Max. MTU bei PPTP

Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).
Forumsregeln
Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).

Diskussionen über Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER geführt.

Beitragvon lordpeng » Mo 03 Jul, 2006 08:06

lieber hard(i|y|liner)

dass was du bez. linux und freeze geschrieben hast, ist a bissl a blödsinn, wenn sich unter linux ein prozess nicht mehr killen lässt, dann liegt gröber was im argen, vielleicht mal chkrootkit drüber laufen lassen ...

ich weiss nicht wieviele linux adsl gateways ich schon in betrieb genommen hab (keine fertige router distribution sondern selber zusammengestellt) aber derartige probleme konnte ich eigentlich nie beobachten ...

ich bin mir zwar sicher, dass du auf diesen beitrag sicher auch irgendwas gscheites antworten wirst bzw. willst, aber ich behaupte mal, dass ich derjenige mit der grösseren linux erfahrung von uns beiden bin ...

und bevor du fragst: nein ich bin kein langhaariger birkenstockschlapfenträger ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon Air20 » Mo 03 Jul, 2006 08:25

lordpeng hat geschrieben:und bevor du fragst: nein ich bin kein langhaariger birkenstockschlapfenträger ...

ach nein :-? und ich dachte das immer... SCNR
connected by
xDSL Business silber @16384/1024 flat
inode Etherlink flat @
Bild
und aon Gigaspeed 16 @12352/1024 :rofl:
http://www.youtube.com/watch?v=PtXtIivRRKQ
Air20
Board-User Level 3
Board-User Level 3
 
Beiträge: 1360
Registriert: Fr 16 Apr, 2004 18:32
Wohnort: 2540 Bad Vöslau

Beitragvon superracer » Mo 03 Jul, 2006 08:28

lordpeng hat geschrieben:dass was du bez. linux und freeze geschrieben hast, ist a bissl a blödsinn, wenn sich unter linux ein prozess nicht mehr killen lässt, dann liegt gröber was im argen, vielleicht mal chkrootkit drüber laufen lassen ...

ich glaub eher, der gute hat einfach null plan davon, was es eigentlich heißt, einen prozess zu killen...
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon lordpeng » Mo 03 Jul, 2006 08:31

@Air20
>ach nein und ich dachte das immer... SCNR
nur in hardy's wildesten träumen :-)

@superracer
>ich glaub eher, der gute hat einfach null plan davon, was es eigentlich heißt, einen prozess zu killen...
ich lass das mal so im raum stehen ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon medice » Mo 03 Jul, 2006 10:10

hardliner hat geschrieben:Der "Task" wo PPTP läuft, ließ sich nich mehr killen!


kill -9 <pid>
(vorbehaltlich, dass du als User drin bist, der die Rechte dazu hat, was z.B. root in der Regel haben sollte)
Grüße von nem Linux-Anfänger
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon cremor » Mo 03 Jul, 2006 16:54

hardliner hat geschrieben:Hab einen dedizierten NAT-Firewall-Rechner (WinXP) der die "Einwahl" via PPTP tätigt.!
Funzt zuverlässiger als jeder externe Router. Hab damit auch keine Probs mit den Sessionlimits!
Ohne MTU 1400 funktioniert der UpLoad nicht! :cry: Auch bei den Clients! :-?
H.

Hast du schonmal versucht die MTU der NICs nur bei den Clients auf 1400 zu setzten, am NAT-Rechner aber auf 1500 zu lassen?
Damit sollte das Problem eigentlich gelöst werden.
1.) Der NAT-Rechner braucht die Pakete der Clients nicht fragmentieren, da sie schon klein genug kommen.
2.) Der NAT-Rechner braucht die Pakete (sowohl die der Clients als auch die von ihm) nicht fragmentieren, weil sie auch mit einer Größe von 1440 Byte noch hinauskönnen.

Das wäre dann genau die Lösung, die man auch bei einem Router hat. Also die Ethernet-NICs aller Clients auf die gleiche MTU setzen wie die (virtuelle) PPTP-NIC des Routers. Denn auch bei "normalen" Routern vermindert man nur den MTU-Wert der (virtuellen) PPTP-NIC, nicht die der Ethernet-NIC.

