Portál AbcLinuxu, 26. dubna 2024 17:21


Dotaz: blokované icmp fragmentation needed?

7.5.2010 22:22 rastos | skóre: 62 | blog: rastos
blokované icmp fragmentation needed?
Přečteno: 208×
Odpovědět | Admin

Mám nasledovnú situáciu:

Klient----{NAT-ujúci router1}----{ISP1}----{Internet?}----{ISP2}----{bridge}----{NAT-ujúci router2}----WebServer

Klient sa pripája na webmail na WebServeri. Bez problému sa pripojí a zobrazí stránku, môže prechádzať z jednej na druhú a podobne. Problém nastane, keď sa pokúsi vyplniť formulár a poslať mail. Pre užívateľa to vyzerá, že odosielanie trvá dlho a nakoniec sa nepodarí. Podarí sa však, ak Klient zníži svoje MTU z 1500 na 1000.

Tie všetky sú pod mojou kontrolou. ISP1 tvrdí, že nič neblokuje. S ISP2 som ešte nehovoril.

Odosielanie mailu znamená, že Klient prenáša na WebServer "väčšie" množstvo dát. Nie len krátku požiadavku na jednoduchú URL, ale aj dáta zadané do formuláru. Keďže zníženie MTU na Klientovi umožní prenesenie tohto väčšieho množstva dát, domnievam sa, že mi niekto cestou zablokuje ICMP paket s požiadavkou na fragmentovanie pod úroveň 1492 (ten počet vyžaduje ppp).

Otázka znie: ako túto teóriu overiť a ak je pravdivá, ako zistiť, kto mi tie pakety zahadzuje?

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

7.5.2010 22:51 NN
Rozbalit Rozbalit vše Re: blokované icmp fragmentation needed?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Otestovat se to da pomoci ping(zakazani fragmentace a patricne velikosti paketu) a postupovat stroj po stroji.

NN
7.5.2010 23:53 rastos | skóre: 62 | blog: rastos
Rozbalit Rozbalit vše Re: blokované icmp fragmentation needed?
Klient aj WebServer sa vedia navzájom pingnúť aj s "-s 1600".
7.5.2010 23:58 rastos | skóre: 62 | blog: rastos
Rozbalit Rozbalit vše Re: blokované icmp fragmentation needed?
"-M do -s 1600" povie na Klientovi 
....
From 192.168.2.221 icmp_seq=1 Frag needed and DF set (mtu = 1500)
^C
--- 212.5.197.56 ping statistics ---
0 packets transmitted, 0 received, +26427 errors
na strane WebServera to isté, len s IP adresou toho ppp0 a mtu = 1492
vencour avatar 8.5.2010 00:10 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: blokované icmp fragmentation needed?

A při pohledu na provoz vidíte nastavené "don't fragment"?

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
8.5.2010 13:19 rastos | skóre: 62 | blog: rastos
Rozbalit Rozbalit vše Re: blokované icmp fragmentation needed?
Momentálne hej. A prekvapuje ma to. Nech komunikujem kamkoľvek, tak všetky pakety čo vidím majú nastavene don't fragment.

Navyše sa to celé v tejto chvíli funguje. Vrátim sa k tomu, keď ten problém znova nastane.
9.5.2010 20:18 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: blokované icmp fragmentation needed?
Dejte si pozor na směrovací cache, do které si jádro schovává PMTU. Po každé změně MTU rozhraní je dobré ji vyprázdnit.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.