openVPN: TCP Verkehrr bricht ab, ICMP läuft aber

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
sweetie-pie

sweetie-pie

Neuer User
Mitglied seit
5 Feb 2005
Beiträge
118
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich habe vor kurzem meine Fritzbox vom DS-Mod auf Freetz geupdated, da ich fortgestezte Probleme mit dem DSL-Treiber hatte und gehofft habe so eine Verbesserung zu erreichen.

Meine neue Firmware auf einer 7170: 29.04.59freetz-devel-2656

Alles läuft soweit, nur openVPN mit Zertifikaten nicht mehr richtig:
Die Config ist unverändert und lief 1 JAhr lang ohne Probleme.
Handschake und Login funktioniert.
ICMP (ping) geht darüber auch dauerhaft.
Probiere ich jetzt irgendwelche TCP basierte Dienste über die Verbindung zu fahren, ist dies nicht richtig möglich.
Bei SMB erscheint z.B. noch die Abfrage nach Benutzer und Passwort und es werden die 5 Shares angezeigt. Probiere ich einen Share zu öffen, bricht die Verbindung dann ab.
Probiere ich über den Tunnel eine Webseite vom einem Server im Remotenetz abzurufen, geht dies nur für kleine Seiten, z.B. "Hello World"-Seiten, sobald mehr zu übertragen ist, geht dies auch nicht mehr.
Gleiches bei Telentverbindungen durch den Tunnel: Login und kurze Ausgabe okay, z.B. vollständige Prozessliste lässt die Verbindung abbrechen.
In allen Fällen läuft ICMP einwandfrei durch.

Kommt dies jemanden bekannt vor?
 
Ja, das scheint ein Problem mit MSS zu sein. Kleine Pakete gehen durch, große nicht. Du kannst das mit der Größen-Option von Ping überprüfen.
Die elegante Lösung dafür ist, beim Öffnen eienr TCP-Verbindung die MSS-Information in den TCP-Paketen zu ändern. Das kann man mit iptables erreichen, die Frage ist aber, ob das auf der Box so läuft. Da Connection Tracking dafür nicht gebraucht wird, könnte es gehen.
Eine andere Lösung ist, auf allen Clients MSS zu reduzieren. Das gilt dann aber für alle Verbindungen und nicht nur für die, die ins VPN gehen.
 
Sollte nicht normaler Weise die optimale MSS automatisch vom TCP/IP-Stack durch Path MTU Discovery (RFC 1191) ermittelt werden? Ist die vielleicht hier deaktiviert? (oder blockiert z.B. ein Firewall ICMP Error Pakete, die für eine PMTUD benötigt werden?)
 
Eben, die ICMP Rückmeldung wird gebraucht. Entweder werden die ICMP Pakete nicht generiert, oder sie werden nicht verarbeitet.
Auf jeden Fall ist es das typische Symptom dafür, daß der MSS Wert zu hoch ist.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 530 (Mitglieder: 4, Gäste: 526)

Neueste Beiträge

Statistik des Forums

Themen
246,219
Beiträge
2,248,328
Mitglieder
373,792
Neuestes Mitglied
gilbertsamson563
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück