Re: openvpn: nur ping, kein tcp (mehr)
On Thu, 12 Dec 2024 19:21:18 +0100, Michael Renner
<michael.renner@gmx.de> wrote:
>On Donnerstag, 12. Dezember 2024 17:39:00 Mitteleuropäische Normalzeit Marco Moock
>wrote:
>> Gibt es ICMP-Fehlermeldungen?
>
>Der Hinweis von Marc half: Die MTU Size anpassen.
Marcos HInweis geht in dieselbe Richtung, eigentlich müsste es
ICMP-Meldungen "packet too big" oder "fragmentation needed but DF set"
geben. Wenn es die gibt, ist der Empfänger der Meldungen schuld (der
müsste die Segment Size dann automatisch reduzieren), wenn es die
nicht gibt, ist der Nicht-Sender der Meldungen schuld (das ist der
schwierige Fall, weil man dann erstmal herausfinden müsste, WO das
Problem sitzt damit man dann den richtigen Teil des richtigen
Netzwerkstacks poken muss).
Meist ist das irgend ein Paketfilter (weil der Absender der
Fehlermeldung irgend ein System auf dem Weg ist und man das nicht in
den Regeln stehen hat, oder irgendwas mit Connection Tracking das die
ICMP-Meldung nicht korrekt als RELATED erkennt) oder schräges Routing,
das dafür sorgt dass die ICMP-Meldung nicht ankommt.
Linux-Paketfilter sind in den letzten Jahren so Allgegenwärtig
geworden, dass sich Upsteam kaum mehr jemand darum kümmert. Siehe auch
die nft-Migration, die nicht vorankommt weil das iptables-Tooling so
geil ist und die nft-Entwickler die Schüsse nicht hören.
Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Reply to: