Re: OpenVPN / Firewallproblem oder MTU?

[Marc Blumentritt]

Martin Müller - Rudolf Hausstein OHG schrieb:

 iptables -A sperre -p tcp --dport 1194 -j ACCEPT

 
 Könnt ihr mir sagen, ob ich hier irgendwo einen Widerspruch eingebaut habe?
 
 
 Zur Sicherheit auch noch den Anfang meiner OpenVPN-Server-Conf:
 
 port 1194
 proto udp
 dev tap0
 tun-mtu 1500
 fragment 1300
 mssfix 1300
 

Protokol udp / Firewall erlaubt aber nur tcp.


Dein tap0 device darf empfangen, OUTPUT setzt du sowieso auf ACCEPT.
Hier blockt deine Firewall also nicht. so dass es funktionieren sollte,
wenn du von tcp auf udp in der Firewall umschaltest:

iptables -A sperre -p udp --dport 1194 -j ACCEPT

Grüße
Marc


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

OpenVPN / Firewallproblem oder MTU?

[Martin Müller - Rudolf Hausstein OHG]

Hallo zusammen!

Ich hab hier OpenVPN installiert, der Verbindungsaufbau klappt an sich 
(Zertifikate sind in Ordnung), nur leider passierts beim TSL-handshake ...


Tunnelblick unter OsX meint:

  TLS key nego failed to occur within 60 secs

OpenVPN-Client unter Windows meint

  ead UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

und IP-Traf, das am OpenVPN-Server läuft meint:

  ICMP dest unrch (port) (70 bytes) from 83.64.XXX.XXX to 
83.64.XXX.XXX on eth1



Dazu gibts auch unter openvpn.net schöne Hinweise:

• A perimeter firewall on the server's network is filtering out incoming 
OpenVPN packets (by default OpenVPN uses UDP or TCP port number 1194).
• A software firewall running on the OpenVPN server machine itself is 
filtering incoming connections on port 1194. Be aware that many OSes 
will block incoming connections by default, unless configured otherwise.
• A NAT gateway on the server's network does not have a port forward 
rule for TCP/UDP 1194 to the internal address of the OpenVPN server machine.
• The OpenVPN client config does not have the correct server address in 
its config file. The remote directive in the client config file must 
point to either the server itself or the public IP address of the server 
network's gateway.



Punkt 1, 3  4 kann ich ausschließen, Punkt 2 nicht.
Ich poste mal meine FW:



#! /bin/sh

echo 1  /proc/sys/net/ipv4/ip_forward # Initialisierung des Forwardings

# Flushen, L?schen, Neuerstellung - nicht vergessen im Script! #

echo Flushing Tables and initialize new ones...
iptables -F
iptables -F -t nat

iptables -F sperre
iptables -X sperre
iptables -N sperre
iptables -F sperre

# first contact #
#
echo Some basic locks...
# Alles aus dem lan ohne passende IP wegwerfen
iptables -A sperre -i eth0 -s ! 192.168.100.0/255.255.255.0 -j DROP
# Sonst alles von eth0 erlauben (Hier sollte man aufpassen, was man den 
Usern gew?hren will und sich vor Trojanern sch?tzen.)

iptables -A sperre -i eth0 -j ACCEPT
# F?r Loopback wir immer alles erlaubt ausser von nicht 127.0.0.1
iptables -A sperre -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Alles aus dem Inet mit meinen IPs werwerfen
iptables -A sperre -i eth1 -s 192.168.100.0/255.255.255.0 -j DROP

# acceptstuff #
###
echo Now the services which are allowed...
# SSH erlauben
iptables -A sperre -p tcp --dport 22 -j ACCEPT
# ftp erlauben
iptables -A sperre -p tcp --dport 20 -j ACCEPT
iptables -A sperre -p tcp --dport 21 -j ACCEPT
# SMTP erlauben
iptables -A sperre -p tcp --dport 25 -j ACCEPT
iptables -A sperre -p tcp --dport 26 -j ACCEPT
# DNS erlauben
iptables -A sperre -p udp --dport 53 -j ACCEPT
# HTTP erlauben
iptables -A sperre -p tcp --dport 80 -j ACCEPT
# POP3 erlauben
iptables -A sperre -p tcp --dport 110 -j ACCEPT
# IMAP erlauben
iptables -A sperre -p tcp --dport 143 -j ACCEPT
# ICQ Ports erlauben
# iptables -A sperre -p tcp --dport 4100:4115 -j ACCEPT
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT
iptables -A sperre -p tcp --dport 1194 -j ACCEPT
#eDonkey erlauben
iptables -A sperre -p tcp --dport 4662 -j ACCEPT

# Antworten zulassen #
##
iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT

# Alles andere abweisen (RFC-konform) #
###
echo Reject everything else...
iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset
iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable

# sperre aktivieren #
#
echo Activating firewall...
iptables -A INPUT -j sperre
iptables -A FORWARD -j sperre
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Ausgehende Pakete vom Server immer akzeptieren
iptables -P OUTPUT ACCEPT
iptables -P OUTPUT ACCEPT -t nat

# NAT #
###
echo Activating NAT...
iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE


echo Firewall finally started!




Könnt ihr mir sagen, ob ich hier irgendwo einen Widerspruch eingebaut habe?


Zur Sicherheit auch noch den Anfang meiner OpenVPN-Server-Conf:

port 1194
proto udp
dev tap0
tun-mtu 1500
fragment 1300
mssfix 1300

Die MTU ist auf allen Interfaces auf 1500 eingestellt.


Vielen Dank für Eure Hilfe!


Martin


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OpenVPN / Firewallproblem oder MTU?

[Martin Reising]

On Tue, Apr 18, 2006 at 07:04:43PM +0200, Martin Müller - Rudolf Hausstein OHG 
wrote:

 iptables -A sperre -p tcp --dport 1194 -j ACCEPT

Bei mir lausch openvpn auf UDP 1194 und nicht auf TCP.

Was sagt denn netstat -an | grep 1194 bei dir?
-- 
Nicht Absicht unterstellen, wenn auch Dummheit ausreicht!


pgpjKM4xqVvvx.pgp
Description: PGP signature

Re: OT:Schlechte Verbindung wegen MTU?

[ljahn]

 _Derzeit_ hat Arcor das merkwürdige Problem, das alles über 588 (584 bei
 DSL) nicht funktioniert.
Ja, hier in Berlin gab es gestern bei mir mit Arcor DSL 2000 auch Probleme.

Lars

Re: OT:Schlechte Verbindung wegen MTU?

[Sebastian Laubscher]

Hallo,

On 12/5/05, ljahn [EMAIL PROTECTED] wrote:
  _Derzeit_ hat Arcor das merkwürdige Problem, das alles über 588 (584 bei
  DSL) nicht funktioniert.
 Ja, hier in Berlin gab es gestern bei mir mit Arcor DSL 2000 auch Probleme.
Wir hatten in Heidelberg ernsthafte Probleme; komplette
Server-Bereiche nicht erreichbar. Waehre fast nach Nuernberg ins RZ
gefahren, nur weil Arcor irgendwo was kaputt gemacht hat.

Aber bei den ganzen MTU-Ideen tippe ich mitlerweile stark auf eine
falsch konfigurierte MPLS-Strecke.

