我正在使用IPSEC并为客户端执行NAT的Ubuntu 14.04LTS上设置VPN。 它基本上是工作 – 我可以从一个clinet(Android设备)连接到它并浏览(例如)www.google.com。
但是我不能浏览www.bbc.co.uk. 当我尝试时,我的VPN服务器收到来自www.bbc.co.uk的响应,并设置了不分片位,并丢弃它。 Wireshark显示了许多这些:
119 7.904053000 212.58.246.95 MY.IP.MY.IP TCP 1414 [TCP segment of a reassembled PDU] 120 7.904094000 MY.IP.MY.IP 212.58.246.95 ICMP 590 Destination unreachable (Fragmentation needed) 通过从VPN服务器ping我的客户端,我已经确定它的MTU约为1380.VPN服务器的MTU是1500。
这应该如何工作? MTU可能会有所不同,所以如果BBC如果设置不成片段,请问这是怎么处理的?
我会假设,如果不设置fragment,所有的东西都应该在最小的普通MTU上达成一致。 我能弄清楚谁是行为不端?
问题原来是防火墙(不是Ubuntu ufw,而是我们的IT部门提供的服务器之外的防火墙),不允许ICMP数据包出去。
一旦启用,MTUpath发现(或任何正在进行的)开始工作,一切都很好。