Probleme mit MTU(?) im Netz

FabianCernota · 25. Oktober 2016 um 19:27

Hallo zusammen,

wir haben hier im Westerwald ein sehr komisches Problem.
Wir können manche Seiten nicht aufrufen z.B. forum.freifunk.net, wieistmeineip.de, github .
Die MTU auf dem client ist 1500 was schon sehr komisch ist weil per option interface-mtu 1312 eigentlich ja eine announced wird. Wenn man die MTU auf dem client einfach mal auf 1312 dreht klappt z.B. github und wieistmeineip.de aber das forum immer noch nicht.

Hat irgendwer von euch vielleicht eine Idee woran das liegt und wie man es beheben könnte?

Gruß
Fabian

Handle · 25. Oktober 2016 um 19:32

Wenn ich das beim Mitlesen in #gluon richtig verstanden habe, dann halten sich einige Clients nicht an die MTU, die announced wird. Nutzt ihr L2TP oder fastd?

FabianCernota · 25. Oktober 2016 um 19:36

fastd 20202020202020

ohrensessel · 26. Oktober 2016 um 14:11

Zumindest für IPv4 solltet ihr auf den Gateways MSS-Clamping machen. Dazu gibt es meiner Meinung nach auch schon eine Menge hier im Forum.

FabianCernota · 26. Oktober 2016 um 20:09

Im Moment sieht unsere Iptables Config so aus:

Supernode:

# Generated by iptables-save v1.4.21 on Tue Oct 25 21:20:09 2016
*nat
:PREROUTING ACCEPT [692:59037]
:INPUT ACCEPT [410:30935]
:OUTPUT ACCEPT [210:16633]
:POSTROUTING ACCEPT [5:520]
:ff-nat - [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 172.16.1.200
COMMIT
# Completed on Tue Oct 25 21:20:09 2016
# Generated by iptables-save v1.4.21 on Tue Oct 25 21:20:09 2016
*filter
:INPUT ACCEPT [117785:21721581]
:FORWARD ACCEPT [113198:111566160]
:OUTPUT ACCEPT [446942:169577252]
-A FORWARD -i netBR -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -o netBR -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Oct 25 21:20:09 2016

BGP Konzentrator:

# Generated by iptables-save v1.4.21 on Tue Oct 25 21:21:00 2016
*nat
:PREROUTING ACCEPT [1850396:146449069]
:INPUT ACCEPT [38882:2437840]
:OUTPUT ACCEPT [2506:664285]
:POSTROUTING ACCEPT [4863:867407]
-A POSTROUTING -o bb-a-ak-ber -j SNAT --to-source 185.66.195.85
-A POSTROUTING -o bb-b-ak-ber -j SNAT --to-source 185.66.195.85
-A POSTROUTING -o bb-a-ix-dus -j SNAT --to-source 185.66.195.85
-A POSTROUTING -o bb-b-ix-dus -j SNAT --to-source 185.66.195.85
COMMIT
# Completed on Tue Oct 25 21:21:00 2016
# Generated by iptables-save v1.4.21 on Tue Oct 25 21:21:00 2016
*filter
:INPUT ACCEPT [65325525:65464335828]
:FORWARD ACCEPT [79582296:69975628311]
:OUTPUT ACCEPT [34865941:7390106294]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
-A FORWARD -i eth1 -o bb-a-ak-ber -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -o bb-b-ak-ber -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -o bb-a-ix-dus -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -o bb-b-ix-dus -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Oct 25 21:21:00 2016

Ist das so richtig?

Problem ist halt immer noch das die richtige MTU die verteilt wird nicht vom client angenommen wird.

Gruß
Fabian

oldman · 27. Oktober 2016 um 15:10

MSS-Clamping aendert nicht die MTU am Client, sondern wie in dem Video hier erklaert, modifiziert der Router/Gateway das vom Client gesendete Sync Packet, indem der maximal-segment-size (= MSS) Wert veraendert wird, so das er einen Wert < 1500 Byte betraegt. Der/die Webserver werten diesen Parameter aus und senden Ihre Antworten/Daten so verpackt, das die Datenpakete kleiner als die MSS sind.
Der Client behaelt immer seine konfigurierte MTU von 1500 Byte fuer LAN, da es sonst zu Verbindungsproblemen im lokalen LAN kommen kann.
Das Problem mit MSS Clamping ist, das es durchaus vorkommt, das im Internet eine Verbindung eine noch kleinere MTU hat, als der oben genannte Router per MSS-clamping angibt. Das kommt z.B. vor, wenn der Datenverkehr durch einen ‚Tunnel im Tunnel‘ laeuft.
In dieser Situation kann auch MSS-clamping beschraenkt helfen.
Leider ist in deinen IP-Tables Konfigurationen teilweise der rechte Teil abgeschnitten, aber ich vermute das dort oder an einer zentraleren Stelle der MSS-Wert fuer das Clamping konfiguriert werden kann.
Ich wuerde versuchen, den Clamping-Wert Schrittweise zu vermindern, bis es funktioniert.

FabianCernota · 27. Oktober 2016 um 21:23

Es scheint zu funktionieren seit dem Clamping sind die Probleme weg.