Erklärungen zu MTU bzw. PMTU?



  • Moin,

    ja, ich weiß was MTU ist. Und ich weiß auch was PMTU ist.

    Ich verstehe nur nicht, warum es damit immer wieder zu Problemen kommt. Momentan herrscht bei mir vollkommenen Verwirrung :(

    Beispiel:
    2 Rechner (Linux) im gleichen Netz. Dazwischen ein (virtueller) Switch [QNAP], ein physikalischer Switch (HP) und noch ein virtueller Switch (ESXi 6.5).

    Rechner 1 steht auf 9.000 (Debian Derivat) mit Virtio network device
    QNAP Switch steht meines Wissens auf MTU 1.500.
    HP steht auf "Jumbo Frames", also mWn 9.000
    ESXi Switch steht auf 9.000.
    Rechner 2 steht auf 9.000 (CentOS7) mit VMXNET3

    Indikator, dass es Probleme mit der MTU gibt, ist scp. Kopieren einer relativ kleinen Datei (ca. 16K).

    rechner1#:> scp root@rechner2:/datei .
    --> scp verbindet, fragt Passwort ab und "stalled". Kein Transfer möglich.

    Am Rechner2 die MTU auf 1.500 gesetzt, Neustart.
    --> scp funktioniert einwandfrei!

    Am Rechner2 die MTU wieder auf 9.000 gesetzt, Neustart.
    --> scp funktioniert einwandfrei!

    Hä? Warum geht das auf einmal mit 9.000er MTU?

    Beispiel2:
    Habe hier ein CARP-failover-System in Verbindung mit einem transparenten Proxy (via PortForwarding in den pfSense).

    Ist der Master aktiv, kann Rechner2 mit MTU nur ohne Proxy auf das Internet zugreifen. Sonst timeout.
    Ist der Backup aktiv, geht es wunderbar egal ob mit oder ohne Proxy.
    --> Konfigurationsproblem gefunden, beim backup war die MTU auf 9.000, beim Master auf 1.500.

    Also eigentlich war ich ja der Meinung, dass die MTU mittels PMTU passend zu einer Verbindung gesetzt wird. Aber genau dieser Automatismus scheint (hier) ja nicht zu funktionieren.

    Frage:
    Gibt es diesen Automatismus mittels PMTU überhaupt? Automatisch oder regelmäßig? Und falls ja, warum klappt das hier nicht wirklich?

    Danke für Eure Ideen und Hinweise!

    /KNEBB
    Internetzugr



  • Update:

    Ein Fehler war schon einmal ,dass die Firewall Rules der pfSense zwischen den Netzen die ICMP Pakete geblockt hat.

    Da bei PMTU die ICMP Fehlermeldungen ausgewertet werden, war ein PMTU so nicht möglich. Die Firewall selbst erkannte nicht, dass die ICMP Pakete zu der erlaubten Verbindung gehörten und blockte die Pakete.

    Firewall-Regel erstellt, die solche Pakete akzeptiert und jetzt geht es größtenteils.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy