En general, y en particular en una máquina Solaris 10…
Mira, estamos teniendo un problema en nuestra red. Manejo algunas instancias de proxy inverso en un servidor Solaris 10 que está detrás de un equilibrador de carga, y algunos usuarios acceden a esto a través de un firewall NAT y... en cualquier caso, en algún momento hace 2 días, todo falló y no funciona. .
Después de horas de capturar paquetes y analizar cosas, lo que vemos es que cuando uno de los clientes internos intenta acceder a un sitio, en algún momento (en particular, cuando enviamos el mensaje Server Hello SSL, por ejemplo), el LB devuelve aparece un mensaje de Fragmentación ICMP necesaria que dice que la MTU es de 508 bytes y que los paquetes están configurados con el bit No fragmentar, como es el valor predeterminado en Solaris...
Ok, todo bien. Pero entonces... todo lo que sucede es que, como no se ha recibido ningún ACK (porque el cliente nunca ha recibido los paquetes), la máquina Solaris envía los paquetes nuevamente... mismo tamaño, mismo bit DF.
Entonces, por supuesto, esto termina sin que sea posible la comunicación.
¿No debería el sistema operativo Solaris, al recibir este mensaje ICPM, desactivar el bit DF para esos paquetes o ajustar el MSS de conexión para que sea < la MTU que nos indica el mensaje? ¿Es esto algo que se puede configurar en algún lugar como habilitado/deshabilitado? ¿O es esto lo que se supone que debe suceder?
No estoy seguro exactamente de cómo va el descubrimiento de Path MTU en Solaris 10, pero si no tiene en cuenta este mensaje, ¿cómo ajusta el MSS?
Gracias de antemano por cualquier sugerencia, ayuda o simplemente idea sobre dónde buscar :)