--
Sebastian Laubscher

Recent studies suggest that running /usr/bin/coffee from cron at
regular intervals can be more effective at enhancing uptime than
launching a big coffeed process at startup.

Re: OT:Schlechte Verbindung wegen MTU?

[Torsten Geile]

Sebastian Laubscher schrieb:


Hallo,

On 12/5/05, ljahn [EMAIL PROTECTED] wrote:
 


_Derzeit_ hat Arcor das merkwürdige Problem, das alles über 588 (584 bei
DSL) nicht funktioniert.
 


Ja, hier in Berlin gab es gestern bei mir mit Arcor DSL 2000 auch Probleme.
   


Wir hatten in Heidelberg ernsthafte Probleme; komplette
Server-Bereiche nicht erreichbar. Waehre fast nach Nuernberg ins RZ
gefahren, nur weil Arcor irgendwo was kaputt gemacht hat.


 

Jetzt ist jedenfalls der Upload wieder im normalen Bereich, aber 
Download ist weniger als akzeptabel.
Wenn ich so die Leute höre, die bei der Telekom sind, dann gerate ich 
fast in Versuchung bald wieder zu wechseln (:-(

OT:Schlechte Verbindung wegen MTU?

[Torsten Geile]

Hi,

habe seit Wochen zuhause eine schlechte Anbindung ans Internet. Gehe 
über Arcor rein. Hin und wieder bricht die Verbindung komplett ab und 
die Down- und uoloadraten sind echt mies, zumindest für DSL 6000 
Verhältnisse. Konnte mir bisher keinen Reim drauss machen, bis aufeinmal 
seit gestern auch einzelne Seiten nicht ansurfbar waren, bzw. Meldungen 
kamen, wie Ducument contains no data. Da kam mir doch gleich in den 
Sinn, mal nach der MTU auf dem Router zu schauen.


Mit ping -c5 -s 1492 www.heise.de gab es kein reply. Egal wie weit 
runter ich gehe,es tut sich nichts. Erst bei einem Wert von 584 geht es 
wieder. Das ist ja definitiv zu wenig und auch nicht normal. Kann dies 
an meiner Hardware liegen, hat Arcor da ein Problem, oder wo sonst kann 
los sein ?


Ifconfig ppp0 ergibt folgendes:

ppp0  Link encap:Point-to-Point Protocol
 inet addr:82.82.188.21  P-t-P:82.82.160.1  Mask:255.255.255.255
 UP POINTOPOINT RUNNING NOARP  MTU:1492  Metric:1
 RX packets:98891 errors:0 dropped:0 overruns:0 frame:0
 TX packets:61552 errors:0 dropped:0 overruns:0 carrier:0
 collisions:0 txqueuelen:3
 RX bytes:67724334 (64.5 MB)  TX bytes:8091206 (7.7 MB)

Gruß

Torsten

Re: OT:Schlechte Verbindung wegen MTU?

[Sven Hartge]

Torsten Geile [EMAIL PROTECTED] wrote:

 Mit ping -c5 -s 1492 www.heise.de gab es kein reply. Egal wie weit
 runter ich gehe,es tut sich nichts. Erst bei einem Wert von 584 geht
 es wieder. Das ist ja definitiv zu wenig und auch nicht normal. Kann
 dies an meiner Hardware liegen, hat Arcor da ein Problem, oder wo
 sonst kann los sein ?

_Derzeit_ hat Arcor das merkwürdige Problem, das alles über 588 (584 bei
DSL) nicht funktioniert.

Update: Gerade funktioniert auch 1500 (1496/1492 bei DSL) wieder.
Vermutlich irgendwelche Bauarbeiten im Core-Netz von Arcor.

S°

-- 
Sven Hartge -- professioneller Unix-Geek 
Meine Gedanken im Netz: http://sven.formvision.de/blog/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Setting MTU size for ppp0

[Manfred Sindhoff]

Sven Nielsen wrote:
This perhaps needs a little more in-depth knowledge:
I am trying to limit MTU size on ppp0 to below 1492 (that is, I want 
1412) because my (new) linux machine has to masquerade for my roommate 
(winXP home). I set up pppoe with pppoeconf which configures MTU for 
ppp0 to 1492.

I did manage to set up masquerading:
#iptables -t nat -A POSTROUTING -j MASQUERADE
#echo 1  /proc/sys/net/ipv4/ip_forward
Masquerading works fine.
No other rules configured in no other tables and/or chains.
(I haven´t secured this setup yet, so no other rules present.)
PROBLEM IS: my attempts to limit MTU to 1412 are ignored.
tried adding mtu 1412 to
/etc/ppp/peers/dsl-provider
/etc/ppp/options
still, after reboot or after poff - ifdown - ifup - pon dsl-provider, 
ifconfig always reports ppp0 with MTU: 1492. Also tried #pppd noauth mtu 
1412 while ppp0 is already active, no effect.

Is some other script overriding my attempts ?
The reason I want to limit MTU is also a special one. My rommmate gets 
access to every page, EXCEPT ebay!, and I (randomly) guess this to be 
connected with MTU size. If I am wrong I will have to dig for some other 
reason, but this is another problem to be solved later.

Anybody any clue why setting MTU is ignored ??
Is it really ignored? I'm not shure - on my router ifconfig 
reports the same as yours, but ps shows /usr/sbin/pppoe -I eth1 
-T 80 -m 1452.

What you should try is calling iptables with this line:
#iptables  -I FORWARD  -p tcp  --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu
This is called MSS-clamping and influences the amount of data per 
TCP packet.

Might help in the situation you describe.
fred

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Setting MTU size for ppp0

[Sven Nielsen]

This perhaps needs a little more in-depth knowledge:
I am trying to limit MTU size on ppp0 to below 1492 (that is, I want 1412) because my (new) linux machine has 
to masquerade for my roommate (winXP home). I set up pppoe with pppoeconf which configures MTU for ppp0 to 1492.

I did manage to set up masquerading:
#iptables -t nat -A POSTROUTING -j MASQUERADE
#echo 1  /proc/sys/net/ipv4/ip_forward
Masquerading works fine.
No other rules configured in no other tables and/or chains.
(I haven´t secured this setup yet, so no other rules present.)
PROBLEM IS: my attempts to limit MTU to 1412 are ignored.
tried adding mtu 1412 to
/etc/ppp/peers/dsl-provider
/etc/ppp/options
still, after reboot or after poff - ifdown - ifup - pon dsl-provider, ifconfig always reports ppp0 with 
MTU: 1492. Also tried #pppd noauth mtu 1412 while ppp0 is already active, no effect.

Is some other script overriding my attempts ?
The reason I want to limit MTU is also a special one. My rommmate gets access to every page, EXCEPT ebay!, and 
I (randomly) guess this to be connected with MTU size. If I am wrong I will have to dig for some other reason, 
but this is another problem to be solved later.

Anybody any clue why setting MTU is ignored ??
Thanks for the help !
PS: I am a newbie, although sitting at my machine 24/7 the last two weeks did help a little to dig into my new 
wunderful linux :-) . BTW, using Ubuntu AMD64 (in native 64bit-mode) with self-compiled 2.6.x kernel.

