Tak, z IPSec, teraz już wiem na 100%, że problemy z łączem występują tylko wtedy, gdy ruch między laptopem a AP jest szyfrowany przy pomocy IPSec (efekt uboczny - douczyłem się nieco konfiguracji ipsec pod OpenBSD). Ale trudno stwierdzić gdzie właściwie problem leży...
Problemów z IPSec część dalsza
Aby problem pojawił się, wystąpić muszą następujące warunki:
- musi być wykorzystywany IPSec
- nawiązane musi być połączenie TCP
- aktywny musi być pf (ze scrub, w szczególności z opcją max-mss)
- połączenie TCP musi się "rozpędzić"
Gdy te warunki zaistnieją, połączenie zamiera, pakiety są odbierane (widziane) po stronie OpenBSD, ale żaden pakiet nie jest transmitowany. Pomaga dopiero "restart" karty sieciowej.
Mógłbym co prawda wyłączyć pf, ale rozwiązanie jest umiarkowane, bo wówczas "przymierają" maksymalne wielkości pakietu. Empirycznie, narzędziem mturoute sprawdziłem, że MTU dla połączenia w kanale IPSec wynosi 1443 bajty, czyli na dobrą sprawę MSS, który powinien być ustawiony to bezpieczne 1400 bajtów. A aby ustawić taki MSS potrzebuję pf ze scrub. No i koło się zamyka... Z drugiej strony dlaczego są takie problemy z MTU? Przecież właściwie obecnie wykrywanie MTU na ścieżce jest prawie "na standardzie". Muszę sprawdzić, czy firewalle nie blokują nieco za dużo ruchu ICMP. A na razie spokojnie czekam i za jakiś czas ściągnę kolejną wersję źródeł OpenBSD...
