[Berlin-wireless] Path-MTU probs, FYI

[Sven-Ola Tuecke]

Hallo Guido,

in der upcoming Freifunk-Firmware gibts noch ein paar Firewall/iptables 
quirks - das war auch zu erwarten, weil ich das S45firewall komplett neu 
gemacht habe damit die Smart-GW und OpenVPN-Sachen laufen. Soweit - so gut. 
Abseits davon gibt's mit der derzeitgen Konfig ein Problem, von dem ich noch 
nicht so recht weiss wie loesen.

Symptom: versenden langer Mails dauert ewig und schlaegt gerne fehl.
Diagnose: Keine PMTU-Discovery, da icmp-frag-needed weggeworfen wird.
Topo: mein PC(192.168...) -> meinWRT(LAN=192.168..., WIFI=104...) -> 
HopHop(104...) -> GuidoWRT(LAN=104..., WAN=192.168...) -> 
DSL-WRT(LAN=192.168.1.2) -> Internet. 
N.B.: DSL braucht MTU=1492, das sind 8 Byte weniger als 1500

Da normalerweise auf dem GuidoWRT ein OpenVPN laeuft, passiert das Frag/Defrag 
im OpenVPN-Tunnel und darum geht alles. Faellt das OpenVPN mal aus, landen 
die "icmp-frag-needed" wegen der Source-IP=192.168.1.2 im Nirvana bzw. 
bleiben in meiner Firewall haengen.

Ich vermute, dass solche Konfigurationen oefters vorkommen. Weil die Leute 
faul sind und das Internet "mit DHCP aus der Steckdose" kommt und es auch 
irgendwie laeuft - wenn nur die Fragmente ordentlich durchkommen. Ich bin am 
ueberlegen, ob ich noch ein WAN(src=192.168.x.x -> SNAT) einbauen sollte, 
damit wenigstens die icmp-frag-needed durchkommen - auch bei 
IP-Adresskonflikt bzw. bei Firewall(discard src=192.168 von aussen)

Weiss jemand ob + wie die LuCI sowas behandelt?

// Sven-Ola