[Berlin-wireless] MTU GRE-Tunnel MSS-Clamping

Bastian fly
So Jul 13 17:06:37 CEST 2014


Damn you, asymmetric routes!
Was jetzt funktionieren sollte:

iptables -I FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j
TCPMSS --set-mss 1436

Jetzt mit einem anderen -o Interface, nämlich das wo auch die Anfrage
heraus geschickt wird. Die eigentlich problematische Antwort kommt über
ein anderes Interface mit MTU 1476 rein. (Danke Daniel)
MSS muss hart gesetzt werden, weil das Interface selbst eine korrekte
MTU von 1500 hat.

Enduser mit richtigen Browsern mögen bitte mal berichten, ob Seiten
jetzt wieder richtig dargestellt werden.
"wget -4 -O - http://cdn.sstatic.net" funktioniert, aber Bilder auf
Twitter kann ich per remote-shell nur umständlich testen.

Gruß
Bastian

On 07/13/2014 08:22 AM, Sven-Ola Tuecke wrote:
> Probier' mal:
> 
> iptables -I FORWARD -o tun0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
> --clamp-mss-to-pmtu
> 
> // Sven-Ola
> 
> Am 12.07.2014 21:51, schrieb Bastian:
>> auf beiden Routern hab ich es mit folgender Regel probiert:
>>
>> iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o tun0
>> -j TCPMSS --set-mss 1436
>>
>> MTU - 40 = MSS
>> 1476 - 40 = 1436
>>
>> scheint aber nicht zu helfen :/
>>
>> On 07/12/2014 08:52 PM, Sven-Ola Tuecke wrote:
>>> iptables forward mss-claming
>>


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 538 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140713/2b3ed288/attachment.pgp>



Mehr Informationen über die Mailingliste Berlin