[Berlin-wireless] Path-MTU probs, FYI

Sven-Ola Tücke sven-ola
Mi Mai 12 10:47:14 CEST 2010 

FYI,

hat sich geklaert. Behoben mit sysctl -w net.ipv4.conf.all.rp_filter=0. Wenn 
ein Gateway-Betreiber z.B. das Internet-Gateway 192.168.1.1 benutzt und man 
selbst 192.168.1.1 auf dem Router hat, wirft der reverse-path-filter alle 
Pakete *von* 192.168.1.1 weg, die ueber WLAN ankommen. Und damit kommen die 
verzweifelten ICMP-Mach-Kleiner-Pakete von Gateway niemals an.

Bei einer LuCI ist das eh' ausgeschaltet. Bei einem Standard-Ubuntu ist das 
an. Bei SmartGW=on schaltet der OLSRD das selbststaendig aus. Es gibt also 
Faelle, wo ein SNAT(ICMP 192.168.1.1->MeshIP) auf dem HNA0/0-Ankuendigenden 
Node helfen koennte.

// Sven-Ola 

Am Sonntag, 9. Mai 2010 13:42:39 schrieb Sven-Ola Tuecke:
> Hallo Guido,
> 
> in der upcoming Freifunk-Firmware gibts noch ein paar Firewall/iptables
> quirks - das war auch zu erwarten, weil ich das S45firewall komplett neu
> gemacht habe damit die Smart-GW und OpenVPN-Sachen laufen. Soweit - so gut.
> Abseits davon gibt's mit der derzeitgen Konfig ein Problem, von dem ich
>  noch nicht so recht weiss wie loesen.
> 
> Symptom: versenden langer Mails dauert ewig und schlaegt gerne fehl.
> Diagnose: Keine PMTU-Discovery, da icmp-frag-needed weggeworfen wird.
> Topo: mein PC(192.168...) -> meinWRT(LAN=192.168..., WIFI=104...) ->
> HopHop(104...) -> GuidoWRT(LAN=104..., WAN=192.168...) ->
> DSL-WRT(LAN=192.168.1.2) -> Internet.
> N.B.: DSL braucht MTU=1492, das sind 8 Byte weniger als 1500
> 
> Da normalerweise auf dem GuidoWRT ein OpenVPN laeuft, passiert das
>  Frag/Defrag im OpenVPN-Tunnel und darum geht alles. Faellt das OpenVPN mal
>  aus, landen die "icmp-frag-needed" wegen der Source-IP=192.168.1.2 im
>  Nirvana bzw. bleiben in meiner Firewall haengen.
> 
> Ich vermute, dass solche Konfigurationen oefters vorkommen. Weil die Leute
> faul sind und das Internet "mit DHCP aus der Steckdose" kommt und es auch
> irgendwie laeuft - wenn nur die Fragmente ordentlich durchkommen. Ich bin
>  am ueberlegen, ob ich noch ein WAN(src=192.168.x.x -> SNAT) einbauen
>  sollte, damit wenigstens die icmp-frag-needed durchkommen - auch bei
> IP-Adresskonflikt bzw. bei Firewall(discard src=192.168 von aussen)
> 
> Weiss jemand ob + wie die LuCI sowas behandelt?
> 
> // Sven-Ola
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>

Mehr Informationen über die Mailingliste Berlin