Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

HamBam
Beiträge: 18
Registriert: 30 Sep 2020, 15:17

Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von HamBam »

Hallo zusammen,

ich habe ein Problem mit Igel-Clients an allen unserer Außenstandorte.
Wir haben ein paar neue Clients (UMS6) im Einsatz. Alle diese Clients haben Probleme bei der Kommunikation mit HTTPS-Servern, welche an unserem Hauptstandort stehen.

Nachdem ich mir das Wiresharklogfile des Lancomrouters angeschaut habe, ist mir aufgefallen das der lancom dem Igel-Client ICMP-Pakete schickt. Laut diesem Paket hat der nächste Hop eine MTU von 576, was aber nicht stimmt.
Ich habe daher die MTU des Site2Site Tunnels auf beiden manuell auf 1380 gesetzt, diese waren vorher unterschiedlich. Der Hauptstandort hatte 1438 gesetzt und der Lancom 1396. Die MTU der Igel-Clients und auf der HTTPS-Server habe ich auf 1300 gesetzt, da alle Pakete des Igel-Clients mit dem DNF_Bit versehen sind. Somit sollte es bei der Übertragung kein Problem mehr mit der MTU geben.

Das Problem bleibt aber weiterhin bestehen. Der Lancom meldet nach wie vor sporadisch das der nächste Hop eine MTU von 576 hat. Laut RFC ist das die kleinste zulässige MTU. Macht der Lancom hier irgendein Fallback weil er mittels Path MTU etwas nicht ermitteln kann oder woher kommt dieser MTU-Wert?

Ich stehe aktuell etwas auf dem Schlauch.

Das mysteriöse: irgendwann nach einer Stunde oder ein paar Minuten geht die Kommunikation mit dem Server einfach ohne das jemand etwas geändert hat. Irgendwann geht es dann wieder nicht mehr... Das geht dann immer so weiter.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von Dr.Einstein »

VoIP Call Manager auf dem Lancom aktiv? Schau mal im LanConfig auf VCM / Erweitert und schmeiß hinten den Blödsinn mit PTMU etc raus.

Gruß Dr.Einstein
HamBam
Beiträge: 18
Registriert: 30 Sep 2020, 15:17

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von HamBam »

Ja, der ist aktiv. Ich schau gleich mal nach.
HamBam
Beiträge: 18
Registriert: 30 Sep 2020, 15:17

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von HamBam »

Hab ich jetzt von "Reduktion der PMTU" auf "keine Veränderung" umgestellt. Past so oder?
Verstehe ich das richtig das die Plastikrouterapokalypse das SSL Paket als VoIP-Paket erkannt hat und daher die MTU angemeckert hat?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von 5624 »

Verstehe ich das richtig das die Plastikrouterapokalypse das SSL Paket als VoIP-Paket erkannt hat und daher die MTU angemeckert hat?
Nein, vermutlich lief in dem Moment ein VoIP-Gespräch und propagiert der Router eine Path-MTU von, in deinem Fall 576, um den Fluss der Daten besser steuern zu können. Die Path-MTU wird dann den Geräten im Netzwerk per ICMP mitgeteilt, damit die die Paketgröße entsprechend anpassen können und der Router nicht fragmentierend bzw. in deinem Fall ablehnend eingreifen muss. Es gibt auch sehr viele Geräte, die mit der Path-MTU nichts anfangen können und nichts machen.

Die Path-MTU wird erst mit IPv6 verpflichtend, weil bei IPv6 der Router nicht mehr fragmentiert sondern dieses muss zwingend vom Endgerät gemacht werden.

Je nach Internetverbindung könntest du jetzt aber Probleme bei der Telefonie bekommen, wenn die Leitung etwas ausgelastet ist, da jetzt dreimal so lange auf eine Möglichkeit gewartet werden muss, um ein höherpriorisiertes Paket in den Paketstrom einzuschieben.
LCS NC/WLAN
HamBam
Beiträge: 18
Registriert: 30 Sep 2020, 15:17

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von HamBam »

OK, jetzt schließt sich der Kreis. Ich habe heute mit der Mitarbeiterin vor Ort telefoniert und wir haben uns beide gewundert warum es genau jetzt gar nicht mehr funktioniert. Danke für die Erklärung.

