Re: OpenVPN / Firewallproblem oder MTU?
Martin Müller - Rudolf Hausstein OHG schrieb: iptables -A sperre -p tcp --dport 1194 -j ACCEPT Könnt ihr mir sagen, ob ich hier irgendwo einen Widerspruch eingebaut habe? Zur Sicherheit auch noch den Anfang meiner OpenVPN-Server-Conf: port 1194 proto udp dev tap0 tun-mtu 1500 fragment 1300 mssfix 1300 Protokol udp / Firewall erlaubt aber nur tcp. Dein tap0 device darf empfangen, OUTPUT setzt du sowieso auf ACCEPT. Hier blockt deine Firewall also nicht. so dass es funktionieren sollte, wenn du von tcp auf udp in der Firewall umschaltest: iptables -A sperre -p udp --dport 1194 -j ACCEPT Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
OpenVPN / Firewallproblem oder MTU?
Hallo zusammen! Ich hab hier OpenVPN installiert, der Verbindungsaufbau klappt an sich (Zertifikate sind in Ordnung), nur leider passierts beim TSL-handshake ... Tunnelblick unter OsX meint: TLS key nego failed to occur within 60 secs OpenVPN-Client unter Windows meint ead UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054) und IP-Traf, das am OpenVPN-Server läuft meint: ICMP dest unrch (port) (70 bytes) from 83.64.XXX.XXX to 83.64.XXX.XXX on eth1 Dazu gibts auch unter openvpn.net schöne Hinweise: • A perimeter firewall on the server's network is filtering out incoming OpenVPN packets (by default OpenVPN uses UDP or TCP port number 1194). • A software firewall running on the OpenVPN server machine itself is filtering incoming connections on port 1194. Be aware that many OSes will block incoming connections by default, unless configured otherwise. • A NAT gateway on the server's network does not have a port forward rule for TCP/UDP 1194 to the internal address of the OpenVPN server machine. • The OpenVPN client config does not have the correct server address in its config file. The remote directive in the client config file must point to either the server itself or the public IP address of the server network's gateway. Punkt 1, 3 4 kann ich ausschließen, Punkt 2 nicht. Ich poste mal meine FW: #! /bin/sh echo 1 /proc/sys/net/ipv4/ip_forward # Initialisierung des Forwardings # Flushen, L?schen, Neuerstellung - nicht vergessen im Script! # echo Flushing Tables and initialize new ones... iptables -F iptables -F -t nat iptables -F sperre iptables -X sperre iptables -N sperre iptables -F sperre # first contact # # echo Some basic locks... # Alles aus dem lan ohne passende IP wegwerfen iptables -A sperre -i eth0 -s ! 192.168.100.0/255.255.255.0 -j DROP # Sonst alles von eth0 erlauben (Hier sollte man aufpassen, was man den Usern gew?hren will und sich vor Trojanern sch?tzen.) iptables -A sperre -i eth0 -j ACCEPT # F?r Loopback wir immer alles erlaubt ausser von nicht 127.0.0.1 iptables -A sperre -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT # Alles aus dem Inet mit meinen IPs werwerfen iptables -A sperre -i eth1 -s 192.168.100.0/255.255.255.0 -j DROP # acceptstuff # ### echo Now the services which are allowed... # SSH erlauben iptables -A sperre -p tcp --dport 22 -j ACCEPT # ftp erlauben iptables -A sperre -p tcp --dport 20 -j ACCEPT iptables -A sperre -p tcp --dport 21 -j ACCEPT # SMTP erlauben iptables -A sperre -p tcp --dport 25 -j ACCEPT iptables -A sperre -p tcp --dport 26 -j ACCEPT # DNS erlauben iptables -A sperre -p udp --dport 53 -j ACCEPT # HTTP erlauben iptables -A sperre -p tcp --dport 80 -j ACCEPT # POP3 erlauben iptables -A sperre -p tcp --dport 110 -j ACCEPT # IMAP erlauben iptables -A sperre -p tcp --dport 143 -j ACCEPT # ICQ Ports erlauben # iptables -A sperre -p tcp --dport 4100:4115 -j ACCEPT iptables -A INPUT -i tap0 -j ACCEPT iptables -A INPUT -i br0 -j ACCEPT iptables -A FORWARD -i br0 -j ACCEPT iptables -A sperre -p tcp --dport 1194 -j ACCEPT #eDonkey erlauben iptables -A sperre -p tcp --dport 4662 -j ACCEPT # Antworten zulassen # ## iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT # Alles andere abweisen (RFC-konform) # ### echo Reject everything else... iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable # sperre aktivieren # # echo Activating firewall... iptables -A INPUT -j sperre iptables -A FORWARD -j sperre iptables -P INPUT DROP iptables -P FORWARD DROP # Ausgehende Pakete vom Server immer akzeptieren iptables -P OUTPUT ACCEPT iptables -P OUTPUT ACCEPT -t nat # NAT # ### echo Activating NAT... iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE echo Firewall finally started! Könnt ihr mir sagen, ob ich hier irgendwo einen Widerspruch eingebaut habe? Zur Sicherheit auch noch den Anfang meiner OpenVPN-Server-Conf: port 1194 proto udp dev tap0 tun-mtu 1500 fragment 1300 mssfix 1300 Die MTU ist auf allen Interfaces auf 1500 eingestellt. Vielen Dank für Eure Hilfe! Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenVPN / Firewallproblem oder MTU?
On Tue, Apr 18, 2006 at 07:04:43PM +0200, Martin Müller - Rudolf Hausstein OHG wrote: iptables -A sperre -p tcp --dport 1194 -j ACCEPT Bei mir lausch openvpn auf UDP 1194 und nicht auf TCP. Was sagt denn netstat -an | grep 1194 bei dir? -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgpjKM4xqVvvx.pgp Description: PGP signature
Re: OT:Schlechte Verbindung wegen MTU?
_Derzeit_ hat Arcor das merkwürdige Problem, das alles über 588 (584 bei DSL) nicht funktioniert. Ja, hier in Berlin gab es gestern bei mir mit Arcor DSL 2000 auch Probleme. Lars
Re: OT:Schlechte Verbindung wegen MTU?
Hallo, On 12/5/05, ljahn [EMAIL PROTECTED] wrote: _Derzeit_ hat Arcor das merkwürdige Problem, das alles über 588 (584 bei DSL) nicht funktioniert. Ja, hier in Berlin gab es gestern bei mir mit Arcor DSL 2000 auch Probleme. Wir hatten in Heidelberg ernsthafte Probleme; komplette Server-Bereiche nicht erreichbar. Waehre fast nach Nuernberg ins RZ gefahren, nur weil Arcor irgendwo was kaputt gemacht hat. Aber bei den ganzen MTU-Ideen tippe ich mitlerweile stark auf eine falsch konfigurierte MPLS-Strecke. -- Sebastian Laubscher Recent studies suggest that running /usr/bin/coffee from cron at regular intervals can be more effective at enhancing uptime than launching a big coffeed process at startup.