Hat der NAT-Rechner 2 NICs geht es noch besser:
LAN-NIC auf 1400 damit alle LAN-PCs die gleiche MTU haben.
WAN-NIC auf 1500 damit nichts fragmentiert wird.

mfg cremor
cremor
Board-Mitglied
Board-Mitglied
 
Beiträge: 167
Registriert: Mo 22 Mai, 2006 10:02

Beitragvon superracer » Mo 03 Jul, 2006 17:54

cremor hat geschrieben:Hast du schonmal versucht die MTU der NICs nur bei den Clients auf 1400 zu setzten, am NAT-Rechner aber auf 1500 zu lassen?

und was passiert dann mit den 1500-bytes paketen, die der nat-rechner an die clients schicken will?

die ganze mtu-herumstellerei ist eigentlich völlig pervers. ethernet hat eine mtu von 1500, punkt aus. da sollte man _nie_ irgendwas verstellen müssen, vor allem nicht nach unten. eigentlich wär's nicht ganz verkehrt, wenn das OS es nichtmal zulassen würde, da was dran zu ändern.
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon hardliner » Mo 03 Jul, 2006 18:14

Der Vorschlag von cremor hat schon was an sich:
Über die DSL-NIC könne ja nur Pakete mit max. 1372 Payload kommen.
H.
hardliner
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4056
Registriert: Mo 23 Jun, 2003 21:24

Beitragvon cremor » Mo 03 Jul, 2006 18:22

superracer hat geschrieben:und was passiert dann mit den 1500-bytes paketen, die der nat-rechner an die clients schicken will?

Vom Internet kommen eh nur Pakete mit max 1400 Byte.
Nur wenn der Rechner selbst ein Paket an einen Client schickt könnte es ein Problem geben. Aber im LAN sollte PMTU-D ja problemlos funktionieren, oder?
die ganze mtu-herumstellerei ist eigentlich völlig pervers. ethernet hat eine mtu von 1500, punkt aus. da sollte man _nie_ irgendwas verstellen müssen, vor allem nicht nach unten. eigentlich wär's nicht ganz verkehrt, wenn das OS es nichtmal zulassen würde, da was dran zu ändern.

Dann müssten aber entweder die falsch konfigurierten Paketfilter richtig konfiguriert werden oder jeder Router (bzw. Routing-Software) müsste MSS-Clamping können.

mfg cremor
cremor
Board-Mitglied
Board-Mitglied
 
Beiträge: 167
Registriert: Mo 22 Mai, 2006 10:02

Beitragvon superracer » Mo 03 Jul, 2006 18:33

cremor hat geschrieben:Nur wenn der Rechner selbst ein Paket an einen Client schickt könnte es ein Problem geben.

genau darauf wollt ich raus.
kann aber auch beim routen von paketen passieren, und zwar wenn der rechner selbstständig fragment reassembly macht, zb um die zuverlässigkeit von firewall-regeln zu machen (linux bietet diese option zb). szenario: großes udp-paket (insgesamt 1600 bytes) kommt rein, in zwei stücken (1400 + 220 bytes). rechner macht reassembly, analysiert das paket und schickt es dann ins lan weiter, wodurch es fragmentiert werden muß. mtu ist 1500, also wird ein 1500- und ein 120-byte paket verschickt. was da wohl passiert?

Aber im LAN sollte PMTU-D ja problemlos funktionieren, oder?

ähm... gerade im lan kann pmtu-d überhaupt nicht funktionieren. wer sollte denn die unreachables schicken?

Dann müssten aber entweder die falsch konfigurierten Paketfilter richtig konfiguriert werden oder jeder Router (bzw. Routing-Software) müsste MSS-Clamping können.

