Thomas Schäfer wrote: > Hallo Liste, > > manchmal ist es wohl auch nicht die Firewall:
Aber die user ;)
MTU, pMTU und fragmentierung ist nicht etwas einfaches und einer der
vielen warum man ICMP nicht firewallen soll.
ICMP darf fragmentiert werden im mehrere IP packets.
Probier mal: ping6 -M do <destination>
-M sagt das packets nicht ("do" MTU discovery) fragmentiert durfen.
> butler:~ # ping6 -s 1500 tseee-box
> PING tseee-box(2001:6f8:120c:0:223:54ff:fec4:cc83) 1500 data bytes
> From deham01.sixxs.net icmp_seq=1 Packet too big: mtu=1280
> From deham01.sixxs.net icmp_seq=2 Packet too big: mtu=1280
> From deham01.sixxs.net icmp_seq=3 Packet too big: mtu=1280
> From deham01.sixxs.net icmp_seq=4 Packet too big: mtu=1280
Die richtige frage war: was ist der path der packets?
'traceroute6 <destination>" und du lernt ganz viel mehr.
Btw: deham01.sixxs.net ist ein SixXS PoP und tunnels sind beschrankt auf
1280 bytes, aber SixXS nutzer kunnen das pro tunnel anderen.
Wann du ein packet nach ein tunnel endpfunkt sende dan kan es kein MTU
von 1500 wesen.
http://www.sixxs.net/faq/connectivity/?faq=mtu erzahlt mehr.
> icmp geht offensichtlich durch, wird aber ignoriert. Warum?
Kommt nicht bis end-host aber bis zum einer box im mitten.
> Bei einem gleichen System
>
> ping6 -s 1500 tseee-box
> PING tseee-box(2001:6f8:120c:0:223:54ff:fec4:cc83) 1500 data bytes
> From deham01.sixxs.net icmp_seq=1 Packet too big: mtu=1280
Auf diesen moment lernt das system das die packets nur 1280 gross durfen
sein.
> 1508 bytes from 2001:6f8:120c:0:223:54ff:fec4:cc83: icmp_seq=2 ttl=51
> time=94.3 ms
Und hier schikt es zwei packets am gleichen zeit (1280 bytes + einer von
1500-1280 ;)
Wireshark soll das gut illustrieren, wann du auf die box guckt wo
fragmentiert werd, aber glucklich im IPv6 ist das immer die end-host aka
die sender von das paket.
> sieht es so aus.
>
> Ganz "plötzlich" kam es nicht. Dar Router war mal für zwei Stunden nicht im
> LAN verfügbar.
>
>
> Kann man die MTU-Aushandlungen irgendwo einsehen oder gar zurück setzen?
>
> aus netstat -i oder -s (--inet6) wohl nicht wirklich.
Auf linux:
$ ip -6 ro sho table all
andere betriebsystemen meistens mit 'netstat' oder 'route' irgendwo.
> Das oben beschriebene Verhalten betrifft leider auch tcp-Verbindungen mit dem
> typischen "hängen".
Das heist das du ein problem mit PathMTU Discovery hab.
tracepath6 ist die freundin ;)
Greets,
Jeroen
signature.asc
Description: OpenPGP digital signature
-- ipv6 mailing list [email protected] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