Re: OT:Schlechte Verbindung wegen MTU?
Sebastian Laubscher schrieb: Hallo, On 12/5/05, ljahn [EMAIL PROTECTED] wrote: _Derzeit_ hat Arcor das merkwürdige Problem, das alles über 588 (584 bei DSL) nicht funktioniert. Ja, hier in Berlin gab es gestern bei mir mit Arcor DSL 2000 auch Probleme. Wir hatten in Heidelberg ernsthafte Probleme; komplette Server-Bereiche nicht erreichbar. Waehre fast nach Nuernberg ins RZ gefahren, nur weil Arcor irgendwo was kaputt gemacht hat. Jetzt ist jedenfalls der Upload wieder im normalen Bereich, aber Download ist weniger als akzeptabel. Wenn ich so die Leute höre, die bei der Telekom sind, dann gerate ich fast in Versuchung bald wieder zu wechseln (:-(
OT:Schlechte Verbindung wegen MTU?
Hi, habe seit Wochen zuhause eine schlechte Anbindung ans Internet. Gehe über Arcor rein. Hin und wieder bricht die Verbindung komplett ab und die Down- und uoloadraten sind echt mies, zumindest für DSL 6000 Verhältnisse. Konnte mir bisher keinen Reim drauss machen, bis aufeinmal seit gestern auch einzelne Seiten nicht ansurfbar waren, bzw. Meldungen kamen, wie Ducument contains no data. Da kam mir doch gleich in den Sinn, mal nach der MTU auf dem Router zu schauen. Mit ping -c5 -s 1492 www.heise.de gab es kein reply. Egal wie weit runter ich gehe,es tut sich nichts. Erst bei einem Wert von 584 geht es wieder. Das ist ja definitiv zu wenig und auch nicht normal. Kann dies an meiner Hardware liegen, hat Arcor da ein Problem, oder wo sonst kann los sein ? Ifconfig ppp0 ergibt folgendes: ppp0 Link encap:Point-to-Point Protocol inet addr:82.82.188.21 P-t-P:82.82.160.1 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MTU:1492 Metric:1 RX packets:98891 errors:0 dropped:0 overruns:0 frame:0 TX packets:61552 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:67724334 (64.5 MB) TX bytes:8091206 (7.7 MB) Gruß Torsten
Re: OT:Schlechte Verbindung wegen MTU?
Torsten Geile [EMAIL PROTECTED] wrote: Mit ping -c5 -s 1492 www.heise.de gab es kein reply. Egal wie weit runter ich gehe,es tut sich nichts. Erst bei einem Wert von 584 geht es wieder. Das ist ja definitiv zu wenig und auch nicht normal. Kann dies an meiner Hardware liegen, hat Arcor da ein Problem, oder wo sonst kann los sein ? _Derzeit_ hat Arcor das merkwürdige Problem, das alles über 588 (584 bei DSL) nicht funktioniert. Update: Gerade funktioniert auch 1500 (1496/1492 bei DSL) wieder. Vermutlich irgendwelche Bauarbeiten im Core-Netz von Arcor. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Setting MTU size for ppp0
Sven Nielsen wrote: This perhaps needs a little more in-depth knowledge: I am trying to limit MTU size on ppp0 to below 1492 (that is, I want 1412) because my (new) linux machine has to masquerade for my roommate (winXP home). I set up pppoe with pppoeconf which configures MTU for ppp0 to 1492. I did manage to set up masquerading: #iptables -t nat -A POSTROUTING -j MASQUERADE #echo 1 /proc/sys/net/ipv4/ip_forward Masquerading works fine. No other rules configured in no other tables and/or chains. (I haven´t secured this setup yet, so no other rules present.) PROBLEM IS: my attempts to limit MTU to 1412 are ignored. tried adding mtu 1412 to /etc/ppp/peers/dsl-provider /etc/ppp/options still, after reboot or after poff - ifdown - ifup - pon dsl-provider, ifconfig always reports ppp0 with MTU: 1492. Also tried #pppd noauth mtu 1412 while ppp0 is already active, no effect. Is some other script overriding my attempts ? The reason I want to limit MTU is also a special one. My rommmate gets access to every page, EXCEPT ebay!, and I (randomly) guess this to be connected with MTU size. If I am wrong I will have to dig for some other reason, but this is another problem to be solved later. Anybody any clue why setting MTU is ignored ?? Is it really ignored? I'm not shure - on my router ifconfig reports the same as yours, but ps shows /usr/sbin/pppoe -I eth1 -T 80 -m 1452. What you should try is calling iptables with this line: #iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN \ -j TCPMSS --clamp-mss-to-pmtu This is called MSS-clamping and influences the amount of data per TCP packet. Might help in the situation you describe. fred -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Setting MTU size for ppp0
This perhaps needs a little more in-depth knowledge: I am trying to limit MTU size on ppp0 to below 1492 (that is, I want 1412) because my (new) linux machine has to masquerade for my roommate (winXP home). I set up pppoe with pppoeconf which configures MTU for ppp0 to 1492. I did manage to set up masquerading: #iptables -t nat -A POSTROUTING -j MASQUERADE #echo 1 /proc/sys/net/ipv4/ip_forward Masquerading works fine. No other rules configured in no other tables and/or chains. (I haven´t secured this setup yet, so no other rules present.) PROBLEM IS: my attempts to limit MTU to 1412 are ignored. tried adding mtu 1412 to /etc/ppp/peers/dsl-provider /etc/ppp/options still, after reboot or after poff - ifdown - ifup - pon dsl-provider, ifconfig always reports ppp0 with MTU: 1492. Also tried #pppd noauth mtu 1412 while ppp0 is already active, no effect. Is some other script overriding my attempts ? The reason I want to limit MTU is also a special one. My rommmate gets access to every page, EXCEPT ebay!, and I (randomly) guess this to be connected with MTU size. If I am wrong I will have to dig for some other reason, but this is another problem to be solved later. Anybody any clue why setting MTU is ignored ?? Thanks for the help ! PS: I am a newbie, although sitting at my machine 24/7 the last two weeks did help a little to dig into my new wunderful linux :-) . BTW, using Ubuntu AMD64 (in native 64bit-mode) with self-compiled 2.6.x kernel. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU -
Am Wed, 29 Sep 2004 um 19:16 GMT +0200 schrieb Richard Verwayen: Du hast natürlich recht, daß seitens des Kunden die einzige Lösung darin besteht, seine MTU entsprechend herunterzusetzen. Stimmt! Aber ich kann dir versichern, das es nicht an irgendwelchen Firewall-Regeln liegt! Nicht an Deinen Regeln. Die Gegenseite hat die Packetfilter nicht korrekt konfiguriert. Wo ist der Unterschied zwischen ebay.de (erreichbar mit mtu 1492) und commerzbank.de, map24.de, deutsche-bank.de (mtu 1492 = geht nicht) ? Die Gegenseite schickt Dir Pakete mit einer zu großen MTU für PPPoE. Der Router schickt eine ICMP-Message zurück, die bei der Gegenseite nicht bis zum Server durchkommt. Wenn Du die MTU deines Interfaces heruntersetzt werden direkt Pakete mit dieser MTU verschickt. Beim TCP-Verbindungsaufbau setzt Deine Woody-Maschine die MSS (Maximum Segment Size) Option im TCP Header. Diese teilt der Gegenseite mit, welche maximale Paketgröße die Maschine annehmen kann. Bei einer kleineren MTU wird die MSS vom Betriebssystem entsprechend verkleinert. Der Server auf der Gegenseite schickt entsprechend kleinere Pakete, die nicht fragmentiert werden müssen. Es wäre allerdings sinnvoller die Betreiber kaputter Setups würden Ihre Systeme ordentlich konfigurieren. Leider wird deren Verhalten durch solche Workarounds weiter gestützt. Das ist genau so wie irgendwelche Optionen in der Apache mod_ssl Konfiguration, die nur dazu da sind um b0rken MSIE Clients den Zugriff per HTTP/TLS zu ermöglichen. Viele Grüße, martin -- LWsystems - Systemübergreifende IT-Beratung und Service [EMAIL PROTECTED] http://lw-systems.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
AW: - Re: MTU -
Prinzipiell gebe ich Dir recht nur in diesem Fall ist es ja so daß ich ein Werkzeug brauche um in die Internas zu sehen und das geht meiner Meinung bei TCP/IP mit Linux am besten. Außerdem ist die MTU ja leider immer wieder ein Thema im Internet da es durch falsche MTU-Einstellungen leicht dazu kommt das div. Webseiten nicht geladen werden etc. was einem erst mal unerklärlich erscheint. Trotzdem Danke für die Hinweise, ich werde mal im Web weiter suchen mfg Gregor Schumacher -Ursprüngliche Nachricht- Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Auftrag von dirk.finkeldey Gesendet: Dienstag, 28. September 2004 20:10 An: [EMAIL PROTECTED] Betreff: Re: - Re: MTU - Schumacher, Gregor schrieb: Prinzipiell nicht schlecht die Idee mit dem ping nur leider hat die AS/400 die Parameter nicht. Was mir so vorschwebte war eine Software die den Traffic mitschneidet und wo ich erkennen kann wenn ein Paket fragmentiert werden muß. Also bei einer MTU von 1500 auf der AS/400 und 1492 auf dem Router z.b. eine Auswertung wie erstes Paket 1492 Bytes 2 Paket nur 8 Bytes. mfg Gregor Schumacher Meinst du nicht das du in einer AS/400 Newsgrub besser aufgehoben bist ? Immerhin ist eine AS/400 eine `Besondere Hardware´ . Mit freundlichen Grüßen Dirk Finkeldey --- Unser Firmenname hat sich geaendert! Hays Logistics GmbH ist nun K + P Logistik GmbH. Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! Our company name has changed! Hays Logistics GmbH is now K + P Logistik GmbH. Please change your e-mail contacts to the new e-mail-addresses! --- Unser Firmenname hat sich geaendert! Hays Logistics GmbH ist nun K + P Logistik GmbH. Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! Our company name has changed! Hays Logistics GmbH is now K + P Logistik GmbH. Please change your e-mail contacts to the new e-mail-addresses!
Re: - Re: MTU -
Am Wed, 29 Sep 2004 um 09:47 GMT +0200 schrieb Schumacher, Gregor: Außerdem ist die MTU ja leider immer wieder ein Thema im Internet da es durch falsche MTU-Einstellungen leicht dazu kommt das div. Webseiten nicht geladen werden etc. was einem erst mal unerklärlich erscheint. Meinst Du die Probleme durch kaputt konfigurierte Packetfilter bei denen ICMP pauschal geblockt wird? Gruß, martin! -- LWsystems - Systemübergreifende IT-Beratung und Service [EMAIL PROTECTED] http://lw-systems.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU -
On Wed, 2004-09-29 at 12:07, Martin Werthmöller wrote: Am Wed, 29 Sep 2004 um 09:47 GMT +0200 schrieb Schumacher, Gregor: Außerdem ist die MTU ja leider immer wieder ein Thema im Internet da es durch falsche MTU-Einstellungen leicht dazu kommt das div. Webseiten nicht geladen werden etc. was einem erst mal unerklärlich erscheint. Meinst Du die Probleme durch kaputt konfigurierte Packetfilter bei denen ICMP pauschal geblockt wird? Gruß, martin! Hallo Martin, ich habe gerade genau diesen Fall gehabt, das diverse Seiten (unter anderem ebay.de, maps24.de, commerzbank.de) nicht geladen werden konnten. Zu dem Setup: Woody hinter DSL-Router. Nachdem ich kurzerhand die MTU der Debian-Kiste auf 1492 gesetzt habe, konnte ich einige Seiten wieder aufrufen. Also gibt es doch Probleme, wenn die MTU zu hoch ist. Bei Zweifeln, nenn ich dir gerne die Tel. des Telco-Technikers der den Router konfiguriert! Richard
Re: MTU -
Am Wed, 29 Sep 2004 um 14:31 GMT +0200 schrieb Richard Verwayen: Meinst Du die Probleme durch kaputt konfigurierte Packetfilter bei denen ICMP pauschal geblockt wird? ich habe gerade genau diesen Fall gehabt, das diverse Seiten (unter anderem ebay.de, maps24.de, commerzbank.de) nicht geladen werden konnten. Zu dem Setup: Woody hinter DSL-Router. Nachdem ich kurzerhand die MTU der Debian-Kiste auf 1492 gesetzt habe, konnte ich einige Seiten wieder aufrufen. Genau das meinte ich. Ein Packetfilter-/Firewall Setup, welches das Internet *Control* Message Protcol komplett blockt. Damit werden die ICMP Meldungen Deines Routers geblockt, mit denen er der sendenden Seite mitteilt, daß die Pakete zu groß sind. Also gibt es doch Probleme, wenn die MTU zu hoch ist. Natürlich. Allerdings liegt die eigentliche Ursache nicht an der zu großen MTU, sondern an den (IMHO) falsch konfigurierten Packetfiltern, die das 'böse' ICMP komplett blocken. Du hast natürlich recht, daß seitens des Kunden die einzige Lösung darin besteht, seine MTU entsprechend herunterzusetzen. Gruß, martin! -- LWsystems - Systemübergreifende IT-Beratung und Service [EMAIL PROTECTED] http://lw-systems.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU -
On Wed, 2004-09-29 at 16:57, Martin Werthmöller wrote: Zu dem Setup: Woody hinter DSL-Router. ISP | Router | w.x.y.z/26 | Woody | 192.168.2.0/24 Nachdem ich kurzerhand die MTU der Debian-Kiste auf 1492 gesetzt habe, konnte ich einige Seiten wieder aufrufen. Genau das meinte ich. Ein Packetfilter-/Firewall Setup, welches das Internet *Control* Message Protcol komplett blockt. Damit werden die ICMP Meldungen Deines Routers geblockt, mit denen er der sendenden Seite mitteilt, daß die Pakete zu groß sind. Der Router ist von einem großen deutschen Internet-Provider konfiguriert worden, ein Firmennetz ans Internet anzubinden. Dort befindet sich keinerlei Filter noch irgendwelche NAT-Konfigurationen. Auf der Firewall (ja, erst hier wird man ein wenig gefiltert!) gibt es nur Regeln für den durchgeleiteten Verkehr (NAT) ansonsten stehen dort eh keine Dienste zur Verfügung, somit ist alles INPUT und OUTPUT offen! ICMP-Pakete jedweder Art kann ich von und zu der Maschine senden... Also gibt es doch Probleme, wenn die MTU zu hoch ist. Natürlich. Allerdings liegt die eigentliche Ursache nicht an der zu großen MTU, sondern an den (IMHO) falsch konfigurierten Packetfiltern, die das 'böse' ICMP komplett blocken. Ich weiß, das sie falsch konfiguriert sind - Schließlich steht alles offen ;-) Du hast natürlich recht, daß seitens des Kunden die einzige Lösung darin besteht, seine MTU entsprechend herunterzusetzen. Stimmt! Aber ich kann dir versichern, das es nicht an irgendwelchen Firewall-Regeln liegt! Meinst du etwa, der ISP filtert für mich irgendwelche Pakete? (Ich bezahle ihn definititv nicht dafür!) Wo ist der Unterschied zwischen ebay.de (erreichbar mit mtu 1492) und commerzbank.de, map24.de, deutsche-bank.de (mtu 1492 = geht nicht) ? Gruß Richard
MTU
Hallo zusammen, ich habe hier eine AS/400 die übers Internet/VPN eine Verbindung zu einer Steuereinheit herstellt. Ich möchte jetzt gerne die optimale MTU bestimmen. Unter Windows hatte ich mir den Ethereal geschnappt, habe aber da Angaben gefunden von 60 Bytes pro Paket kommt mir etwas wenig vor bei einer MTU von ca. 1492. Kann ich unter Linux die MTU einer kompletten Strecke bestimmen: Heißt, ich habe lokal z.B. eine MTU von 1500 und irgend einer der Router auf dem Weg hat nur 1450 kann ich das feststellen? mit freundlichen Grüßen Gregor Schumacher --- Unser Firmenname hat sich geaendert! Hays Logistics GmbH ist nun K + P Logistik GmbH. Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! Our company name has changed! Hays Logistics GmbH is now K + P Logistik GmbH. Please change your e-mail contacts to the new e-mail-addresses!
Re: MTU
Hallo zusammen, Moin, Kann ich unter Linux die MTU einer kompletten Strecke bestimmen: Heißt, ich habe lokal z.B. eine MTU von 1500 und irgend einer der Router auf dem Weg hat nur 1450 kann ich das feststellen? Ist zwar nur ein grober Überblick, aber versuch doch mal ping mit den Parametern -f und -l -f bedeutet don't fragment, sprich das Paket muss als ganzes durch die Leitung geschuppst werden (oder verworfen werden wenn's nicht klappt) und -l gibt die Länge das Paketes an. z.B.: ping -f -l 1460 www.suse.de Wenn der Ping nicht klappt, weisst du, dass irgendwo ein Engpass ist. TÜS Sven
Re: MTU
* Sven May schrieb am 2004-09-28 um 14:55 Uhr: ping -f -l 1460 www.suse.de Bei mir (iputils-ss021109) heisst '-f' Floodping und dass will man hier eher nicht. Der OP will eher die Option '-M do'. Wenn der Ping nicht klappt, weisst du, dass irgendwo ein Engpass ist. Da hast du natuerlich auch recht ... -- Jens Kubieziel http://www.kubieziel.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU
Am 2004-09-28 14:55:06, schrieb Sven May: Hallo zusammen, Moin, Kann ich unter Linux die MTU einer kompletten Strecke bestimmen: Heißt, ich habe lokal z.B. eine MTU von 1500 und irgend einer der Router auf dem Weg hat nur 1450 kann ich das feststellen? Ist zwar nur ein grober Überblick, aber versuch doch mal ping mit den Parametern -f und -l -f bedeutet don't fragment, sprich das Paket muss als ganzes durch die Ähm, wie meinen ? ( 'stdin' ) _ / | PING(8) System Manager's ManualPING(8) | --ff Flood ping. Outputs packets as fast as they come back or one | hundred times per second, whichever is more. For every | ECHO_REQUEST sent a period ``.'' is printed, while for ever | ECHO_REPLY received a backspace is printed. This provides a | rapid display of how many packets are being dropped. Only the | super-user may use this option. _T_h_i_s _c_a_n _b_e _v_e_r_y _h_a_r_d _o_n _a _n_e_t_ | _w_o_r_k _a_n_d _s_h_o_u_l_d _b_e _u_s_e_d _w_i_t_h _c_a_u_t_i_o_n_. Also ich würde nicht gerade versuchen, www.suse.com zu fluten... | --ll _p_r_e_l_o_a_d | If _p_r_e_l_o_a_d is specified, ppiinngg sends that many packets as fast as | possible before falling into its normal mode of behavior. Only | the super-user may use this option. | Linux NetKit 0.09 August 30, 1996 Linux NetKit 0.09 \__ Da kann Dir aber jemand sehr böse werden... TÜS Sven Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: MTU
Ist zwar nur ein grober Überblick, aber versuch doch mal ping mit den Parametern -f und -l -f bedeutet don't fragment, sprich das Paket muss als ganzes durch die Ähm, wie meinen ? Also ich würde nicht gerade versuchen, www.suse.com zu fluten... Sorry, da unterscheiden sich Windows-Ping und Linux-Ping wohl doch etwas stärker :) Ich brauche das Flag nicht so häufig und hier auf meiner Dienst-Kiste ist der Parameter halt anders: Syntax: ping [-t] [-a] [-n Anzahl] [-l Größe] [-f] [-i Gültigkeitsdauer] [-v Diensttyp] [-r Anzahl] [-s Anzahl] [[-j Hostliste] | [-k Hostliste]] [-w Zeitlimit] Zielliste Optionen: -f Setzt Flag für Don't Fragment. TS Sven
- Re: MTU -
Prinzipiell nicht schlecht die Idee mit dem ping nur leider hat die AS/400 die Parameter nicht. Was mir so vorschwebte war eine Software die den Traffic mitschneidet und wo ich erkennen kann wenn ein Paket fragmentiert werden muß. Also bei einer MTU von 1500 auf der AS/400 und 1492 auf dem Router z.b. eine Auswertung wie erstes Paket 1492 Bytes 2 Paket nur 8 Bytes. mfg Gregor Schumacher --- Unser Firmenname hat sich geaendert! Hays Logistics GmbH ist nun K + P Logistik GmbH. Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! Our company name has changed! Hays Logistics GmbH is now K + P Logistik GmbH. Please change your e-mail contacts to the new e-mail-addresses!
Re: MTU
Hallo Gregor Schumacher, Gregor wrote: Kann ich unter Linux die MTU einer kompletten Strecke bestimmen: Heißt, ich habe lokal z.B. eine MTU von 1500 und irgend einer der Router auf dem Weg hat nur 1450 kann ich das feststellen? Du kannst z.B. mit ping Pakete absenden, die ein don't fragment Flag gesetzt haben. ICMP Destination Unreachable-Fragmentation Needed sollte bei Überschreitung der Packetgrösse zurückkommen. Für iputils-ping benütze: ping -M do -s packetgrösse host (Leider können nicht alle ping Programme das DF (don't fragment) Flag bedienen. Installiere z. B. iputils-ping, netkit-ping unterstützt es nämlich nicht!) Grüsse, Adrian.
Re: MTU
Sven May schrieb: Sorry, da unterscheiden sich Windows-Ping und Linux-Ping wohl doch etwas stärker :) | [EMAIL PROTECTED] ~ $ apt-cache showpkg linux-ping | W: Unable to locate package linux-ping | [EMAIL PROTECTED] ~ $ apt-cache showpkg ping | grep -A 20 Reverse Provides | Reverse Provides: | netkit-ping 0.10-9 | iputils-ping 3:20020927-2 | inetutils-ping 2:1.4.2+20040207-3 Ciao Walter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: - Re: MTU -
Schumacher, Gregor schrieb: Prinzipiell nicht schlecht die Idee mit dem ping nur leider hat die AS/400 die Parameter nicht. Was mir so vorschwebte war eine Software die den Traffic mitschneidet und wo ich erkennen kann wenn ein Paket fragmentiert werden muß. Also bei einer MTU von 1500 auf der AS/400 und 1492 auf dem Router z.b. eine Auswertung wie erstes Paket 1492 Bytes 2 Paket nur 8 Bytes. mfg Gregor Schumacher Meinst du nicht das du in einer AS/400 Newsgrub besser aufgehoben bist ? Immerhin ist eine AS/400 eine `Besondere Hardware´ . Mit freundlichen Grüßen Dirk Finkeldey --- Unser Firmenname hat sich geaendert! Hays Logistics GmbH ist nun K + P Logistik GmbH. Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! Our company name has changed! Hays Logistics GmbH is now K + P Logistik GmbH. Please change your e-mail contacts to the new e-mail-addresses!
[dsl] MTU setzen
Moin, ich hab bei mir einen Server laufen, der über DSL mit dem Internet verbunden ist. Die Firewall soll das lästige Problem mit der MTU regeln. Etwas weiter unten hat Arno Zielke geschrieben: $IPTABLES -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN \ -j TCPMSS --clamp-mss-to-pmtu In dem Script, das die c't vor einiger Zeit mal veröffentlicht hat [1], wird jedoch $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS \ --clamp-mss-to-pmtu vorgeschlagen. Kann mir jemand den Unterschied erklären und eine Empfehlung abgeben, was man besser verwenden sollte? Vielen Dank, Gruß Heiner P.S. [1] http://www.heise.de/security/artikel/38220/4 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU Wert einstellen (Ethernet)
Am 23.04.2004 um 18:59 schrieb Elmar W. Tischhauser: Die Datei ist grundsätzlich schon die Richtige :-). In testing und unstable kann man die MTU tatsächlich mit `mtu 1454' einstellen, für Woody würde ich ein '/sbin/ifconfig ethX mtu 1454' als `up'-Kommando angeben (für Details siehe interfaces(5)). snip Wunderbar. ifup eth1 mtu 1454 funktioniert. Nur wie bekomme ich das automatisch? /etc/network/interfaces iface eth1 inet static mtu 1454 address 192.168 netmask ... das funktioniert schon mal nicht. Vielen Dank für Hilfe. Robert Welz
Re: MTU Wert einstellen (Ethernet)
On Sat, 24 Apr 2004 10:05:18 +0200 R. Welz wrote: ifup eth1 mtu 1454 funktioniert. Nur wie bekomme ich das automatisch? /etc/network/interfaces iface eth0 inet static address 192.168.1.2 [...] up/sbin/ifconfig eth0 mtu 1454 -- David pgp0.pgp Description: PGP signature
MTU Wert einstellen (Ethernet)
Hallo. Ich möchte den MTU-Wert für meine NICs auf 1454 einstellen. Ich habe /etc/network/interfaces bearbeitet, aber ohne Erfolg. auto eth1 iface eth1 inet static adress bla netmask bla ... MTU='1454' auch mit mtu='1454' oder mtu 1454 hatte ich keinen Erfolg. Bin ich in der falschen Datei? Vielen Dank für eine Lösung! Gruss, Robert
Re: MTU Wert einstellen (Ethernet)
Hallo. Ich möchte den MTU-Wert für meine NICs auf 1454 einstellen. Ich habe /etc/network/interfaces bearbeitet, aber ohne Erfolg. /etc/ppp/peers/dsl-provider bzw. die Konfig-Datei für deine Verbindung -- Gruss Holger == Created with Sylpheed 0.9.6-claws under Debian GNU LINUX 3.0 Woody. Registered LinuxUser #311290 Spam filtering powered by Spamassassin.org ==
Re: MTU Wert einstellen (Ethernet)
Am 23.04.2004 um 12:42 schrieb Holger Wansing: Hallo. Ich möchte den MTU-Wert für meine NICs auf 1454 einstellen. Ich habe /etc/network/interfaces bearbeitet, aber ohne Erfolg. /etc/ppp/peers/dsl-provider bzw. die Konfig-Datei für deine Verbindung Ich brauche das fürs LAN (Ethernet), nicht für ppp. PPP ist doch das, womit man ein Telefonmodem betreibt? ratlos... Gruss, Robert -- Gruss Holger == Created with Sylpheed 0.9.6-claws under Debian GNU LINUX 3.0 Woody. Registered LinuxUser #311290 Spam filtering powered by Spamassassin.org ==
Re: MTU Wert einstellen (Ethernet)
Hallo! On 23 Apr 2004 at 10:27 +0200, R. Welz wrote: Ich möchte den MTU-Wert für meine NICs auf 1454 einstellen. Ich habe /etc/network/interfaces bearbeitet, aber ohne Erfolg. [...] auch mit mtu='1454' oder mtu 1454 hatte ich keinen Erfolg. Bin ich in der falschen Datei? Die Datei ist grundsätzlich schon die Richtige :-). In testing und unstable kann man die MTU tatsächlich mit `mtu 1454' einstellen, für Woody würde ich ein '/sbin/ifconfig ethX mtu 1454' als `up'-Kommando angeben (für Details siehe interfaces(5)). Gruß, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ··· An algorithm must be seen to be believed.-- Donald E. Knuth pgp0.pgp Description: PGP signature
Re: MTU wird ignoriert
Michael Renner [EMAIL PROTECTED] writes: davon abgesehen dass ich nicht glaube dass eine herabgesetzte MTU dein Problem behebt: Da lagst Du richtig, es handelte sich anscheinend um eine defekte Netzwerkkarte. Trotzdem danke! -- Viele Menschen sind zu gut erzogen, um mit vollem Mund zu sprechen, aber sie haben keine Bedenken, es mit leerem Kopf zu tun. Oscar Wilde -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
MTU wird ignoriert
Hallo! In meinem LAN werden mehrere Rechner (alles Debian) von einem Woody-Router per NAT versorgt. Das funktioniert auch ganz gut, es gibt allerdings Probleme, wenn mehrere Hosts gleichzeitig ins Netz wollen. Die Verbindung ist dann sehr überlastet, teilweise startet der pppd auch ganz neu. Nun kam mir die Idee, daß es an den unterschiedlichen MTU-Werten für DSL (1492) und den Rest des Netzes (1500) liegen könnte. Allerdings gestaltet sich die Umstellung auf 1492 im gesamten Netz als äussert schwierig: - Ein Eintrag wie mtu 1492 in der /etc(network/interfaces wird ignoriert - Es ist mir nicht möglich, diesen MTU-Wert per dhcpd zu verteilen. Meine Frage jetzt: Kann meine Annahme (Problem MTU) überhaupt zutreffen und wenn ja, wie bringe ich die Rechner dazu, ausschliesslich die neue zu benutzen? Danke im Voraus Stephan -- /\ \ / *A*venturicarum *S*ignum *C*orpus *I*nvariabiliter *I*nstauratus x Ribbon campain Say NO to HTML in email, news and magic books / \ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU wird ignoriert
On Thursday 05 February 2004 12:32, Stephan Windmüller wrote: Moin, - Ein Eintrag wie mtu 1492 in der /etc(network/interfaces wird ignoriert - Es ist mir nicht möglich, diesen MTU-Wert per dhcpd zu verteilen. davon abgesehen dass ich nicht glaube dass eine herabgesetzte MTU dein Problem behebt: Versuche die mtu im DHCP-Server in einer option-Zeile anzugeben. Dann (!) schreibe ein Script für die Clients die nach Vergabe der Daten vom DHCP-Server die MTU auswertet in entsprechend 'ifconfig' aufruft. CU -- |Michael Renner E-mail: [EMAIL PROTECTED] | |D-72072 Tuebingen GermanyICQ: #112280325 | |Germany Don't drink as root! ESC:wq -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
dsl und mtu
hallo, ich habe vor kurzem eine DSL-Verbindung erhalten, mit der ich mein LAN mit dem Internet verbinden will. Dazu habe ich einen Router (Debian Woody) installiert. Die Verbindung funktioniert vom Router zum Internet und auch ins LAN, aber nicht vom LAN ueber Router ins Internet. Ich habe gelesen das die mtu auf 1412 gesetzt werden soll. Das DSL-Modem ist mit der NIC eth1 verbunden. Dieser wird keine IP zugewiesen, sondern dem Geraet ppp0 wird dynamisch eine IP zugewiesen. Wie muessen die mtu's angepasst werden? (eth1 hat 1500, ppp0 hat mtu 1492) In welche Konfigurationsdateien schreib ich die Werte? tom -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: dsl und mtu
Hallo Thomas, On Sat, 26 Jul 2003 15:08:12 +0200 Thomas Fischer [EMAIL PROTECTED] wrote: hallo, Ich habe gelesen das die mtu auf 1412 gesetzt werden soll. Das DSL-Modem ist mit der NIC eth1 verbunden. Dieser wird keine IP zugewiesen, sondern dem Geraet ppp0 wird dynamisch eine IP zugewiesen. Wie muessen die mtu's angepasst werden? (eth1 hat 1500, ppp0 hat mtu 1492) In welche Konfigurationsdateien schreib ich die Werte? iptables und Google sollten Dir weiterhelfen können, Stichwort clamp-mss-to-pmtu Gruß Jörg -- Jörg Schütter http://www.lug-untermain.de/ http://www.schuetter.org/joerg/ [EMAIL PROTECTED] http://mypenguin.bei.t-online.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
MTU verändern ?`????
[EMAIL PROTECTED] ich möchte meinen MTU Wert verändern, kann mir da jemand helfen? Protokoll:Ethernet Hardware Adresse 00:80:C8:DA:4F:73 inet Adresse:10.19.97.1 Bcast:10.19.97.255Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU verändern ?`????
