openVPN: TCP Verkehrr bricht ab, ICMP läuft aber

sweetie-pie

Neuer User
Mitglied seit
5 Feb 2005
Beiträge
118
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich habe vor kurzem meine Fritzbox vom DS-Mod auf Freetz geupdated, da ich fortgestezte Probleme mit dem DSL-Treiber hatte und gehofft habe so eine Verbesserung zu erreichen.

Meine neue Firmware auf einer 7170: 29.04.59freetz-devel-2656

Alles läuft soweit, nur openVPN mit Zertifikaten nicht mehr richtig:
Die Config ist unverändert und lief 1 JAhr lang ohne Probleme.
Handschake und Login funktioniert.
ICMP (ping) geht darüber auch dauerhaft.
Probiere ich jetzt irgendwelche TCP basierte Dienste über die Verbindung zu fahren, ist dies nicht richtig möglich.
Bei SMB erscheint z.B. noch die Abfrage nach Benutzer und Passwort und es werden die 5 Shares angezeigt. Probiere ich einen Share zu öffen, bricht die Verbindung dann ab.
Probiere ich über den Tunnel eine Webseite vom einem Server im Remotenetz abzurufen, geht dies nur für kleine Seiten, z.B. "Hello World"-Seiten, sobald mehr zu übertragen ist, geht dies auch nicht mehr.
Gleiches bei Telentverbindungen durch den Tunnel: Login und kurze Ausgabe okay, z.B. vollständige Prozessliste lässt die Verbindung abbrechen.
In allen Fällen läuft ICMP einwandfrei durch.

Kommt dies jemanden bekannt vor?
 

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
0
Punkte
0
Ja, das scheint ein Problem mit MSS zu sein. Kleine Pakete gehen durch, große nicht. Du kannst das mit der Größen-Option von Ping überprüfen.
Die elegante Lösung dafür ist, beim Öffnen eienr TCP-Verbindung die MSS-Information in den TCP-Paketen zu ändern. Das kann man mit iptables erreichen, die Frage ist aber, ob das auf der Box so läuft. Da Connection Tracking dafür nicht gebraucht wird, könnte es gehen.
Eine andere Lösung ist, auf allen Clients MSS zu reduzieren. Das gilt dann aber für alle Verbindungen und nicht nur für die, die ins VPN gehen.
 

gfuer

Mitglied
Mitglied seit
29 Jun 2007
Beiträge
248
Punkte für Reaktionen
0
Punkte
0
Sollte nicht normaler Weise die optimale MSS automatisch vom TCP/IP-Stack durch Path MTU Discovery (RFC 1191) ermittelt werden? Ist die vielleicht hier deaktiviert? (oder blockiert z.B. ein Firewall ICMP Error Pakete, die für eine PMTUD benötigt werden?)
 

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
0
Punkte
0
Eben, die ICMP Rückmeldung wird gebraucht. Entweder werden die ICMP Pakete nicht generiert, oder sie werden nicht verarbeitet.
Auf jeden Fall ist es das typische Symptom dafür, daß der MSS Wert zu hoch ist.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,876
Beiträge
2,027,664
Mitglieder
351,002
Neuestes Mitglied
trabbimatti1