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU -

[Martin Werthmoeller]

Am Wed, 29 Sep 2004 um 19:16 GMT +0200 schrieb Richard Verwayen:
 
  
  Du hast natürlich recht, daß seitens des Kunden die einzige Lösung darin
  besteht, seine MTU entsprechend herunterzusetzen.
 
 Stimmt! Aber ich kann dir versichern, das es nicht an irgendwelchen 
 Firewall-Regeln liegt!
 
Nicht an Deinen Regeln. Die Gegenseite hat die Packetfilter nicht korrekt
konfiguriert.

 
 Wo ist der Unterschied zwischen 
 
 ebay.de (erreichbar mit mtu 1492)
 und
 commerzbank.de, map24.de, deutsche-bank.de (mtu 1492 = geht nicht) ?
 
Die Gegenseite schickt Dir Pakete mit einer zu großen MTU für PPPoE. Der
Router schickt eine ICMP-Message zurück, die bei der Gegenseite nicht bis
zum Server durchkommt. Wenn Du die MTU deines Interfaces heruntersetzt
werden direkt Pakete mit dieser MTU verschickt. Beim TCP-Verbindungsaufbau
setzt Deine Woody-Maschine die MSS (Maximum Segment Size) Option im TCP
Header. Diese teilt der Gegenseite mit, welche maximale Paketgröße die
Maschine annehmen kann. Bei einer kleineren MTU wird die MSS vom
Betriebssystem entsprechend verkleinert.  Der Server auf der Gegenseite
schickt entsprechend kleinere Pakete, die nicht fragmentiert werden
müssen.

Es wäre allerdings sinnvoller die Betreiber kaputter Setups würden Ihre
Systeme ordentlich konfigurieren. Leider wird deren Verhalten durch solche
Workarounds weiter gestützt. Das ist genau so wie irgendwelche Optionen in
der Apache mod_ssl Konfiguration, die nur dazu da sind um b0rken MSIE
Clients den Zugriff per HTTP/TLS zu ermöglichen.

Viele Grüße,
martin

-- 
LWsystems - Systemübergreifende IT-Beratung und Service
[EMAIL PROTECTED]
http://lw-systems.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

AW: - Re: MTU -

[Schumacher, Gregor]

Prinzipiell gebe ich Dir recht nur in diesem Fall ist es ja so daß ich ein
Werkzeug brauche um in die Internas zu sehen und das geht meiner Meinung bei
TCP/IP mit Linux am besten.

Außerdem ist die MTU ja leider immer wieder ein Thema im Internet da es
durch falsche MTU-Einstellungen leicht dazu kommt das div. Webseiten nicht
geladen werden etc. was einem erst mal unerklärlich erscheint.

Trotzdem Danke für die Hinweise,

ich werde mal im Web weiter suchen

mfg
Gregor Schumacher


-Ursprüngliche Nachricht-
Von: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED] Auftrag von
dirk.finkeldey
Gesendet: Dienstag, 28. September 2004 20:10
An: [EMAIL PROTECTED]
Betreff: Re: - Re: MTU -


Schumacher, Gregor schrieb:

Prinzipiell nicht schlecht die Idee mit dem ping nur leider hat die AS/400
die Parameter nicht. Was mir so vorschwebte war eine Software die den
Traffic mitschneidet und wo ich erkennen kann wenn ein Paket fragmentiert
werden muß. Also bei einer MTU von 1500 auf der AS/400 und 1492 auf dem
Router z.b. eine Auswertung wie erstes Paket 1492 Bytes 2 Paket nur 8
Bytes.


mfg
Gregor Schumacher

Meinst du nicht das du in einer AS/400 Newsgrub besser aufgehoben bist ?

Immerhin ist eine AS/400 eine `Besondere Hardware´ .

Mit freundlichen Grüßen Dirk Finkeldey


---
Unser Firmenname hat sich geaendert!
Hays Logistics GmbH ist nun K + P Logistik GmbH. 
Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! 

Our company name has changed!
Hays Logistics GmbH is now K + P Logistik GmbH. 
Please change your e-mail contacts to the new e-mail-addresses!
  


---
Unser Firmenname hat sich geaendert!
Hays Logistics GmbH ist nun K + P Logistik GmbH. 
Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! 

Our company name has changed!
Hays Logistics GmbH is now K + P Logistik GmbH. 
Please change your e-mail contacts to the new e-mail-addresses!

Re: - Re: MTU -

[Martin Werthmöller]

Am Wed, 29 Sep 2004 um 09:47 GMT +0200 schrieb Schumacher, Gregor:
 
 Außerdem ist die MTU ja leider immer wieder ein Thema im Internet da es
 durch falsche MTU-Einstellungen leicht dazu kommt das div. Webseiten nicht
 geladen werden etc. was einem erst mal unerklärlich erscheint.
 
Meinst Du die Probleme durch kaputt konfigurierte Packetfilter bei denen
ICMP pauschal geblockt wird?

Gruß,
martin!

-- 
LWsystems - Systemübergreifende IT-Beratung und Service
[EMAIL PROTECTED]
http://lw-systems.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU -

[Richard Verwayen]

On Wed, 2004-09-29 at 12:07, Martin Werthmöller wrote:
 Am Wed, 29 Sep 2004 um 09:47 GMT +0200 schrieb Schumacher, Gregor:
  
  Außerdem ist die MTU ja leider immer wieder ein Thema im Internet da es
  durch falsche MTU-Einstellungen leicht dazu kommt das div. Webseiten nicht
  geladen werden etc. was einem erst mal unerklärlich erscheint.
  
 Meinst Du die Probleme durch kaputt konfigurierte Packetfilter bei denen
 ICMP pauschal geblockt wird?
 
 Gruß,
 martin!
Hallo Martin,


ich habe gerade genau diesen Fall gehabt, das diverse Seiten (unter anderem 
ebay.de, maps24.de, commerzbank.de) nicht geladen werden konnten.

Zu dem Setup: Woody hinter DSL-Router.

Nachdem ich kurzerhand die MTU der Debian-Kiste auf 1492 gesetzt habe, konnte 
ich einige Seiten wieder aufrufen. 

Also gibt es doch Probleme, wenn die MTU zu hoch ist. Bei Zweifeln, nenn ich 
dir gerne die Tel. des Telco-Technikers der den Router konfiguriert!

Richard

Re: MTU -

[Martin Werthmöller]

Am Wed, 29 Sep 2004 um 14:31 GMT +0200 schrieb Richard Verwayen:
   
  Meinst Du die Probleme durch kaputt konfigurierte Packetfilter bei denen
  ICMP pauschal geblockt wird?
  
 
 ich habe gerade genau diesen Fall gehabt, das diverse Seiten (unter anderem 
 ebay.de, maps24.de, commerzbank.de) nicht geladen werden konnten.
 
 Zu dem Setup: Woody hinter DSL-Router.
 
 Nachdem ich kurzerhand die MTU der Debian-Kiste auf 1492 gesetzt habe, konnte 
 ich einige Seiten wieder aufrufen. 
 
Genau das meinte ich. Ein Packetfilter-/Firewall Setup, welches das
Internet *Control* Message Protcol komplett blockt. Damit werden die ICMP
Meldungen Deines Routers geblockt, mit denen er der sendenden Seite
mitteilt, daß die Pakete zu groß sind.

 Also gibt es doch Probleme, wenn die MTU zu hoch ist.

Natürlich. Allerdings liegt die eigentliche Ursache nicht an der zu großen
MTU, sondern an den (IMHO) falsch konfigurierten Packetfiltern, die das
'böse' ICMP komplett blocken.

Du hast natürlich recht, daß seitens des Kunden die einzige Lösung darin
besteht, seine MTU entsprechend herunterzusetzen.

Gruß,
martin!

-- 

LWsystems - Systemübergreifende IT-Beratung und Service
[EMAIL PROTECTED]
http://lw-systems.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU -

[Richard Verwayen]

On Wed, 2004-09-29 at 16:57, Martin Werthmöller wrote:

  Zu dem Setup: Woody hinter DSL-Router.

  ISP
   |
Router
   |
w.x.y.z/26
   |
 Woody
   |
  192.168.2.0/24

  
  Nachdem ich kurzerhand die MTU der Debian-Kiste auf 1492 gesetzt habe, konnte 
  ich einige Seiten wieder aufrufen. 
  
 Genau das meinte ich. Ein Packetfilter-/Firewall Setup, welches das
 Internet *Control* Message Protcol komplett blockt. Damit werden die ICMP
 Meldungen Deines Routers geblockt, mit denen er der sendenden Seite
 mitteilt, daß die Pakete zu groß sind.

Der Router ist von einem großen deutschen Internet-Provider konfiguriert
worden, ein Firmennetz ans Internet anzubinden. Dort befindet sich
keinerlei Filter noch irgendwelche NAT-Konfigurationen.

Auf der Firewall (ja, erst hier wird man ein wenig gefiltert!) gibt es
nur Regeln für den durchgeleiteten Verkehr (NAT) ansonsten stehen dort
eh keine Dienste zur Verfügung, somit ist alles INPUT und OUTPUT offen!

ICMP-Pakete jedweder Art kann ich von und zu der Maschine senden...

 
  Also gibt es doch Probleme, wenn die MTU zu hoch ist.
 
 Natürlich. Allerdings liegt die eigentliche Ursache nicht an der zu großen
 MTU, sondern an den (IMHO) falsch konfigurierten Packetfiltern, die das
 'böse' ICMP komplett blocken.

Ich weiß, das sie falsch konfiguriert sind - 
Schließlich steht alles offen ;-)


 
 Du hast natürlich recht, daß seitens des Kunden die einzige Lösung darin
 besteht, seine MTU entsprechend herunterzusetzen.

Stimmt! Aber ich kann dir versichern, das es nicht an irgendwelchen 
Firewall-Regeln liegt!

Meinst du etwa, der ISP filtert für mich irgendwelche Pakete? 
(Ich bezahle ihn definititv nicht dafür!)

Wo ist der Unterschied zwischen 

ebay.de (erreichbar mit mtu 1492)
und
commerzbank.de, map24.de, deutsche-bank.de (mtu 1492 = geht nicht) ?

Gruß Richard

MTU

[Schumacher, Gregor]

Hallo zusammen,

ich habe hier eine AS/400 die übers Internet/VPN eine Verbindung zu einer
Steuereinheit herstellt. Ich möchte jetzt gerne die optimale MTU bestimmen. 

Unter Windows hatte ich mir den Ethereal geschnappt, habe aber da Angaben
gefunden von 60 Bytes pro Paket kommt mir etwas wenig vor bei einer MTU von
ca. 1492.

Kann ich unter Linux die MTU einer kompletten Strecke bestimmen: Heißt, ich
habe lokal z.B. eine MTU von 1500 und irgend einer der Router auf dem Weg
hat nur 1450 kann ich das feststellen?

mit freundlichen Grüßen

Gregor Schumacher

---
Unser Firmenname hat sich geaendert!
Hays Logistics GmbH ist nun K + P Logistik GmbH. 
Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! 

Our company name has changed!
Hays Logistics GmbH is now K + P Logistik GmbH. 
Please change your e-mail contacts to the new e-mail-addresses!

Re: MTU

[Sven May]

 Hallo zusammen,
Moin,

 Kann ich unter Linux die MTU einer kompletten Strecke bestimmen: Heißt, ich
 habe lokal z.B. eine MTU von 1500 und irgend einer der Router auf dem Weg
 hat nur 1450 kann ich das feststellen?

Ist zwar nur ein grober Überblick, aber versuch doch mal ping mit den
Parametern -f und -l 
-f bedeutet don't fragment, sprich das Paket muss als ganzes durch die
Leitung geschuppst werden (oder verworfen werden wenn's nicht klappt)
und -l  gibt die Länge das Paketes an. z.B.:

ping -f -l 1460 www.suse.de

Wenn der Ping nicht klappt, weisst du, dass irgendwo ein Engpass ist.

TÜS
   Sven

Re: MTU

[Jens Kubieziel]

* Sven May schrieb am 2004-09-28 um 14:55 Uhr:
 ping -f -l 1460 www.suse.de

Bei mir (iputils-ss021109) heisst '-f' Floodping und dass will man hier
eher nicht. Der OP will eher die Option '-M do'.

 Wenn der Ping nicht klappt, weisst du, dass irgendwo ein Engpass ist.

Da hast du natuerlich auch recht ...

-- 
Jens Kubieziel  http://www.kubieziel.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU

[Michelle Konzack]

Am 2004-09-28 14:55:06, schrieb Sven May:
  Hallo zusammen,
 Moin,
 
  Kann ich unter Linux die MTU einer kompletten Strecke bestimmen: Heißt, ich
  habe lokal z.B. eine MTU von 1500 und irgend einer der Router auf dem Weg
  hat nur 1450 kann ich das feststellen?
 
 Ist zwar nur ein grober Überblick, aber versuch doch mal ping mit den
 Parametern -f und -l 
 -f bedeutet don't fragment, sprich das Paket muss als ganzes durch die

Ähm, wie meinen ?

   ( 'stdin' ) _
 /
|  PING(8) System Manager's ManualPING(8)
|   --ff  Flood ping.  Outputs packets as fast as they come back or one
|   hundred times per second, whichever is more.  For every
|   ECHO_REQUEST sent a period ``.'' is printed, while for ever
|   ECHO_REPLY received a backspace is printed.  This provides a
|   rapid display of how many packets are being dropped.  Only the
|   super-user may use this option.  _T_h_i_s _c_a_n _b_e 
_v_e_r_y _h_a_r_d _o_n _a _n_e_t_­
|   _w_o_r_k _a_n_d _s_h_o_u_l_d _b_e _u_s_e_d 
_w_i_t_h _c_a_u_t_i_o_n_.

Also ich würde nicht gerade versuchen, www.suse.com zu fluten...

|   --ll _p_r_e_l_o_a_d
|   If _p_r_e_l_o_a_d is specified, ppiinngg sends that many 
packets as fast as
|   possible before falling into its normal mode of behavior.  Only
|   the super-user may use this option.
 
|  Linux NetKit 0.09   August 30, 1996  Linux NetKit 0.09
 \__

Da kann Dir aber jemand sehr böse werden...

 TÜS
Sven


Greetings
Michelle

-- 
Linux-User #280138 with the Linux Counter, http://counter.li.org/ 
Michelle Konzack   Apt. 917  ICQ #328449886
   50, rue de Soultz MSM LinuxMichi
0033/3/8845235667100 Strasbourg/France   IRC #Debian (irc.icq.com)


signature.pgp
Description: Digital signature

Re: MTU

[Sven May]

  Ist zwar nur ein grober Überblick, aber versuch doch mal ping mit den
  Parametern -f und -l 
  -f bedeutet don't fragment, sprich das Paket muss als ganzes durch die

 Ähm, wie meinen ?
 Also ich würde nicht gerade versuchen, www.suse.com zu fluten...

Sorry, da unterscheiden sich Windows-Ping und Linux-Ping wohl doch etwas
stärker :)

Ich brauche das Flag nicht so häufig und hier auf meiner Dienst-Kiste
ist der Parameter halt anders:

Syntax: ping [-t] [-a] [-n Anzahl] [-l Größe] [-f] [-i Gültigkeitsdauer]
 [-v Diensttyp] [-r Anzahl] [-s Anzahl] [[-j Hostliste] |
 [-k Hostliste]] [-w Zeitlimit] Zielliste

Optionen:
-f Setzt Flag für Don't Fragment.

TS
   Sven

- Re: MTU -

[Schumacher, Gregor]

Prinzipiell nicht schlecht die Idee mit dem ping nur leider hat die AS/400
die Parameter nicht. Was mir so vorschwebte war eine Software die den
Traffic mitschneidet und wo ich erkennen kann wenn ein Paket fragmentiert
werden muß. Also bei einer MTU von 1500 auf der AS/400 und 1492 auf dem
Router z.b. eine Auswertung wie erstes Paket 1492 Bytes 2 Paket nur 8 Bytes.


mfg
Gregor Schumacher

---
Unser Firmenname hat sich geaendert!
Hays Logistics GmbH ist nun K + P Logistik GmbH. 
Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! 

Our company name has changed!
Hays Logistics GmbH is now K + P Logistik GmbH. 
Please change your e-mail contacts to the new e-mail-addresses!

Re: MTU

[Adrian Zaugg]

Hallo Gregor
Schumacher, Gregor wrote:
Kann ich unter Linux die MTU einer kompletten Strecke bestimmen: Heißt, ich
habe lokal z.B. eine MTU von 1500 und irgend einer der Router auf dem Weg
hat nur 1450 kann ich das feststellen?
Du kannst z.B. mit ping Pakete absenden, die ein don't fragment Flag 
gesetzt haben. ICMP Destination Unreachable-Fragmentation Needed 
sollte bei Überschreitung der Packetgrösse zurückkommen. Für 
iputils-ping benütze:

ping -M do -s packetgrösse host
(Leider können nicht alle ping Programme das DF (don't fragment) Flag 
bedienen. Installiere z. B. iputils-ping, netkit-ping unterstützt es 
nämlich nicht!)

Grüsse, Adrian.

Re: MTU

[Walter Saner]

Sven May schrieb:

 Sorry, da unterscheiden sich Windows-Ping und Linux-Ping wohl doch etwas
 stärker :)

| [EMAIL PROTECTED] ~ $ apt-cache showpkg linux-ping
| W: Unable to locate package linux-ping

| [EMAIL PROTECTED] ~ $ apt-cache showpkg ping | grep -A 20 Reverse Provides
| Reverse Provides:
| netkit-ping 0.10-9
| iputils-ping 3:20020927-2
| inetutils-ping 2:1.4.2+20040207-3


Ciao
Walter


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: - Re: MTU -

[dirk.finkeldey]

Schumacher, Gregor schrieb:
Prinzipiell nicht schlecht die Idee mit dem ping nur leider hat die AS/400
die Parameter nicht. Was mir so vorschwebte war eine Software die den
Traffic mitschneidet und wo ich erkennen kann wenn ein Paket fragmentiert
werden muß. Also bei einer MTU von 1500 auf der AS/400 und 1492 auf dem
Router z.b. eine Auswertung wie erstes Paket 1492 Bytes 2 Paket nur 8 Bytes.
mfg
Gregor Schumacher
Meinst du nicht das du in einer AS/400 Newsgrub besser aufgehoben bist ?
Immerhin ist eine AS/400 eine `Besondere Hardware´ .
Mit freundlichen Grüßen Dirk Finkeldey
---
Unser Firmenname hat sich geaendert!
Hays Logistics GmbH ist nun K + P Logistik GmbH. 
Bitte aendern Sie Ihre E-Mail Kontakte auf die neuen E-Mail Adressen! 

Our company name has changed!
Hays Logistics GmbH is now K + P Logistik GmbH. 
Please change your e-mail contacts to the new e-mail-addresses!
 

[dsl] MTU setzen

[Heinrich Christian Peters]

Moin,
ich hab bei mir einen Server laufen, der über DSL mit dem Internet 
verbunden ist. Die Firewall soll das lästige Problem mit der MTU regeln. 
Etwas weiter unten hat Arno Zielke geschrieben:
$IPTABLES -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN \
 -j TCPMSS --clamp-mss-to-pmtu
In dem Script, das die c't vor einiger Zeit mal veröffentlicht hat [1], 
wird jedoch
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS \
 --clamp-mss-to-pmtu
vorgeschlagen.
Kann mir jemand den Unterschied erklären und eine Empfehlung abgeben, 
was man besser verwenden sollte?

Vielen Dank,
Gruß
Heiner
P.S.
[1] http://www.heise.de/security/artikel/38220/4
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU Wert einstellen (Ethernet)

[R . Welz]

Am 23.04.2004 um 18:59 schrieb Elmar W. Tischhauser:
Die Datei ist grundsätzlich schon die Richtige :-). In testing und
unstable kann man die MTU tatsächlich mit `mtu 1454' einstellen, für
Woody würde ich ein '/sbin/ifconfig ethX mtu 1454' als `up'-Kommando
angeben (für Details siehe interfaces(5)).
snip
Wunderbar.
ifup eth1 mtu 1454
funktioniert. Nur wie bekomme ich das automatisch?
/etc/network/interfaces

iface eth1 inet static
   mtu 1454
   address 192.168
   netmask ...
das funktioniert schon mal nicht.

Vielen Dank für Hilfe.

Robert Welz

Re: MTU Wert einstellen (Ethernet)

[David Hansen]

On Sat, 24 Apr 2004 10:05:18 +0200 R. Welz wrote:

 ifup eth1 mtu 1454
 funktioniert. Nur wie bekomme ich das automatisch?

 /etc/network/interfaces


iface eth0 inet static
  address   192.168.1.2
  [...]
  up/sbin/ifconfig eth0 mtu 1454

-- David


pgp0.pgp
Description: PGP signature

MTU Wert einstellen (Ethernet)

[R . Welz]

Hallo.
Ich möchte den MTU-Wert für meine NICs auf 1454 einstellen.
Ich habe /etc/network/interfaces bearbeitet, aber ohne Erfolg.
auto eth1
iface eth1 inet static
adress bla
netmask bla
...
MTU='1454'
auch mit mtu='1454' oder mtu 1454 hatte ich keinen Erfolg.
Bin ich in der falschen Datei?
Vielen Dank für eine Lösung!

Gruss,
Robert

Re: MTU Wert einstellen (Ethernet)

[Holger Wansing]

 Hallo.
 Ich möchte den MTU-Wert für meine NICs auf 1454 einstellen.
 Ich habe /etc/network/interfaces bearbeitet, aber ohne Erfolg.
 