On Monday 14 July 2003 01:01, help me wrote: [EMAIL PROTECTED] ich möchte meinen MTU Wert verändern, kann mir da jemand helfen? Und ich moechte, dass du einen vernuenftigen Absendernamen angibst. Protokoll:Ethernet Hardware Adresse 00:80:C8:DA:4F:73 inet Adresse:10.19.97.1 Bcast:10.19.97.255Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 /etc/network/interfaces: iface eth0 inet static address 192.168.0.1 netmask 255.255.255.0 mtu 1490 Das naechste mal bitte vorher zumindest Google befragen. Viele Gruesse, Patrick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU verändern ?`????
JA JA JA verstehst du keinen Spaß? Patrick Schnorbus wrote: On Monday 14 July 2003 01:01, help me wrote: [EMAIL PROTECTED] ich möchte meinen MTU Wert verändern, kann mir da jemand helfen? Und ich moechte, dass du einen vernuenftigen Absendernamen angibst. Protokoll:Ethernet Hardware Adresse 00:80:C8:DA:4F:73 inet Adresse:10.19.97.1 Bcast:10.19.97.255Maske:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 /etc/network/interfaces: iface eth0 inet static address 192.168.0.1 netmask 255.255.255.0 mtu 1490 Das naechste mal bitte vorher zumindest Google befragen. Viele Gruesse, Patrick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
pppoe, mtu und clamping
Hallo Liste, ich habe hier ein kleines Problem mit meinem DSL-Zugang. Anfang des Jahres habe ich mir einen neuen Rechner gekauft. Dieser neue PC ist jetzt mein neuer Arbeitsrechner. Der alte PC soll weiterhin Router und Firewall spielen. Seit letzter Woche versuche ich vergeblich meine Homepage bei 1und1 zu aktualiseren. Zuerst vermutete ich ein Problem auf Seiten des Hosters. Heute habe ich mal versucht die geänderte Homapage vom Router via ftp zu aktualisieren, was auch tadellos funktioniert hat. Vom Arbeitsrechner habe ich Probleme die große Datei (12371 Bytes) zu aktualisieren. Da der Upload vom Router funktioniert, vermute ich, dass das Problem mit der MTU und PPPoE zusammenhängt. Das Firewall-Script enthält folgende Zeile: iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \ -j TCPMSS --clamp-mss-to-pmtu pppoe wird mit der Option -m 1452 aufgerufen. In der Datei /etc/ppp/peers/dsl-provider werden mtu und mru auf 1492 festgesetzt. Das scheint aber wohl nicht klein genug zu sein. Also habe ich mal versucht die Grenze auszuloten. ping -s 1472 www.schuetter.org -- 1472 scheint die maximale Größe zu sein. Also mal alle Werte um 20 vermindern mtu 1472 mru 1472 pppoe -m 1432 Das war's aber leider noch nicht (pppoe neu geladen und ebenfalls firewall-script neu durchgestartet). Nochmals alles um 20 verringert -- Fehler bleibt bestehen. Was habe ich übersehen? Gruß Jörg -- http://www.lug-untermain.de/ - http://mypenguin.bei.t-online.de/ Dipl.-Ing. Jörg Schütter [EMAIL PROTECTED] msg36907/pgp0.pgp Description: PGP signature
Re: pppoe, mtu und clamping
Hi! Was habe ich übersehen? Das Connection-Tracking bzw. NAT für FTP? Gruß, Harry [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Probleme mit der Netzwerkkarte (Was: pppoe, mtu und clamping)
On Tue, 18 Feb 2003 16:52:54 +0100 Harald Sauff [EMAIL PROTECTED] wrote: Hi! Was habe ich übersehen? Das Connection-Tracking bzw. NAT für FTP? Nö, ist geladen. Habe eben mal das ganze von einem weiteren PC hinter dem Router versucht. Hat auf Anhieb funktioniert. Daraufhin hab ich mal ethereal auf die Netzwerkkarten losgelassen. Und siehe da, das Ethernet-Interface des Routers schickt das Antwortpaket vom Hoster weiter, am Ethernet-Interface meines Arbeitsplatzes kommt es aber erst 3 (in Worten: drei) Sekunden später an. Laut dem Switch laufen alle Verbindungen auf 100 full-duplex. Weder Switch noch ifconfig zeigen Collisions an. Die Netzwerkkarte wird beim Booten erkannt: via-rhine.c:v1.10-LK1.1.14 May-3-2002 Written by Donald Becker http://www.scyld.com/network/via-rhine.html eth0: VIA VT6102 Rhine-II at 0xdc00, 00:e0:18:ac:f2:d8, IRQ 11. eth0: MII PHY found at address 1, status 0x786d advertising 05e1 Link 45e1. eth0: MII PHY found at address 2, status 0x8000 advertising Link 8000. eth0: MII PHY found at address 3, status 0x8000 advertising Link 8000. eth0: MII PHY found at address 4, status 0x8000 advertising Link 8000. Seltsam, ist es normal, dass die Karte mehrere Adressen hat? Gruß Jörg -- http://www.lug-untermain.de/ - http://mypenguin.bei.t-online.de/ Dipl.-Ing. Jörg Schütter [EMAIL PROTECTED] msg36922/pgp0.pgp Description: PGP signature
MTU einstellen
Hallo Liste, wo kann ich die MTU einstellen? Mit 'ifconfig' bzw. 'pppoed' o. ae. ist mir das schon klar. Ich suche aber die Moeglichkeit, dass die MTU automatisch beim Hochfahren auf 1492 zurueckgestellt wird - ohne den 'pppoed', da es sich um keinen direkten ADSL-Anschluss handelt. In der '/etc/network/interfaces' habe ich es versucht, leider ohne Erfolg. Holger -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU einstellen
On Tue, Jun 11, 2002 at 04:20:37PM +0200, Holger Decker wrote: Hallo Liste, sali, wo kann ich die MTU einstellen? auch in der interfaces. Mit 'ifconfig' bzw. 'pppoed' o. ae. ist mir das schon klar. Ich suche aber die Moeglichkeit, dass die MTU automatisch beim Hochfahren auf 1492 zurueckgestellt wird - ohne den 'pppoed', da es sich um keinen direkten ADSL-Anschluss handelt. In der '/etc/network/interfaces' habe ich es versucht, leider ohne Erfolg. probier mal in der /etc/network/interfaces folgendes bei deinem device: up ifconfig eth0 mtu 1492 man 5 interfaces -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU einstellen
