iptables & mms
TobbY Nowack
TobbY at Indiancoder.de
Son Sep 28 15:20:12 CEST 2003
Moin!
Ich habe einen Linux Router der folgender Konfiguration
eth0 -> Internet
eth3 -> LAN (192.168.234/24)
eth4 -> WLAN (192.168.233/24)
Ausserdem läuft auf dem Router noch ein pptpd der den WLAN Nutzern interne
LAN adressen zuweist.
Das interne LAN wird mitels Masqurading nach außen angebunden.
Wenn ich nun meinen Laptop im WLAN betreibe, und einen pptp Tunnel öffne,
gibt es einige Server, z.B. web.de die zwar mittels ICMP problemlos zu
erreichen sind, aber sich z.B. nicht per WWW erreichen lassen. Ein TCP Dump
erbrachte folgendes:
14:59:12.782929 golan-zr12.fem.tu-ilmenau.de.1097 > ha-42.web.de.www: S
2450003094:2450003094(0) win 16384 <mss 1400,nop,nop,sackOK> (DF)
14:59:12.946947 ha-42.web.de.www > golan-zr12.fem.tu-ilmenau.de.1097: S
1424807005:1424807005(0) ack 2450003095 win 5840 <mss 1410,nop,nop,sackOK>
(DF)
14:59:12.950686 golan-zr12.fem.tu-ilmenau.de.1097 > ha-42.web.de.www: . ack
1 win 17640 (DF)
14:59:17.790942 ha-42.web.de.www > golan-zr12.fem.tu-ilmenau.de.1084: .
436431599:436433009(1410) ack 2218358288 win 5840 (DF)
14:59:17.791346 golan-zr12.fem.tu-ilmenau.de.1084 > ha-42.web.de.www: R
2218358288:2218358288(0) win 0 (DF)
14:59:34.952849 golan-zr12.fem.tu-ilmenau.de.1097 > ha-42.web.de.www: P
1:2(1) ack 1 win 17640 (DF)
14:59:35.051395 ha-42.web.de.www > golan-zr12.fem.tu-ilmenau.de.1097: . ack
2 win 5840 (DF)
ck 1 win 17640 (DF)
14:59:35.502887 ha-42.web.de.www > golan-zr12.fem.tu-ilmenau.de.1097: . ack
3 win 5840 (DF)
14:59:35.765664 golan-zr12.fem.tu-ilmenau.de.1097 > ha-42.web.de.www: P
3:4(1) ack 1 win 17640 (DF)
14:59:35.929429 ha-42.web.de.www > golan-zr12.fem.tu-ilmenau.de.1097: . ack
4 win 5840 (DF)
14:59:36.356562 golan-zr12.fem.tu-ilmenau.de.1097 > ha-42.web.de.www: P
4:6(2) ack 1 win 17640 (DF)
14:59:36.496630 ha-42.web.de.www > golan-zr12.fem.tu-ilmenau.de.1097: . ack
6 win 5840 (DF)
14:59:37.650502 ha-42.web.de.www > golan-zr12.fem.tu-ilmenau.de.1097: .
1:1411(1410) ack 6 win 5840 (DF)
14:59:37.650636 golan-zr12.fem.tu-ilmenau.de > ha-42.web.de: icmp:
vpn-nowackt.lan.indiancoder.de unreachable - need to frag (mtu 1400) [tos
0xc0]
14:59:37.656578 ha-42.web.de.www > golan-zr12.fem.tu-ilmenau.de.1097: .
1411:2821(1410) ack 6 win 5840 (DF)
14:59:37.656787 golan-zr12.fem.tu-ilmenau.de > ha-42.web.de: icmp:
vpn-nowackt.lan.indiancoder.de unreachable - need to frag (mtu 1400) [tos
0xc0]
Diese letzte Zeile ließ mich dann stutzig werden. Wie kann ich nun
erreichen das ich Pakete der richitgen mtu bekomme, die auch der Client am
Ende des Tunnels verarbeiten kann.
Den hinweise aus der IP-Tables manpage: iptables -A FORWARD -p tcp
--tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400 habe ich in meiner
iptables configuration schon aufgenommen.
Webseiten die der Client ohne Nat erreichen kann funktionieren einwandfrei.
Ich wollte eigentlich nicht als "workaround" auf dem Router noch einen
Squid aufsetzten.
TobbY