[Berlin-wireless] MTU Probleme auf in-berlin.de l2p Gateway?

Sven Roederer freifunk at it-solutions.geroedel.de
Sa Aug 7 23:58:54 CEST 2021


Da ich heute eh mal auf dem Host war, hier die IPtables-config

# Generated by iptables-save v1.6.0 on Sat Aug  7 23:42:30 2021
*mangle
:PREROUTING ACCEPT [285041:174978927]
:INPUT ACCEPT [85709:15704734]
:FORWARD ACCEPT [198645:158182524]
:OUTPUT ACCEPT [152793:156938728]
:POSTROUTING ACCEPT [351436:315121120]
-A PREROUTING -i digger+ -j MARK --set-xmark 0x2a/0xffffffff
COMMIT
# Completed on Sat Aug  7 23:42:30 2021
# Generated by iptables-save v1.6.0 on Sat Aug  7 23:42:30 2021
*nat
:PREROUTING ACCEPT [1488:206919]
:INPUT ACCEPT [453:30293]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:L2TP_POSTROUTING_default - [0:0]
:L2TP_PREROUTING_default - [0:0]
-A PREROUTING -j L2TP_PREROUTING_default
-A POSTROUTING -j L2TP_POSTROUTING_default
-A POSTROUTING -s 172.31.241.0/24 -o ens2 -j MASQUERADE
-A POSTROUTING -m mark --mark 0x2a -j SNAT --to-source 217.197.83.193
-A L2TP_POSTROUTING_default -s 217.197.83.193/32 -d x.x.x.x/32 -o ens2 -p udp -m udp --sport 20109 --dport 42115 -j SNAT --to-source 217.197.83.193:8942
....
-A L2TP_POSTROUTING_default -s 217.197.83.193/32 -d y.y.y.y/32 -o ens2 -p udp -m udp --sport 21935 --dport 59973 -j SNAT --to-source 217.197.83.193:8942
-A L2TP_PREROUTING_default -s x.x.x.x/32 -d 217.197.83.193/32 -i ens2 -p udp -m udp --sport 42115 --dport 8942 -j DNAT --to-destination 217.197.83.193:20109
....
-A L2TP_PREROUTING_default -s y.y.y.y/32 -d 217.197.83.193/32 -i ens2 -p udp -m udp --sport 59973 --dport 8942 -j DNAT --to-destination 217.197.83.193:21935
COMMIT
# Completed on Sat Aug  7 23:42:30 2021
# Generated by iptables-save v1.6.0 on Sat Aug  7 23:42:30 2021
*filter
:INPUT ACCEPT [85689:15707679]
:FORWARD ACCEPT [145062:153904865]
:OUTPUT ACCEPT [152754:156908340]
:community-tunnel - [0:0]
-A INPUT -i tun-udp -j community-tunnel
-A FORWARD -i tun-udp -j community-tunnel
-A FORWARD -d 85.214.20.141/32 -o ens2 -p udp -m udp --dport 53 -m comment --comment "block DNS for retiered digitalcourage" -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 85.214.20.141/32 -o ens2 -p tcp -m tcp --dport 53 -m comment --comment "block DNS for retiered digitalcourage" -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 10.0.0.0/8 -o ens3 -j REJECT --reject-with icmp-net-prohibited
-A FORWARD -d 172.16.0.0/12 -o ens3 -j REJECT --reject-with icmp-net-prohibited
-A FORWARD -d 192.168.0.0/16 -o ens3 -j REJECT --reject-with icmp-net-prohibited
-A FORWARD -d 169.254.0.0/16 -o ens3 -j REJECT --reject-with icmp-net-prohibited
-A FORWARD -o ens3 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A community-tunnel -o ens2 -j ACCEPT
-A community-tunnel -j REJECT --reject-with icmp-net-prohibited
COMMIT
# Completed on Sat Aug  7 23:42:30 2021


* scheint, dass der versucht gemacht wird
* leider läuft die Hälfte der Regeln aber auf dem nicht vorhandenen ens3 Interface
* mit "traceroute -i ffuplink www.youtube.com 1500" hab ich aber keine Probleme bemerkt

Sven

Am Donnerstag, 29. Juli 2021, 21:18:53 CEST schrieb simzon:
> Afair haben wir ebenfalls MSS Clamping auf den Störerhaftungsgateways an.
> Als ich letzte mal geschaut habe warens keine MTU issues, sondern lag eher
> dran, das bestimmte Tunnel Exit IPs geblockt wurde. Einer der Gründe für
> den V6 Enthusiasmus.
> 
> Hatten wir auch schon mal auf der Liste angesprochen.
> 
> Am Donnerstag, 29. Juli 2021 schrieb Nick <nick at systemli.org>:
> > Hey,
> > ein User berichtet gerade über IPv4 MTU Probleme bei youtube, tiktok, etc.
> > ... . Die Franken-Community macht auf ihren Gateways
> > 
> >> iptables -t mangle -A POSTROUTING -o $IFACE -p tcp --tcp-flags SYN,RST
> >> SYN -j TCPMSS --set-mss 1240
> > 
> > Machen wir da auch irgendetwas? Haben wir auch an der MTU geschraubt?
> > 





Mehr Informationen über die Mailingliste Berlin