Hallo, Steffen Dettmer schrieb:
* Sven Niese wrote on Fri, Mar 03, 2006 at 19:07 +0100: Wie kommst Du dann eigentlich auf ausgerechnet 1300 Byte? Ist das ein "empirischer" Wert? "Header" / Overhead bei IPSec sollte 8 Byte sein, so dass man zu 1492 Bytes für Ethernet kommt (was ja "eigentlich" 1500 mag).
Probiert und ging. Da ich das VPN nur ab und zu zur Fernwartung anwerfe, habe ich das nicht weiter verfolgt. Ich glaube, dass ich die Zahl in irgendeiner Mailinglisten-Mail gefunden hatte, welche mir Google präsentiert hat.
Im Data-Layer sollten sie ja dementsprechend aufgeteilt werden, aber sonst!? Dass es Probleme gibt, wenn einzelne Rechner ...
Versteh ich eigentlich eher nicht... Wenn die MTU knapp kleiner ist, als die MTU vom Sender, ist das ineffizient, weil der Router / Gateway / was auch immer neu fragmentieren muss. Dann hat man z.B. ein 1492 und ein 8 Byte Paket (jeweils plus Ethernetoverhead natürlich). Kann man vermeiden, wenn man die MTU entsprechend reduziert. Aber warum es dann gar nicht gehen soll, ist mir eigentlich ein Rästsel. Ich habe jedenfalls definitiv schon SSH über
Mir auch :) Mein Erlärungsversuch ist aber zunächst mal schlüssig und passt auf beide Probleme - falls es jetzt bei Oliver funktioniert!?
VPN mit MTU 1500 machen können, ist also kein grundsätzliches Problem.
Bei mir klappten die Anmeldung und ein echo "Hallo" aber VNC oder ls gingen definitiv & reproduzierbar nicht. Ehrlich gesagt weiß ich nicht genau warum es nicht ging, es war mir aber, als es dann funktionierte, auch egal.
tcpdump und strace zeigen nichts? Mit "netcat" und "ping -s" kann man gute Tests machen (Achtung, ICMP/PING wird nicht unbedingt re-fragmentiert). Da kann man im Prinzip beliebig grosse oder kleine Testdaten nehmen.
Danke für den Tipp, wenn es wieder auftritt, kann ich mich ja mal damit auseinandersetzen. Ciao, Sven