* Sven Niese wrote on Fri, Mar 03, 2006 at 19:07 +0100:
Sozusagen sollen die VPN-Pakete max. 1300 groß sein, so dass die Dinger durch die DSL-Leitung passen, immerhin kommt da ja noch mal einiges an Header hinzu und ich weiß nicht an welchem Layer die VPN-Pakete ansetzen.
Wie kommst Du dann eigentlich auf ausgerechnet 1300 Byte? Ist das ein "empirischer" Wert? "Header" / Overhead bei IPSec sollte 8 Byte sein, so dass man zu 1492 Bytes für Ethernet kommt (was ja "eigentlich" 1500 mag).
Im Data-Layer sollten sie ja dementsprechend aufgeteilt werden, aber sonst!? Dass es Probleme gibt, wenn einzelne Rechner in einem Netzwerk (in dem Fall die Clients) eine geringere MTU haben als andere (--> Server) ist zumindest vorstellbar. Und dass es irgendwas mit den MTU-Einstellungen zu tun hat, hat sich meiner Meinung nach gezeigt.
Versteh ich eigentlich eher nicht... Wenn die MTU knapp kleiner ist, als die MTU vom Sender, ist das ineffizient, weil der Router / Gateway / was auch immer neu fragmentieren muss. Dann hat man z.B. ein 1492 und ein 8 Byte Paket (jeweils plus Ethernetoverhead natürlich). Kann man vermeiden, wenn man die MTU entsprechend reduziert. Aber warum es dann gar nicht gehen soll, ist mir eigentlich ein Rästsel. Ich habe jedenfalls definitiv schon SSH über VPN mit MTU 1500 machen können, ist also kein grundsätzliches Problem. Sowas mit hängenden SSHs hatte ich auch irgendwie mal... mmm... Aber da ging FTP. War am Ende eine "kaputte" Netzwerkkarte! Also PING und alles ging, ping -f hatte plötzlich schlechte Raten, SSH hing gern mal. Muss aber was anderes sein.
Noch mal schematisch (Zahlen in Klammern: MTU des jeweiligen Interfaces):
Netzwerk 1 (1500) <--> (1500) SOHO 1 (1300) <- VPN* -> (1300) SOHO 2 (1500) <--> (1500) Netzwerk 2
* VPN Pakete werden über das normale Netzwerk/Internet weitergeleitet, dort ist die MTU minimal 1492 (dsl0).
Die Maximum TU ist minimal 1492 :) tcpdump und strace zeigen nichts? Mit "netcat" und "ping -s" kann man gute Tests machen (Achtung, ICMP/PING wird nicht unbedingt re-fragmentiert). Da kann man im Prinzip beliebig grosse oder kleine Testdaten nehmen. Jedenfalls ein komisches, aber bekannt klingendes Problem. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel.