On Sun, Nov 01, 2009 at 10:40:00AM +0100, Jeroen Massar wrote:
> > manchmal ist es wohl auch nicht die Firewall:
> Aber die user ;)
>
> MTU, pMTU und fragmentierung ist nicht etwas einfaches und einer der
> vielen warum man ICMP nicht firewallen soll.
Danke Jeroen, aber das wussten wir schon :-)
Ich reformuliere mal das Problem.
MTU 1500 | MTU 1280
n*Server ------ MWN-Router - DFN - DE-CIX - Easynet - deham01 - Client
^ hier war am Freitag eine Glasfaserunterbrechung für zwei
Stunden wegen Wartungsarbeiten der Telekom
Am Standort der Server ist kein L3-Equipment, das Default-Gateway des
Servernetzes ist der MWN-Router. Die Verbindung der Server zu ihrem
Defaultrouter war also für zwei Stunden weg.
Die MWN-Router sind Cisco 6500er, keine Firewall-Regeln und die halten
schon dreimal keinen State. Abgesehen davon haben die von dem Ausfall
dieser Ethernet-Strecke herzlich wenig mitbekommen.
Just seit diesem Ausfall haben Leute mit pMTU <1500 (nicht nur oben
angesprochener Client, nicht nur SixXS) Probleme auf diese (mehrere)
Server zu kommen. Die Verbindung hängt, sehr charakteristisch für ein
pMTU-Problem.
Wir haben da mal fröhlich auf Serverseite rumgedumpt und sehen sowas
hier im tcpdump.
21:01:30.111499 IP6 2001:4ca0:4f01::5.80 >
2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . ack 343 win 106
<nop,nop,timestamp
+308660462 12779950>
21:01:30.619840 IP6 2001:4ca0:4f01::5.80 >
2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . 1:1429(1428) ack 343 win 106
+<nop,nop,timestamp 308660588 12779950>
21:01:30.619861 IP6 2001:4ca0:4f01::5.80 >
2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . 1429:2857(1428) ack 343 win
106
+<nop,nop,timestamp 308660588 12779950>
21:01:30.647718 IP6 2001:6f8:800:1003::2 > 2001:4ca0:4f01::5: ICMP6,
packet too big, mtu 1280, length 1240
21:01:30.649014 IP6 2001:6f8:800:1003::2 > 2001:4ca0:4f01::5: ICMP6,
packet too big, mtu 1280, length 1240
21:01:30.879454 IP6 2001:4ca0:4f01::5.80 >
2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . 1:1429(1428) ack 343 win 106
+<nop,nop,timestamp 308660654 12779950>
21:01:30.907250 IP6 2001:6f8:800:1003::2 > 2001:4ca0:4f01::5: ICMP6,
packet too big, mtu 1280, length 1240
21:01:31.407454 IP6 2001:4ca0:4f01::5.80 >
2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . 1:1429(1428) ack 343 win 106
+<nop,nop,timestamp 308660786 12779950>
21:01:31.434851 IP6 2001:6f8:800:1003::2 > 2001:4ca0:4f01::5: ICMP6,
packet too big, mtu 1280, length 1240
Heisst, das ICMPv6 packet too big kommt definitiv vom SixXS-POP bis zum
Ethernet-Interface vom Server, wird dort aber knallhart ignoriert.
Retransmission des großen Pakets, wieder ICMPv6, wieder keine Änderung.
Siehe auch die ping6-Ausgabe von Thomas. Keine Firewall im Netz (sonst
würde das ICMP nicht kommen), soweit ich Thomas verstanden habe keine
Firewall auf dem Host.
So, das gleiche mehrfach auf einen Schlag auf einer ganzen Anzahl von
Servern, und nach einem Reboot ist das Problem weg. Und jetzt die große
Frage, hat jemand schon mal etwas ähnliches gesehen? Ich hatte sowas
bisher exakt einmal, da hatte allerdings ein kaputter Hardware-Treiber
davor zehnmal ge-OOPS-t und dem Kernel war eh nicht mehr zu trauen.
Bernhard
--
ipv6 mailing list
ipv6@listserv.uni-muenster.de
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