ähm... was haben paketfilter und mss clamping damit zu tun? die einzige voraussetzung ist, daß jeder routende ip-stack auch weiß, was fragmentieren bedeutet, so wie es sich gehört.
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon cremor » Mo 03 Jul, 2006 19:19

superracer hat geschrieben:rechner macht reassembly, analysiert das paket und schickt es dann ins lan weiter, wodurch es fragmentiert werden muß. mtu ist 1500, also wird ein 1500- und ein 120-byte paket verschickt. was da wohl passiert?
[...]
ähm... gerade im lan kann pmtu-d überhaupt nicht funktionieren. wer sollte denn die unreachables schicken?

Machen das die PCs denn nicht?
ähm... was haben paketfilter und mss clamping damit zu tun? die einzige voraussetzung ist, daß jeder routende ip-stack auch weiß, was fragmentieren bedeutet, so wie es sich gehört.

Naja, würde es keine Paketfilter geben, die ICMP-Pakete rausfiltern, bräuchten wir auch unsere MTU nicht zu verkleinern, weil dann PMTU-D immer funktionieren würde.
Alternative:
Der Router macht MSS-Clamping. Auch dann brauchen wir unsere MTU nicht verkleinern.

mfg cremor
cremor
Board-Mitglied
Board-Mitglied
 
Beiträge: 167
Registriert: Mo 22 Mai, 2006 10:02

Beitragvon superracer » Mo 03 Jul, 2006 20:09

cremor hat geschrieben:Machen das die PCs denn nicht?

unreachables verschicken ist einzig und allein aufgabe des ip-stacks eines routers. aber in diesem fall würden die pakete gar nicht mal bis zum ip-stack kommen (mal abgesehen davon, daß in diesem fall nicht geroutet wird). immerhin ist MTU ja ein parameter auf layer 2. da kommt also ein ethernet-frame auf der netzwerkkarte rein, mit 1500 bytes payload. der ethernet-treiber schaut sich das an und denkt sich "ohhh meine MTU ist na nur 1400 bytes, das frame ist ja viel zu groß, da kann was nicht stimmen!" und haut's still und leise weg. (machen vielleicht nicht alle treiber so, aber sie dürfen.) mal abgesehen davon, daß die karte selbst solche frames schon droppen darf, wenn sie will, ohne daß der treiber sie je zu gesicht bekommt. in beiden fällen bleibt der ip-stack unwissend aussen vor.

Naja, würde es keine Paketfilter geben, die ICMP-Pakete rausfiltern, bräuchten wir auch unsere MTU nicht zu verkleinern, weil dann PMTU-D immer funktionieren würde.
Alternative:
Der Router macht MSS-Clamping. Auch dann brauchen wir unsere MTU nicht verkleinern.

falsch. mss clamping gibt es nur, weil pmtu discovery in der praxis nicht immer gut funktioniert (eben wegen kaputter firewalls), bzw pmtu discovery nicht von allen devices unterstützt wird. weiters gibt es pmtu discovery nur, um unnötige fragmentation auf der strecke zu verhindern. weiters heißt das, daß ohne pmtu discovery pakete im falle des falles eben unnötig fragmentiert werden. daraus folgt: mss clamping ist nur sinnvoll, wenn pmtu discovery versagt. pmtu discovery ist aber optional, somit ist auch mss clamping optional. einzige voraussetzung, die der logik nach übrig bleibt, ist eine funktionierende fragmentierung.

oder anders (kürzer) ausgedrückt: mss clamping ist ein workaround für nicht funktionierende pmtu discovery (welcher im übrigen nur für tcp-connections funktioniert). pmtu discovery ist aber KEIN workaround für nicht funktionierende fragmentierung, sondern NUR ein performance-tweak, und genau deswegen auch optional (kannst du in deinem OS deiner wahl auch abschalten, wodurch mss clamping auch obsolet wird). funktionierende fragmentierung ist daher _essentiell_ für jeden router; jeder, der das nicht macht, gehört ausnahmslos eingestanzt.
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon cremor » Di 04 Jul, 2006 17:25

