Hallo Kristian, Kristian Koehntopp schrieb:
On Thu, Jul 03, 2003 at 08:10:18AM +0200, Stefan Eggert wrote:
Nun meine Frage(n). Kann das an den MTUs hängen?
Ja, wahrscheinlich.
Wenn die Symptome sind
- kleine Pakete (kleiner als die MTU) kommen durch (ping, Login, ssh) - grosse Pakete (groesser als die MTU) kommen nicht durch (ping -s 2000, ftp, scp)
ping -s 2000 geht aber, ohne Probleme.
dann passiert folgendes:
- der eine Rechner will Path MTU Discovery machen und sendet seine Pakete mit gesetztem DF-Bit im IP Header - die Pakete sind groesser als die MTU der Strecke - der Host vor dem schmalen Teil der Strecke sieht das DF, muß fragmentieren, kann aber nicht - generiert daher ein ICMP 3:4 (must fragment, but DF is set) - das ICMP 3:4 wird zurück gesendet - und von einer defekt konfigurierten Firewall geblockt
Die korrekte Lösung: Firewall so konfigurieren, daß sie alle 3:x, mindestens jedoch 3:4 durchläßt (Bei der Gelegenheit kannst Du Dir auch überlegen, wie Du mit ICMP 0 und ICMP 8 umgehen willst).
Innerhalb der VPN Strecken darf direkt geroutet werden, ohne beschränkung.
Die Hilfslösung (discouraged): Clamp MSS an dem ausgehenden Gateway konfigurieren.
Hatte ich bereits mit $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Das Problem entsteht, weil ein Haufen ahnunglose Hilfsdeppen meinen, mit ihrer Firewall den SuperMegaStealthMode konfigurieren zu müssen und dabei alle IMCP 3:x wegwerfen, und zwar am besten mit drop (statt korrekt mit ICMP 3:10 zu antworten). Weil: wenn man mehr blockt, ist man ja sicherer.
ICMPs sollten auch verworfen werden, alles was nicht die VPN Strecke passiert. Ich sende Dir mal per PM mein FW Script, vielleicht habe ich ja etwas übersehen?? Stefan