.titleBar { margin-bottom: 5px!important; }

openVPN: TCP Verkehrr bricht ab, ICMP läuft aber

Dieses Thema im Forum "Freetz" wurde erstellt von sweetie-pie, 27 Okt. 2008.

  1. sweetie-pie

    sweetie-pie Neuer User

    Registriert seit:
    5 Feb. 2005
    Beiträge:
    118
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Niedersachsen
    Hallo,

    ich habe vor kurzem meine Fritzbox vom DS-Mod auf Freetz geupdated, da ich fortgestezte Probleme mit dem DSL-Treiber hatte und gehofft habe so eine Verbesserung zu erreichen.

    Meine neue Firmware auf einer 7170: 29.04.59freetz-devel-2656

    Alles läuft soweit, nur openVPN mit Zertifikaten nicht mehr richtig:
    Die Config ist unverändert und lief 1 JAhr lang ohne Probleme.
    Handschake und Login funktioniert.
    ICMP (ping) geht darüber auch dauerhaft.
    Probiere ich jetzt irgendwelche TCP basierte Dienste über die Verbindung zu fahren, ist dies nicht richtig möglich.
    Bei SMB erscheint z.B. noch die Abfrage nach Benutzer und Passwort und es werden die 5 Shares angezeigt. Probiere ich einen Share zu öffen, bricht die Verbindung dann ab.
    Probiere ich über den Tunnel eine Webseite vom einem Server im Remotenetz abzurufen, geht dies nur für kleine Seiten, z.B. "Hello World"-Seiten, sobald mehr zu übertragen ist, geht dies auch nicht mehr.
    Gleiches bei Telentverbindungen durch den Tunnel: Login und kurze Ausgabe okay, z.B. vollständige Prozessliste lässt die Verbindung abbrechen.
    In allen Fällen läuft ICMP einwandfrei durch.

    Kommt dies jemanden bekannt vor?
     
  2. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, das scheint ein Problem mit MSS zu sein. Kleine Pakete gehen durch, große nicht. Du kannst das mit der Größen-Option von Ping überprüfen.
    Die elegante Lösung dafür ist, beim Öffnen eienr TCP-Verbindung die MSS-Information in den TCP-Paketen zu ändern. Das kann man mit iptables erreichen, die Frage ist aber, ob das auf der Box so läuft. Da Connection Tracking dafür nicht gebraucht wird, könnte es gehen.
    Eine andere Lösung ist, auf allen Clients MSS zu reduzieren. Das gilt dann aber für alle Verbindungen und nicht nur für die, die ins VPN gehen.
     
  3. gfuer

    gfuer Mitglied

    Registriert seit:
    29 Juni 2007
    Beiträge:
    248
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Sollte nicht normaler Weise die optimale MSS automatisch vom TCP/IP-Stack durch Path MTU Discovery (RFC 1191) ermittelt werden? Ist die vielleicht hier deaktiviert? (oder blockiert z.B. ein Firewall ICMP Error Pakete, die für eine PMTUD benötigt werden?)
     
  4. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Eben, die ICMP Rückmeldung wird gebraucht. Entweder werden die ICMP Pakete nicht generiert, oder sie werden nicht verarbeitet.
    Auf jeden Fall ist es das typische Symptom dafür, daß der MSS Wert zu hoch ist.