Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von GrandDixence »

Von der sysctl-Einstellung net.ipv4.tcp_min_snd_mss eines Linux-Betriebssystem sollten man die Finger lassen.
https://www.kernel.org/doc/html/latest/ ... ysctl.html

Code: Alles auswählen

# su
# sysctl -ar min_snd_mss
net.ipv4.tcp_min_snd_mss = 48
Der Wert 48 steht für 8 Byte oder 8 Octets an Nutzdaten.

Generell sollte man die Finger von sysctl-Einstellungen lassen, wenn man nicht 100% sicher ist, woran man da schraubt!
Wir legen eine minimale Größe von Paketen fest. Dieses Limit liegt per default bei 750 bytes.
Und wieso wird gemäss den abgebildeten Wireshark-Aufzeichnungen ein IP-Datenpaket mit 635 Byte versendet (TCP-Length: 621 Byte)?
Zuletzt geändert von GrandDixence am 23 Nov 2020, 17:23, insgesamt 2-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von GrandDixence »

backslash hat geschrieben: 23 Nov 2020, 11:45korrekt, die minimale MTU im IPv4 liegt bei 576 - siehe RFC791 (internet Protocol) und 1191 (PMTU discovery)
Nicht ganz korrekt. RFC 791, Seite 25:
https://tools.ietf.org/html/rfc791

Code: Alles auswählen

Every internet module must be able to forward a datagram of 68
octets without further fragmentation. This is because an internet
header may be up to 60 octets, and the minimum fragment is 8 octets.

Every internet destination must be able to receive a datagram of 576
octets either in one piece or in fragments to be reassembled.
Siehe auch:
https://en.wikipedia.org/wiki/Maximum_t ... mmon_media

Man lernt nie aus!
HamBam
Beiträge: 18
Registriert: 30 Sep 2020, 15:17

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von HamBam »

Hier mal noch die Antwort vom Hersteller:

Sehr geehrter Herr XXX,

der Wert 750 war erforderlich bei einem Kunden, welcher mehr als zweimal VPN in VPN benutzt hat. Dies war dann notwendig um Platz in einem IP - Paket zu schaffen für die Nutzlast.
Unsere Entwicklungsabteilung hat hierzu bereits intern diskutiert. Wir möchten uns diesbezüglich zukünftig gerne an den Standard halten. Danke für Ihren Hinweis!
Daher werden wir den Standardwert von 750 auf 500 setzen. Hiermit wäre dann als MTU 576 möglich. Diese Änderung ist derzeit für die Version 11.05.100 eingeplant.

:M :M :M
Antworten