superracer hat geschrieben:unreachables verschicken ist einzig und allein aufgabe des ip-stacks eines routers. aber in diesem fall würden die pakete gar nicht mal bis zum ip-stack kommen (mal abgesehen davon, daß in diesem fall nicht geroutet wird). immerhin ist MTU ja ein parameter auf layer 2. da kommt also ein ethernet-frame auf der netzwerkkarte rein, mit 1500 bytes payload. der ethernet-treiber schaut sich das an und denkt sich "ohhh meine MTU ist na nur 1400 bytes, das frame ist ja viel zu groß, da kann was nicht stimmen!" und haut's still und leise weg. (machen vielleicht nicht alle treiber so, aber sie dürfen.) mal abgesehen davon, daß die karte selbst solche frames schon droppen darf, wenn sie will, ohne daß der treiber sie je zu gesicht bekommt. in beiden fällen bleibt der ip-stack unwissend aussen vor.

OK, das heißt meinen Vorschlag darf man nur anwenden, wenn man 2 NICs im NAT-Rechner hat.
[...]
oder anders (kürzer) ausgedrückt: mss clamping ist ein workaround für nicht funktionierende pmtu discovery (welcher im übrigen nur für tcp-connections funktioniert).

Das war mir eh alles klar.
pmtu discovery ist aber KEIN workaround für nicht funktionierende fragmentierung, sondern NUR ein performance-tweak, und genau deswegen auch optional (kannst du in deinem OS deiner wahl auch abschalten, wodurch mss clamping auch obsolet wird). funktionierende fragmentierung ist daher _essentiell_ für jeden router; jeder, der das nicht macht, gehört ausnahmslos eingestanzt.

Ist natürlich richtig.
Ich wollte zwar auf etwas anderes hinaus, aber egal. Anscheinend reden wir aneinander vorbei ;)

mfg cremor
cremor
Board-Mitglied
Board-Mitglied
 
Beiträge: 167
Registriert: Mo 22 Mai, 2006 10:02

Beitragvon cremor » So 16 Jul, 2006 17:47

So, eine letzte Anmerkung:

Ich habe jetzt mal den Traffic zwischen meinem D-Link DI-604 und dem Modem mitgesnifft.
IP-Optionen setzt der DI-604 keine. Soweit also alles super.

Etwas komisch finde ich es nur, dass er den PPP-Header nur 2 Byte groß macht :-?
In seinen PPP-Headern findet man nur das Protokoll-Feld. Das Adressen- und das Control-Feld fehlen. Bei Antworten sind die beiden Felder aber enthalten, der PPP-Header von ankommenden Traffic hat also ganz normal 4 Byte.

mfg cremor
A1 Festnetz-Internet 8 Mbit/s
SpeedTouch 585v6 - Firmware 5.3.9.0
cremor
Board-Mitglied
Board-Mitglied
 
Beiträge: 167
Registriert: Mo 22 Mai, 2006 10:02

Beitragvon superracer » So 16 Jul, 2006 22:45

cremor hat geschrieben:Etwas komisch finde ich es nur, dass er den PPP-Header nur 2 Byte groß macht :-?
In seinen PPP-Headern findet man nur das Protokoll-Feld. Das Adressen- und das Control-Feld fehlen. Bei Antworten sind die beiden Felder aber enthalten, der PPP-Header von ankommenden Traffic hat also ganz normal 4 Byte.

das ist afaik in der pptp-rfc nicht genau definiert. die rede ist von einem "ppp packet" als payload, da ppp aber ursprünglich für serielle verbindungen gedacht war und es somit immer in hdlc-artigen frames verpackt worden ist, ist nicht ganz klar, ab wo das eigentliche "ppp packet" jetzt beginnt. der originale windows pptp-client hat jedenfalls die beiden address- und control-bytes im header inkludiert, somit ist das der de-facto standard.

pppoe hat dieses problem übrigens nicht - hier ist genau definiert, was auf den pppoe-header zu folgen hat.

was uns wiederrum zwei sachen zeigt: 1) wie schlampig router-hersteller sind, und 2) daß pppoe auch hier pptp überlegen ist.
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

VorherigeNächste

Zurück zu ADSL & xDSL

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 128 Gäste