mal wieder: Timeout bei FTP-Transfer aus BSD IPSEC VPN

[Philipp Flesch <Philipp@phflesch.de>]

Hallo!
Wir haben da BSD blackbox loesung (die ich nicht beeinflussen kann)  
ueber die ein IPSEC VPN laeuft. Aus diesem VPN geht es direkt auf die  
offizielle IP eines Servers. Ueber dieses VPN erhalten wir Daten per  
FTP. (*ohne Worte*)

FTP-Server ist mit "Webmin-simpel-Firewall" geschuetzt.

Nun haben wir folgendes Phaenomen:
Kernel 2.6.12 (mit MPPE gepatcht): BSD-IPSEC-VPN laeuft problemlos -  
aber halt nicht wirklich so, wie ich mir das System vorstelle...

Ich hatte dann vor einiger Zeit einmal versucht auf 2.6.17 zu upgraden  
... und schwupp kamen keine Daten mehr durch:

FTP von beliebigem Server: problemlos
FTP ueber BSD-VPN reinkommend auf selbe IP wie oben: Abbruch der  
Verbindung nach einigen Datenpaketen

vsftpd oder proftpd - beide haben das selbe Problem

aber: ftp auf alte SuSE kiste und oder den Mirror des Servers (der  
noch auf einem aelteren Debian-Stand ist) problemlos

.77 ist das BSD-VPN
.75 der Debian
.74 der uralt SuSE

ich bin da ein wenig ratlos :-(

mit dem Uralt-Suse auf der 74-Adresse geht es (3 Files mit jeweils ca.  
380 kB/s) !

Mit dem 75-er bleibt es wie bisher hängen (Probleme mit TCP RECV  
Window viel zu klein??).

tcpdump im Anhang!

So ... also wieder zu einem aelteren Kernel zurueck, der gerade noch  
MPPE integiert hat ... ich glaube 2.6.14 oder 2.6.16 ... dann lief  
zwar das PPTP-VPN generell ... und auch mit dem BSD-IPSEC gab es keine  
Probleme ... ABER PPTP konnte fehlerfrei nur kleinere Datenmengen  
kopieren ...

Also habe ich mal wieder den Versuch unternommen und auf 2.6.18-3-686  
geupdatet ... jetzt rennt zwar das PPTP-VPN wie Sau, aber das liebe  
BSD-IPSEC macht wieder Timeouts.

Ich brauche daher dringend einen Ansatz um den Fehler zu beheben ...  
bzw. um zumindest sicherzustellen, dass es NICHT an der Debian-Kiste  
liegt.

Hier gibt es doch sicher Netzwerkprofis, die auch in so einer  
unguenstigen Konfiguration weiterhelfen koennen.

Ich kenne mich mit BSD leider nicht genug aus, um hier einen  
"Schuldigen" zu suchen ...


------------------- cut here -------
tcpdump -ni rl0 host 123.456.789.75
tcpdump: listening on rl0
12:51:24.731492 123.456.789.77.55203 > 123.456.789.75.21: P  
1907292932:1907292938(6) ack
3814697966 win 5040 <nop,nop,timestamp 3965724643 142469193> (DF) [tos 0x10]
12:51:24.760258 123.456.789.75.21 > 123.456.789.77.55203: P 1:54(53)  
ack 6 win 46
<nop,nop,timestamp 142483855 3965724643> (DF)
12:51:24.793140 123.456.789.77.55203 > 123.456.789.75.21: . ack 54 win 5040
<nop,nop,timestamp 3965724704 142483855> (DF) [tos 0x10]
12:51:24.793924 123.456.789.77.58958 > 123.456.789.75.50074: S  
2047961359:2047961359(0)
win 5040 <mss 1260,sackOK,timestamp 3965724704 0,nop,wscale 0> (DF)
12:51:24.794184 123.456.789.75.50074 > 123.456.789.77.58958: S  
3936714232:3936714232(0)
ack 2047961360 win 5792 <mss 1460,sackOK,timestamp 142483863  
3965724704,nop,wscale 7> (DF)
12:51:24.819097 123.456.789.77.58958 > 123.456.789.75.50074: . ack 1 win 5040
<nop,nop,timestamp 3965724731 142483863> (DF)
12:51:24.819834 123.456.789.77.55203 > 123.456.789.75.21: P 6:32(26)  
ack 54 win 5040
<nop,nop,timestamp 3965724731 142483855> (DF) [tos 0x10]
12:51:24.821622 123.456.789.75.21 > 123.456.789.77.55203: P 54:119(65)  
ack 32 win 46
<nop,nop,timestamp 142483870 3965724731> (DF)
12:51:24.851720 123.456.789.77.58958 > 123.456.789.75.50074: .  
1:1249(1248) ack 1 win
5040 <nop,nop,timestamp 3965724755 142483863> (DF) [tos 0x8]
12:51:24.854212 123.456.789.75.50074 > 123.456.789.77.58958: . ack 1249 win 65
<nop,nop,timestamp 142483878 3965724755> (DF)
12:51:24.854882 123.456.789.77.58958 > 123.456.789.75.50074: .  
1249:2497(1248) ack 1 win
5040 <nop,nop,timestamp 3965724755 142483863> (DF) [tos 0x8]
12:51:24.856229 123.456.789.75.50074 > 123.456.789.77.58958: . ack 2497 win 85
<nop,nop,timestamp 142483879 3965724755> (DF)
12:51:24.884198 123.456.789.77.58958 > 123.456.789.75.50074: P  
2497:3745(1248) ack 1 win
5040 <nop,nop,timestamp 3965724788 142483878> (DF) [tos 0x8]
12:51:24.886735 123.456.789.75.50074 > 123.456.789.77.58958: . ack  
3745 win 104
<nop,nop,timestamp 142483886 3965724788> (DF)
12:51:24.887533 123.456.789.77.58958 > 123.456.789.75.50074: .  
3745:4993(1248) ack 1 win
5040 <nop,nop,timestamp 3965724788 142483878> (DF) [tos 0x8]
12:51:24.890459 123.456.789.75.50074 > 123.456.789.77.58958: . ack  
4993 win 124
<nop,nop,timestamp 142483887 3965724788> (DF)
12:51:24.895123 123.456.789.77.55203 > 123.456.789.75.21: . ack 119 win 5040
<nop,nop,timestamp 3965724795 142483870> (DF) [tos 0x10]
12:51:33.274282 123.456.789.77.55203 > 123.456.789.75.21: F 32:32(0)  
ack 119 win 5040
<nop,nop,timestamp 3965733186 142483870> (DF) [tos 0x10]
12:51:33.313756 123.456.789.75.21 > 123.456.789.77.55203: . ack 33 win 46
<nop,nop,timestamp 142485993 3965733186> (DF)

 Löschen | Antworten | Allen Antworten | Weiterleiten | Umleiten |  
Ausschlussliste | Positivliste | Quelltext | Speichern unter | Drucken
 Markieren als: Nicht gelesen Wichtig Nicht wichtig Beantwortet Nicht  
beantwortet Entwurf Kein Entwurf  Verschiebe | Kopiere  diese  
Nachricht nach ---- Neuer Ordner ---- Posteingang Bounces cron-jobs  
customflags Drafts drafts Gesendet ham-learn nagios saved-messages  
Sent sent-mail spam-learn SpamMails subscriptions Trash Virusmails  
---- Philipp Fleschs Aufgabenliste  Zurück zu Suchergebnisse


Nach einem Rueckupdate auf 2.6.16 war zwar das Problem BSD-IPSEC-VPN  
=> FTP-Server behoben ...