On Sun, Nov 01, 2009 at 10:40:00AM +0100, Jeroen Massar wrote: > > manchmal ist es wohl auch nicht die Firewall: > Aber die user ;) > > MTU, pMTU und fragmentierung ist nicht etwas einfaches und einer der > vielen warum man ICMP nicht firewallen soll.
Danke Jeroen, aber das wussten wir schon :-) Ich reformuliere mal das Problem. MTU 1500 | MTU 1280 n*Server ------ MWN-Router - DFN - DE-CIX - Easynet - deham01 - Client ^ hier war am Freitag eine Glasfaserunterbrechung für zwei Stunden wegen Wartungsarbeiten der Telekom Am Standort der Server ist kein L3-Equipment, das Default-Gateway des Servernetzes ist der MWN-Router. Die Verbindung der Server zu ihrem Defaultrouter war also für zwei Stunden weg. Die MWN-Router sind Cisco 6500er, keine Firewall-Regeln und die halten schon dreimal keinen State. Abgesehen davon haben die von dem Ausfall dieser Ethernet-Strecke herzlich wenig mitbekommen. Just seit diesem Ausfall haben Leute mit pMTU <1500 (nicht nur oben angesprochener Client, nicht nur SixXS) Probleme auf diese (mehrere) Server zu kommen. Die Verbindung hängt, sehr charakteristisch für ein pMTU-Problem. Wir haben da mal fröhlich auf Serverseite rumgedumpt und sehen sowas hier im tcpdump. 21:01:30.111499 IP6 2001:4ca0:4f01::5.80 > 2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . ack 343 win 106 <nop,nop,timestamp +308660462 12779950> 21:01:30.619840 IP6 2001:4ca0:4f01::5.80 > 2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . 1:1429(1428) ack 343 win 106 +<nop,nop,timestamp 308660588 12779950> 21:01:30.619861 IP6 2001:4ca0:4f01::5.80 > 2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . 1429:2857(1428) ack 343 win 106 +<nop,nop,timestamp 308660588 12779950> 21:01:30.647718 IP6 2001:6f8:800:1003::2 > 2001:4ca0:4f01::5: ICMP6, packet too big, mtu 1280, length 1240 21:01:30.649014 IP6 2001:6f8:800:1003::2 > 2001:4ca0:4f01::5: ICMP6, packet too big, mtu 1280, length 1240 21:01:30.879454 IP6 2001:4ca0:4f01::5.80 > 2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . 1:1429(1428) ack 343 win 106 +<nop,nop,timestamp 308660654 12779950> 21:01:30.907250 IP6 2001:6f8:800:1003::2 > 2001:4ca0:4f01::5: ICMP6, packet too big, mtu 1280, length 1240 21:01:31.407454 IP6 2001:4ca0:4f01::5.80 > 2001:6f8:120c:0:223:54ff:fec4:cc83.57712: . 1:1429(1428) ack 343 win 106 +<nop,nop,timestamp 308660786 12779950> 21:01:31.434851 IP6 2001:6f8:800:1003::2 > 2001:4ca0:4f01::5: ICMP6, packet too big, mtu 1280, length 1240 Heisst, das ICMPv6 packet too big kommt definitiv vom SixXS-POP bis zum Ethernet-Interface vom Server, wird dort aber knallhart ignoriert. Retransmission des großen Pakets, wieder ICMPv6, wieder keine Änderung. Siehe auch die ping6-Ausgabe von Thomas. Keine Firewall im Netz (sonst würde das ICMP nicht kommen), soweit ich Thomas verstanden habe keine Firewall auf dem Host. So, das gleiche mehrfach auf einen Schlag auf einer ganzen Anzahl von Servern, und nach einem Reboot ist das Problem weg. Und jetzt die große Frage, hat jemand schon mal etwas ähnliches gesehen? Ich hatte sowas bisher exakt einmal, da hatte allerdings ein kaputter Hardware-Treiber davor zehnmal ge-OOPS-t und dem Kernel war eh nicht mehr zu trauen. Bernhard -- ipv6 mailing list ipv6@listserv.uni-muenster.de http://listserv.uni-muenster.de/mailman/listinfo/ipv6