[FRnOG] [TECH] 6rd et MTU
Hello, J'ai mon accès Internet chez Swisscom et j'ai remplacé la box fournie par un routeur Linux. Pour l'IPv6, ils utilisent 6rd et je n'ai pas eu trop de soucis à le configurer : ip tunnel add internet6 mode sit local $ip[firewall] ttl $sixrd_ttl ip tunnel 6rd dev internet6 6rd-prefix ${sixrd_prefix} ip addr add ${sixrd_delegated}1/64 dev internet6 ip link set mtu ${sixrd_mtu} dev internet6 ip link set internet6 up ip -6 route add default via ::${sixrd_br} dev internet6 Normalement, avec un MTU de 1500, le MTU de l'interface 6rd doit être de 1480. Soucis, quand j'utilise cette valeur, certains sites ont du mal à répondre et ceci de manière aléatoire, ce qui n'aide pas. Si je set le TCP MSS (ce que je n'aimerai pas faire car c'est une solution partielle), le mettre à 1440 (1480 - 40) ne change absolument rien. Par contre, baisser le MTU à 1460 me résout aussi le problème. En tatonnant, je finis par trouver qu'il s'agit en fait d'un MTU à 1472. Je note aussi que sur les machines IPv6 auxquelles j'ai accès, le MTU découvert est de 1472 (ip -6 route show cache après avoir fait un for i i $(seq 1 10); do cat /etc/passwd; done). Du coup, il y a deux choses: 1. Le MTU est de 1472 et non de 1480. Qu'est-ce qui peut me prendre 8 octets de plus sur le chemin ? 2. Le PMTU peut ne pas fonctionner et ceci aléatoirement. Sur le deuxième point, dans ce thread, ça parle un peu du problème de MTU dans 6rd: http://www.gossamer-threads.com/lists/nsp/ipv6/49013 Notamment, l'ICMPv6 serait droppé au petit bonheur la chance pour que ça marche à peu près dans la plupart des cas. Cela peut expliquer le côté aléatoire. Est-ce une pratique courante ? Quand j'étais chez Free, je n'avais pas ce problème. Cependant, j'utilisais la Freebox. le PMTU était peut-être très bien géré ou alors le MSS était setté par la Freebox ou par le CE. -- panic (No CPUs found. System halted.\n); 2.4.3 linux/arch/parisc/kernel/setup.c --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 6rd et MTU
On 11/01/2014 03:42 PM, Vincent Bernat wrote: Notamment, l'ICMPv6 serait droppé au petit bonheur la chance pour que ça marche à peu près dans la plupart des cas. Cela peut expliquer le côté aléatoire. Est-ce une pratique courante ? si on lit : http://tools.ietf.org/html/rfc4443 on peut voir par l'utilisation du MUST que tout firewall qui dropperait ICMPv6-packet-too-big est mal configuré Quand j'étais chez Free, je n'avais pas ce problème. Cependant, j'utilisais la Freebox. le PMTU était peut-être très bien géré ou alors le MSS était setté par la Freebox ou par le CE. j'ai comme l'impression que la MTU sur les box free est 1500 Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 6rd et MTU
❦ 1 novembre 2014 15:42 +0100, Vincent Bernat ber...@luffy.cx : Si je set le TCP MSS (ce que je n'aimerai pas faire car c'est une solution partielle), le mettre à 1440 (1480 - 40) ne change absolument rien. Par contre, baisser le MTU à 1460 me résout aussi le problème. En tatonnant, je finis par trouver qu'il s'agit en fait d'un MTU à 1472. Mon calcul de MSS est foireux vu qu'en IPv6, il faut soustraire 60. Avec un MTU de 1472 et un le set de TCP MSS à 1412 en sortie, je semble m'en sortir convenablement. J'ai aussi checké qu'en IPv4, j'ai bien un MTU de 1500. -- Write clearly - don't be too clever. - The Elements of Programming Style (Kernighan Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 6rd et MTU
❦ 1 novembre 2014 17:39 +0100, Raphaël Jacquot sxp...@sxpert.org : Quand j'étais chez Free, je n'avais pas ce problème. Cependant, j'utilisais la Freebox. le PMTU était peut-être très bien géré ou alors le MSS était setté par la Freebox ou par le CE. j'ai comme l'impression que la MTU sur les box free est 1500 Ca expliquerait l'absence de probleme en IPv6 chez Free. Chez Swisscom, je ne passe pas le premier routeur avec un MTU 1500, donc pas possible. -- Terminate input by end-of-file or marker, not by count. - The Elements of Programming Style (Kernighan Plauger) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 6rd et MTU
On Sat, Nov 1, 2014, at 17:39, Raphaël Jacquot wrote: http://tools.ietf.org/html/rfc4443 on peut voir par l'utilisation du MUST que tout firewall qui dropperait ICMPv6-packet-too-big est mal configuré Oui, mais nobody got fired for dropping all ICMP/ICMPv6. Deja si on commencait a dire aux gens que filtrer sauvagenet l'ICMP (surtout ICMPv6) n'est *PAS* plus securisant, et qu'il sert aussi a bien plus de choses que le legendaire ping de la mort (ca fonctionne encore en 2014 ???). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 6rd et MTU
❦ 1 novembre 2014 20:54 +0100, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net : http://tools.ietf.org/html/rfc4443 on peut voir par l'utilisation du MUST que tout firewall qui dropperait ICMPv6-packet-too-big est mal configuré Oui, mais nobody got fired for dropping all ICMP/ICMPv6. Deja si on commencait a dire aux gens que filtrer sauvagenet l'ICMP (surtout ICMPv6) n'est *PAS* plus securisant, et qu'il sert aussi a bien plus de choses que le legendaire ping de la mort (ca fonctionne encore en 2014 ???). Dans le thread cité précédemment, c'est plutôt dans un soucis d'éviter les DoS. -- #ifdef STUPIDLY_TRUST_BROKEN_PCMD_ENA_BIT 2.4.0-test2 /usr/src/linux/drivers/ide/cmd640.c --- Liste de diffusion du FRnOG http://www.frnog.org/