On Tue, 11 Jun 2002 16:20:37 +0200, Holger Decker wrote: wo kann ich die MTU einstellen? Mit 'ifconfig' bzw. 'pppoed' o. ae. ist mir das schon klar. Ich suche aber die Moeglichkeit, dass die MTU automatisch beim Hochfahren auf 1492 zurueckgestellt wird - ohne den 'pppoed', da es sich um keinen direkten ADSL-Anschluss handelt. In der '/etc/network/interfaces' habe ich es versucht, leider ohne Erfolg. in man interfaces steht: -- IFACE OPTIONS There are currently three standard options available for all interfaces, regardless of address family or method. These are: up command Run command after bringing the interface up. This option can be given multiple times for a single interface. If so, the commands will be executed in order. If one of the commands fails, none of the others will be executed, but the interface will remain configured. (You can ensure a command never fails by suffixing || true.) ich würde up /sbin/ifconfig eth0 mtu xxx in der /etc/network/interfaces probieren. Reinhard -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU/TDSL - nicht Debian spezifisch
On Sat, 20 Apr 2002 01:12:18 +0200 J [EMAIL PROTECTED] wrote: Waldemar Gorus wrote: Ok, etwas habe ich auch schon selbst rausgefunden. MTU kleiner als 1492 ist nicht noetig. Das Problem mit dem Windowsrechner bleibt aber. Nein, der Wert sollte 1452 betragen. Mit 1492 funktionieren fast alle Seiten. Bei 1492 gibt es halt Probleme bei bestimmten Seiten (z.B. www.telekom.de). Oder irre ich mich da? Außerdem scheint ja iptables das MSSClamping zu beherrschen, um auch Pakete mit MTU1500 handhaben zu können. Leider benutz ich Ipchains, hat jemand eine andere Loesung?? ich nutzte hier 2.2.19 Kernel, pppoed und ipchains. Kein Probleme. Bis vor kurzem hatte ich die Probleme auch nicht. Dieses Problem trat plötzlich auf. Ich würde ja den Provider fragen, aber die Telekom wird auf T-online verweisen, und bis ich dort was erfahre ... bin ich Pleite. Ich habe erstmal einen Proxy Cache eingerichtet. Die Windose benötigt eigentlich nur http, und auf den Linuxkisten habe ich die MTU per Hand auf 1492 runtergeschraubt. ciao walde -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU/TDSL - nicht Debian spezifisch
Ok, etwas habe ich auch schon selbst rausgefunden. MTU kleiner als 1492 ist nicht noetig. Das Problem mit dem Windowsrechner bleibt aber. Außerdem scheint ja iptables das MSSClamping zu beherrschen, um auch Pakete mit MTU1500 handhaben zu können. Leider benutz ich Ipchains, hat jemand eine andere Loesung?? ciao Walde On Fri, 19 Apr 2002 20:07:43 +0200 [EMAIL PROTECTED] (Waldemar Gorus) wrote: Hallo, erstmal tschuldigung, daß ich hier ein nicht-Debianspezifisches problem maile. Ich habe einen potato Gateway mit ipchains (u. masquerading modul) an einem TDSL-Anschluß und 4 Clients (3 x Debian und mein Mitbewohni hat Windows). Seit Vorgestern kann ich mit den Clients keine Verbindung mehr ins Netz aufbauen. DNS funktioniert, sowie die ICMP - Dienste, aber kein Abrufen von Webseiten oder anderen Dienste (z.B. Newsgroupmails :-)). Offensichtlich liegt es an der MTU. Ein runtersetzen der MTU der Clientnetzwerkkarten ermöglichte mir wieder den Internetzugang (auf dem Server funktioniert dieser einwandfrei). Bei den Windowsrechner konnte ich die MTU - nicht runterschrauben, da ich keinen passenden Eintrag innerhalb der Netzwerkeinstellungen gefunden habe. Und da die Telekom ein Blackhole betreibt Ich möchte eigentlich auch nicht, jede MTU runterschrauben müssen. Das sollte das Gateway doch auch erledigen koennen, oder nicht? Innerhalb der .../peers/connection steht der Eintrag MTU auf 1452 auch ein Runtersetzen auf 1400 hat leider nichts gebracht. Außerdem erhalte ich neuerdingsw beim reloggen (also ppp restart) folgende Meldung: Remote message: 0030 PSDTM001 0038015459 session limit exceeded Die ist mir bisher noch nicht untergekommen, und besagt doch eigentlich ich sei noch eingeloggt. Jedenfalls taucht das erst seit ein paar Tagen auf Die dauert dann eine Minute oder zwei, bis ich mich wieder einloggen kann. Weiß jemand Rat??? ciao Walde -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU/TDSL - nicht Debian spezifisch
Waldemar Gorus ([EMAIL PROTECTED]) schrieb: Ok, etwas habe ich auch schon selbst rausgefunden. MTU kleiner als 1492 ist nicht noetig. Das Problem mit dem Windowsrechner bleibt aber. http://www.google.de/search?q=windows+mtu+registryhl=debtnG=Google-Suche evtl noch: http://sdb.suse.de/de/sdb/html/cg_pmtu2.html ... mfG Johannes msg06220/pgp0.pgp Description: PGP signature
Re: MTU/TDSL - nicht Debian spezifisch
Waldemar Gorus wrote: Ok, etwas habe ich auch schon selbst rausgefunden. MTU kleiner als 1492 ist nicht noetig. Das Problem mit dem Windowsrechner bleibt aber. Außerdem scheint ja iptables das MSSClamping zu beherrschen, um auch Pakete mit MTU1500 handhaben zu können. Leider benutz ich Ipchains, hat jemand eine andere Loesung?? ciao Walde Hallo, solltest Du den Roaring Penguin für TDSL benutzen, dann trage in die pppoe.conf ein CLAMPMSS=1412 ein. Die Telekom empfahl damals in ihrer Anleitung 1412 zu verwenden. Dann noch ein adsl-stop; adsl-start und das Problem sollte nicht mehr existieren. Was es mit Deiner Logmeldung auf sich hat, weiss ich aber auf Anhieb auch nicht. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: MTU/TDSL - nicht Debian spezifisch
Waldemar Gorus wrote: Ok, etwas habe ich auch schon selbst rausgefunden. MTU kleiner als 1492 ist nicht noetig. Das Problem mit dem Windowsrechner bleibt aber. Nein, der Wert sollte 1452 betragen. Außerdem scheint ja iptables das MSSClamping zu beherrschen, um auch Pakete mit MTU1500 handhaben zu können. Leider benutz ich Ipchains, hat jemand eine andere Loesung?? ich nutzte hier 2.2.19 Kernel, pppoed und ipchains. Kein Probleme. ciao Walde -- bis dann -ja http://www.arlandt.de Diese Mail wurde auf Viren getestet (siehe erweiterte Mailheader). -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)