러나 모든 프로그램마다 통신방식이나 별도 플래그가 있으므로 이부분은 소스코드를 참고하여 역산하셔야 합니다.
이 부분은 매우 고난위도 작업에 해당합니다. 단 1바이트라도 틀릴 경우 "특정 패킷" 이 지속적으로 드랍이 되는 현상이 발생하여 파일전송이 원활치 않을 수 있으며 이 오버헤드의 검출작업은 매우 힘듭니다.
이를 잘못설정한 경우 SLRCLUB의 일부 사진이 원활히 보이지 않을 수 있습니다. SLRCLUB 의 컨텐츠 전송서버는 mtu를 상향치까지 전송하도록 제작되어있습니다.
오버헤드 검출 프로그램의 구성
0x0000- 0xffff 까지의 데이터를 지정된 mtu 값만큼 전송하는 소프트웨어를 제작 내지는 소스포지등에서 다운로드 받습니다.
이 프로그램이 구동중 tcpdump 를 통해 모든 패킷이 정상적으로 지속 전송되는지를 확인하며 제 1의 과정을 반복합니다.
2) 리눅스의 경우 pmtu 를 강제화 시킬 수 있습니다.
명령어 # iptables -t mangle -A POSTROUTING -o tun0 -p tcp --dport 80 --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
mangle 테이블을 사용하여야 하며, output 은 터널링 디바이스입니다. tun0 내지는 tap0 이 됩니다.
tcp 프로토콜에 대해 dport 80인 (웹접속의 경우) 또한 SYN RST 상태의 tcp 커넥션에 대해 mss 를 설정합니다.
pmtu 를 클램핑하므로 1번의 방법보다 편리하게 사용할 수 있습니다.
이 방법은 한시적이며, 임시적이며, 동작을 보장할 수 없는 방법입니다.
위 방법은 RTPS 를 (실시간 패킷조작 터널링) 사용하는 네트워크에서 정상적으로 동작하지 않습니다.
RTPS 를 사용하는 네트워크는 전체 웹사이트 이용에 있어 치명적인 접근제한을 받을 수 있습니다.
기업측의 문의가 잦아 이 문서를 공개합니다.
본건과 관련하여는 운영참여,E-Mail 문의등은 받지 않습니다.
트랙백없는 무단 퍼가기는 금지합니다. ..
(0) 
(0)Posted by LeCieL