/etc/ppp/peers/dsl-provider
bzw. die Konfig-Datei für deine Verbindung


-- 
Gruss
Holger


==
Created with Sylpheed 0.9.6-claws 
under Debian GNU LINUX 3.0 Woody.
Registered LinuxUser #311290
Spam filtering powered by Spamassassin.org
==

Re: MTU Wert einstellen (Ethernet)

[R . Welz]

Am 23.04.2004 um 12:42 schrieb Holger Wansing:


Hallo.
Ich möchte den MTU-Wert für meine NICs auf 1454 einstellen.
Ich habe /etc/network/interfaces bearbeitet, aber ohne Erfolg.
/etc/ppp/peers/dsl-provider
bzw. die Konfig-Datei für deine Verbindung
Ich brauche das fürs LAN (Ethernet), nicht für ppp. PPP ist doch das, 
womit man ein Telefonmodem betreibt?

ratlos...
Gruss,
Robert

--
Gruss
Holger
==
Created with Sylpheed 0.9.6-claws
under Debian GNU LINUX 3.0 Woody.
Registered LinuxUser #311290
Spam filtering powered by Spamassassin.org
==

Re: MTU Wert einstellen (Ethernet)

[Elmar W. Tischhauser]

Hallo!

On 23 Apr 2004 at 10:27 +0200, R. Welz wrote:

 Ich möchte den MTU-Wert für meine NICs auf 1454 einstellen.
 Ich habe /etc/network/interfaces bearbeitet, aber ohne Erfolg.
[...]
 auch mit mtu='1454' oder mtu 1454 hatte ich keinen Erfolg.
 Bin ich in der falschen Datei?

Die Datei ist grundsätzlich schon die Richtige :-). In testing und
unstable kann man die MTU tatsächlich mit `mtu 1454' einstellen, für
Woody würde ich ein '/sbin/ifconfig ethX mtu 1454' als `up'-Kommando
angeben (für Details siehe interfaces(5)).

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An algorithm must be seen to be believed.-- Donald E. Knuth


pgp0.pgp
Description: PGP signature

Re: MTU wird ignoriert

[Stephan Windmller]

Michael Renner [EMAIL PROTECTED] writes:

 davon abgesehen dass ich nicht glaube dass eine herabgesetzte MTU dein
 Problem behebt:

Da lagst Du richtig, es handelte sich anscheinend um eine defekte
Netzwerkkarte.

Trotzdem danke!

-- 
Viele Menschen sind zu gut erzogen, um mit vollem
Mund zu sprechen, aber sie haben keine Bedenken,
es mit leerem Kopf zu tun.
  Oscar Wilde


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

MTU wird ignoriert

[Stephan Windmller]

Hallo!

In meinem LAN werden mehrere Rechner (alles Debian) von einem
Woody-Router per NAT versorgt. Das funktioniert auch ganz gut, es gibt
allerdings Probleme, wenn mehrere Hosts gleichzeitig ins Netz
wollen. Die Verbindung ist dann sehr überlastet, teilweise startet der
pppd auch ganz neu.

Nun kam mir die Idee, daß es an den unterschiedlichen MTU-Werten für DSL
(1492) und den Rest des Netzes (1500) liegen könnte. Allerdings
gestaltet sich die Umstellung auf 1492 im gesamten Netz als äussert
schwierig:

- Ein Eintrag wie mtu 1492 in der /etc(network/interfaces wird
  ignoriert
- Es ist mir nicht möglich, diesen MTU-Wert per dhcpd zu verteilen.

Meine Frage jetzt: Kann meine Annahme (Problem MTU) überhaupt zutreffen
und wenn ja, wie bringe ich die Rechner dazu, ausschliesslich die neue
zu benutzen?

Danke im Voraus
 Stephan

-- 
/\
\ / *A*venturicarum *S*ignum *C*orpus *I*nvariabiliter *I*nstauratus
 x  Ribbon campain Say NO to HTML in email, news and magic books
/ \


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU wird ignoriert

[Michael Renner]

On Thursday 05 February 2004 12:32, Stephan Windmüller wrote:

Moin,

 - Ein Eintrag wie mtu 1492 in der /etc(network/interfaces wird
   ignoriert
 - Es ist mir nicht möglich, diesen MTU-Wert per dhcpd zu verteilen.

davon abgesehen dass ich nicht glaube dass eine herabgesetzte MTU dein Problem 
behebt:

Versuche die mtu im DHCP-Server in einer option-Zeile anzugeben. Dann (!) 
schreibe ein Script für die Clients die nach Vergabe der Daten vom 
DHCP-Server die MTU auswertet in entsprechend 'ifconfig' aufruft.

CU
-- 
|Michael Renner  E-mail: [EMAIL PROTECTED]  |
|D-72072 Tuebingen   GermanyICQ: #112280325 |
|Germany Don't drink as root!  ESC:wq


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

dsl und mtu

[Thomas Fischer]

hallo,

ich habe vor kurzem eine DSL-Verbindung erhalten, mit der ich mein LAN mit
dem Internet verbinden will. Dazu habe ich einen Router (Debian Woody)
installiert. Die Verbindung funktioniert vom Router zum Internet und auch
ins LAN, aber nicht vom LAN ueber Router ins Internet. 
Ich habe gelesen das die mtu auf 1412 gesetzt werden soll.
Das DSL-Modem ist mit der NIC eth1 verbunden. Dieser wird keine IP zugewiesen,
sondern dem Geraet ppp0 wird dynamisch eine IP zugewiesen.
Wie muessen die mtu's angepasst werden? (eth1 hat 1500, ppp0 hat mtu 1492)
In welche Konfigurationsdateien schreib ich die Werte?

tom


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: dsl und mtu

[joerg]

Hallo Thomas,

On Sat, 26 Jul 2003 15:08:12 +0200
Thomas Fischer [EMAIL PROTECTED] wrote:

 hallo,
 
 Ich habe gelesen das die mtu auf 1412 gesetzt werden soll.  Das
 DSL-Modem ist mit der NIC eth1 verbunden. Dieser wird keine IP
 zugewiesen, sondern dem Geraet ppp0 wird dynamisch eine IP zugewiesen.
 Wie muessen die mtu's angepasst werden? (eth1 hat 1500, ppp0 hat mtu
 1492) In welche Konfigurationsdateien schreib ich die Werte?

iptables und Google sollten Dir weiterhelfen können, Stichwort
clamp-mss-to-pmtu


Gruß
  Jörg

-- 
Jörg Schütter   http://www.lug-untermain.de/
http://www.schuetter.org/joerg/
[EMAIL PROTECTED] http://mypenguin.bei.t-online.de/


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

MTU verändern ?`????

[help me]

[EMAIL PROTECTED]

ich möchte meinen MTU Wert verändern, kann mir da jemand helfen?

Protokoll:Ethernet  Hardware Adresse 00:80:C8:DA:4F:73
  inet Adresse:10.19.97.1  Bcast:10.19.97.255Maske:255.255.255.0
  UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU verändern ?`????

[Patrick Schnorbus]

On Monday 14 July 2003 01:01, help me wrote:
 [EMAIL PROTECTED]

 ich möchte meinen MTU Wert verändern, kann mir da jemand helfen?

Und ich moechte, dass du einen vernuenftigen Absendernamen angibst.



 Protokoll:Ethernet  Hardware Adresse 00:80:C8:DA:4F:73
inet Adresse:10.19.97.1  Bcast:10.19.97.255Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

/etc/network/interfaces:
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
mtu 1490

Das naechste mal bitte vorher zumindest Google befragen.

Viele Gruesse,
Patrick


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU verändern ?`????

[Tapio]

JA JA JA verstehst du keinen Spaß?





Patrick Schnorbus wrote:

On Monday 14 July 2003 01:01, help me wrote:

[EMAIL PROTECTED]

ich möchte meinen MTU Wert verändern, kann mir da jemand helfen?


Und ich moechte, dass du einen vernuenftigen Absendernamen angibst.


Protokoll:Ethernet  Hardware Adresse 00:80:C8:DA:4F:73
  inet Adresse:10.19.97.1  Bcast:10.19.97.255Maske:255.255.255.0
  UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1


/etc/network/interfaces:
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
mtu 1490
Das naechste mal bitte vorher zumindest Google befragen.

Viele Gruesse,
Patrick





--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

pppoe, mtu und clamping

[Jrg Schtter]

Hallo Liste,

ich habe hier ein kleines Problem mit meinem DSL-Zugang. Anfang des
Jahres habe ich mir einen neuen Rechner gekauft. Dieser neue PC ist
jetzt mein neuer Arbeitsrechner. Der alte PC soll weiterhin Router und
Firewall spielen.
Seit letzter Woche versuche ich vergeblich meine Homepage bei 1und1 zu
aktualiseren. Zuerst vermutete ich ein Problem auf Seiten des Hosters.
Heute habe ich mal versucht die geänderte Homapage vom Router via ftp zu
aktualisieren, was auch tadellos funktioniert hat.
Vom Arbeitsrechner habe ich Probleme die große Datei (12371 Bytes) zu
aktualisieren. Da der Upload vom Router funktioniert, vermute ich, dass
das Problem mit der MTU und PPPoE zusammenhängt.

Das Firewall-Script enthält folgende Zeile:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
  -j TCPMSS --clamp-mss-to-pmtu

pppoe wird mit der Option -m 1452 aufgerufen.
In der Datei /etc/ppp/peers/dsl-provider werden mtu und mru auf 1492
festgesetzt.

Das scheint aber wohl nicht klein genug zu sein. Also habe ich mal
versucht die Grenze auszuloten.
ping -s 1472 www.schuetter.org
-- 1472 scheint die maximale Größe zu sein.

Also mal alle Werte um 20 vermindern
mtu 1472
mru 1472
pppoe -m 1432

Das war's aber leider noch nicht (pppoe neu geladen und ebenfalls
firewall-script neu durchgestartet).

Nochmals alles um 20 verringert -- Fehler bleibt bestehen.

Was habe ich übersehen?

Gruß
  Jörg

-- 
http://www.lug-untermain.de/   -
http://mypenguin.bei.t-online.de/

Dipl.-Ing. Jörg Schütter
[EMAIL PROTECTED]




msg36907/pgp0.pgp
Description: PGP signature

Re: pppoe, mtu und clamping

[Harald Sauff]

Hi!

 Was habe ich übersehen?

Das Connection-Tracking bzw. NAT für FTP?


Gruß,
 Harry [EMAIL PROTECTED]


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Probleme mit der Netzwerkkarte (Was: pppoe, mtu und clamping)

[Jrg Schtter]

On Tue, 18 Feb 2003 16:52:54 +0100
Harald Sauff [EMAIL PROTECTED] wrote:

 Hi!
 
  Was habe ich übersehen?
 
 Das Connection-Tracking bzw. NAT für FTP?

Nö, ist geladen. Habe eben mal das ganze von einem weiteren PC hinter
dem Router versucht. Hat auf Anhieb funktioniert.
Daraufhin hab ich mal ethereal auf die Netzwerkkarten losgelassen. Und
siehe da, das Ethernet-Interface des Routers schickt das Antwortpaket
vom Hoster weiter, am Ethernet-Interface meines Arbeitsplatzes kommt es
aber erst 3 (in Worten: drei) Sekunden später an. Laut dem Switch laufen
alle Verbindungen auf 100 full-duplex. Weder Switch noch ifconfig
zeigen Collisions an.
Die Netzwerkkarte wird beim Booten erkannt:
via-rhine.c:v1.10-LK1.1.14  May-3-2002  Written by Donald Becker
  http://www.scyld.com/network/via-rhine.html
eth0: VIA VT6102 Rhine-II at 0xdc00, 00:e0:18:ac:f2:d8, IRQ 11.
eth0: MII PHY found at address 1, status 0x786d advertising 05e1 Link 45e1.
eth0: MII PHY found at address 2, status 0x8000 advertising  Link 8000.
eth0: MII PHY found at address 3, status 0x8000 advertising  Link 8000.
eth0: MII PHY found at address 4, status 0x8000 advertising  Link 8000.

Seltsam, ist es normal, dass die Karte mehrere Adressen hat?


Gruß
  Jörg

-- 
http://www.lug-untermain.de/   -
http://mypenguin.bei.t-online.de/

Dipl.-Ing. Jörg Schütter
[EMAIL PROTECTED]




msg36922/pgp0.pgp
Description: PGP signature

MTU einstellen

[Holger Decker]

Hallo Liste,

wo kann ich die MTU einstellen?
Mit 'ifconfig' bzw. 'pppoed' o. ae. ist mir das schon klar. Ich suche aber
die Moeglichkeit,
dass die MTU automatisch beim Hochfahren auf 1492 zurueckgestellt wird -
ohne den
'pppoed', da es sich um keinen direkten ADSL-Anschluss handelt.

In der '/etc/network/interfaces' habe ich es versucht, leider ohne Erfolg.

Holger




--
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU einstellen

[Mathias Gygax]

On Tue, Jun 11, 2002 at 04:20:37PM +0200, Holger Decker wrote:
 Hallo Liste,

sali,

 wo kann ich die MTU einstellen?

auch in der interfaces.

 Mit 'ifconfig' bzw. 'pppoed' o. ae. ist mir das schon klar. Ich suche
 aber die Moeglichkeit, dass die MTU automatisch beim Hochfahren auf
 1492 zurueckgestellt wird - ohne den 'pppoed', da es sich um keinen
 direkten ADSL-Anschluss handelt.
 
 In der '/etc/network/interfaces' habe ich es versucht, leider ohne
 Erfolg.

probier mal in der /etc/network/interfaces folgendes bei deinem device:

  up ifconfig eth0 mtu 1492

man 5 interfaces


-- 
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU einstellen

[Reinhard Foerster]

On Tue, 11 Jun 2002 16:20:37 +0200, Holger Decker wrote:

 wo kann ich die MTU einstellen?
 Mit 'ifconfig' bzw. 'pppoed' o. ae. ist mir das schon klar. Ich suche aber
 die Moeglichkeit,
 dass die MTU automatisch beim Hochfahren auf 1492 zurueckgestellt wird -
 ohne den
 'pppoed', da es sich um keinen direkten ADSL-Anschluss handelt.
 
 In der '/etc/network/interfaces' habe ich es versucht, leider ohne Erfolg.

in man interfaces steht:

--
IFACE OPTIONS
   There  are  currently three standard options available for
   all interfaces, regardless of address  family  or  method.
   These are:

   up command
  Run  command  after bringing the interface up. This
  option can be given multiple  times  for  a  single
  interface.  If so, the commands will be executed in
  order.  If one of the commands fails, none  of  the
  others  will  be  executed,  but the interface will
  remain configured. (You can ensure a command  never
  fails by suffixing || true.)

ich würde up /sbin/ifconfig eth0 mtu xxx in der /etc/network/interfaces
probieren.

  Reinhard


-- 
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU/TDSL - nicht Debian spezifisch

[Waldemar Gorus]

On Sat, 20 Apr 2002 01:12:18 +0200
J [EMAIL PROTECTED] wrote:

 Waldemar Gorus wrote:
 
  Ok, etwas habe ich auch schon selbst rausgefunden.
  MTU kleiner als 1492 ist nicht noetig. 
  Das Problem mit dem Windowsrechner bleibt aber.
 
 Nein, der Wert sollte 1452 betragen.

Mit 1492 funktionieren fast alle Seiten. Bei 1492 gibt es halt Probleme bei bestimmten 
Seiten (z.B. www.telekom.de).
Oder irre ich mich da?
 
  Außerdem scheint ja iptables das MSSClamping zu beherrschen, um auch Pakete mit 
MTU1500 handhaben zu können. 
  Leider benutz ich Ipchains, hat jemand eine andere Loesung??
 
 ich nutzte hier 2.2.19 Kernel, pppoed und ipchains.
 Kein Probleme.
Bis vor kurzem hatte ich die Probleme auch nicht. Dieses Problem trat plötzlich auf. 
Ich würde ja den Provider fragen, aber die Telekom wird auf T-online verweisen, und 
bis ich dort was erfahre ... bin ich Pleite.

Ich habe erstmal einen Proxy Cache eingerichtet. Die Windose benötigt eigentlich nur 
http, und auf den Linuxkisten habe ich die MTU per Hand auf 1492 runtergeschraubt.

ciao
walde


-- 
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU/TDSL - nicht Debian spezifisch

[Waldemar Gorus]

Ok, etwas habe ich auch schon selbst rausgefunden.
MTU kleiner als 1492 ist nicht noetig. 
Das Problem mit dem Windowsrechner bleibt aber.

Außerdem scheint ja iptables das MSSClamping zu beherrschen, um auch Pakete mit 
MTU1500 handhaben zu können. 
Leider benutz ich Ipchains, hat jemand eine andere Loesung??

ciao
Walde




On Fri, 19 Apr 2002 20:07:43 +0200
[EMAIL PROTECTED] (Waldemar Gorus) wrote:

 Hallo,
 
 erstmal tschuldigung, daß ich hier ein nicht-Debianspezifisches problem maile.
 
 Ich habe einen potato Gateway mit ipchains (u. masquerading modul) an einem 
TDSL-Anschluß und 4 Clients (3 x Debian und mein Mitbewohni hat Windows).
 Seit Vorgestern kann ich mit den Clients keine Verbindung mehr ins Netz aufbauen.
 DNS funktioniert, sowie die ICMP - Dienste, aber kein Abrufen von Webseiten oder 
anderen Dienste (z.B. Newsgroupmails :-)).
 Offensichtlich liegt es an der MTU. Ein runtersetzen der MTU der 
Clientnetzwerkkarten ermöglichte mir wieder den Internetzugang (auf dem Server 
funktioniert dieser einwandfrei). Bei den Windowsrechner konnte ich die MTU - nicht 
runterschrauben, da ich keinen passenden Eintrag innerhalb der Netzwerkeinstellungen 
gefunden habe. Und da die Telekom ein Blackhole betreibt 
 
 Ich möchte eigentlich auch nicht, jede MTU runterschrauben müssen. Das sollte das 
Gateway doch auch erledigen koennen, oder nicht?
 Innerhalb der  .../peers/connection steht der Eintrag MTU auf 1452 auch ein 
Runtersetzen auf 1400 hat leider nichts gebracht.
 
 Außerdem erhalte ich neuerdingsw beim reloggen (also ppp restart) folgende Meldung:
 
 Remote message: 0030 PSDTM001 0038015459 session limit exceeded
 
 Die ist mir bisher noch nicht untergekommen, und besagt doch eigentlich ich sei noch 
eingeloggt. Jedenfalls taucht das erst seit ein paar Tagen auf
 Die dauert dann eine Minute oder zwei, bis ich mich wieder einloggen kann.
 
 Weiß jemand Rat???
 
 ciao
 Walde
 
 
 -- 
 Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
 mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
 


-- 
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU/TDSL - nicht Debian spezifisch

[J. Volkmann]

Waldemar Gorus ([EMAIL PROTECTED]) schrieb:

 Ok, etwas habe ich auch schon selbst rausgefunden.
 MTU kleiner als 1492 ist nicht noetig. 
 Das Problem mit dem Windowsrechner bleibt aber.
 
http://www.google.de/search?q=windows+mtu+registryhl=debtnG=Google-Suche
evtl noch:
http://sdb.suse.de/de/sdb/html/cg_pmtu2.html
...

mfG Johannes


msg06220/pgp0.pgp
Description: PGP signature

Re: MTU/TDSL - nicht Debian spezifisch

[Markus Kolb]

Waldemar Gorus wrote:
 Ok, etwas habe ich auch schon selbst rausgefunden.
 MTU kleiner als 1492 ist nicht noetig. 
 Das Problem mit dem Windowsrechner bleibt aber.
 
 Außerdem scheint ja iptables das MSSClamping zu beherrschen, um auch Pakete mit 
MTU1500 handhaben zu können. 
 Leider benutz ich Ipchains, hat jemand eine andere Loesung??
 
 ciao
 Walde

Hallo,

solltest Du den Roaring Penguin für TDSL benutzen, dann trage in die 
pppoe.conf ein CLAMPMSS=1412 ein.
Die Telekom empfahl damals in ihrer Anleitung 1412 zu verwenden.
Dann noch ein adsl-stop; adsl-start und das Problem sollte nicht mehr 
existieren.
Was es mit Deiner Logmeldung auf sich hat, weiss ich aber auf Anhieb 
auch nicht.



-- 
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: MTU/TDSL - nicht Debian spezifisch

[Jörg Arlandt]

Waldemar Gorus wrote:

 Ok, etwas habe ich auch schon selbst rausgefunden.
 MTU kleiner als 1492 ist nicht noetig. 
 Das Problem mit dem Windowsrechner bleibt aber.

Nein, der Wert sollte 1452 betragen.

 Außerdem scheint ja iptables das MSSClamping zu beherrschen, um auch Pakete mit 
MTU1500 handhaben zu können. 
 Leider benutz ich Ipchains, hat jemand eine andere Loesung??

ich nutzte hier 2.2.19 Kernel, pppoed und ipchains.
Kein Probleme.

 ciao
 Walde
 


-- 
bis dann
  -ja

http://www.arlandt.de

Diese Mail wurde auf Viren getestet (siehe erweiterte Mailheader).




-- 
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)