In dem Fall muss ich sagen ist mir der Traffic vom Igel Client wichtiger als das Telefon. Sollte es Probleme geben, gibt es eben noch einen zweiten Telefonanschluss in den Außenstellen mit einer schlechten Anbindung. Die Igel-Clients verursachen typischerweiße eher keine hohe Auslastung.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von Dr.Einstein »

Wird nicht passieren. Keine Ahnung, wieso Lancom nach all den Jahren das uralte Relikt nicht aus den Standardeinstellungen entfernt hat.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von Jirka »

Dr.Einstein hat geschrieben: 19 Nov 2020, 23:01 Wird nicht passieren.
Sehe ich ganz genauso, denn dafür müsste er nämlich einen Upload von weniger als 750 kbit/s haben. Vgl.: viewtopic.php?f=41&t=18169&p=103458#p103458

Viele Grüße,
Jirka
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von backslash »

Hi HamBam,

hier ist aber nicht die PMTU-Reduzierung des LANCOMs der Grund für das Problkem, sondern deine Clients selbst... Denn wenn sie schon das DF-Bit setzen, dann *MÜSSEN* er auch auf ICMP "fragmentation needed, but DF bit set" so reagieren, wie es der RFC - vorschreibt - spich: die Paketgröße passend reduzuieren...
Wenn die Clients das nicht können, dann wirf sie in die Tonne - bzw. zurück an den Hersteller!
PMTU-Discovery ist zeit Jahzehnten Standard im Internet.

Gruß
Backslash
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von Jirka »

*Daumen nach oben*
HamBam
Beiträge: 18
Registriert: 30 Sep 2020, 15:17

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von HamBam »

Das stimmt wohl, besonders wenn man bedenkt das die Clients früher oder später auch bei abgeschalteter Reduzierung der PMTU auf die Nase fallen. Schickt der Client ein Paket mit einer 1500er MTU schickt der lancom das sicher zurück, da der VPN Tunnel nur eine 1438er MTU hat....

Problem habe ich bereits an den Support des Herstellers gemeldet.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von GrandDixence »

Dr.Einstein hat geschrieben: 19 Nov 2020, 23:01 Keine Ahnung, wieso Lancom nach all den Jahren das uralte Relikt nicht aus den Standardeinstellungen entfernt hat.
Ja, LANCOM sollte dieses uralte Relikt endlich aus den Standardeinstellungen entfernen.

Sinnvoller wäre die Implementierung einer wirkungsvollen Massnahme gegen Bufferbloat in LCOS (=> Das zweite Youtube-Video ist unterhaltsam :D ).
fragen-zum-thema-firewall-f15/bandbreit ... tml#p98385
backslash hat geschrieben: 20 Nov 2020, 10:38 hier ist aber nicht die PMTU-Reduzierung des LANCOMs der Grund für das Problkem, sondern deine Clients selbst... Denn wenn sie schon das DF-Bit setzen, dann *MÜSSEN* er auch auf ICMP "fragmentation needed, but DF bit set" so reagieren, wie es der RFC - vorschreibt - spich: die Paketgröße passend reduzuieren...
Dies geschieht wahrscheinlich auch durch den TCP/IP-Netzwerkstack vom Betriebssystem (LInux). Jedoch sieht der mit Wireshark unerfahrene Benutzer die ICMP-Meldungen, wenn die IP-Paketgrösse vergrössert wird und wegen dem tieferen MTU-Wert des dazwischen liegenden Netzwerksegments nicht durch kommt.

Zu PMTUD (Path MTU Discovery) ist zu beachten, dass leider weltweit viele Firewalls in Betrieb sind, welche die Übertragung von ICMP unterbinden, so dass die oben genannte ICMP-Mitteilung gar nie beim Sender ankommt. Solche Firewalls agieren als Schwarze Löcher (black holes) für diese Verbindungen.
https://de.wikipedia.org/wiki/Path_MTU_Discovery

https://www.msxfaq.de/netzwerk/grundlagen/mtu.htm

Es ist effizienter, man sorgt als Netzwerkadministrator dafür, dass:
  • alle selber verwalteten Netzwerke eine MTU von 1500 Bytes aufweisen (MTU von Ethernet)
UND
  • der Internetanschluss eine MTU von mindestens 1500 Byte aufweist.
UND
  • alle in den selber verwalteten Netzwerke eingesetzten Firewalls ICMP durchlassen. In das Betriebssystem integrierte Firewall nicht vergessen (zum Beispiel: Windows-Firewall)!
https://community.upc.ch/t5/Connect-Box ... 1519#M7731

Bei VPN-Tunneln ist wegen dem Verschlüsselungsanteil die MTU < 1500 Byte. Der Verschlüsselungsanteil (overhead) ist beim Einsatz eines mit IKEv2/IPSEC und moderner AEAD-Verschlüsselung realisierten VPN-Tunnels nicht all zu gross. Deshalb weisen die mit LANCOM-Geräten und IKEv2/IPSec realisierten VPN-Tunneln eine MTU von 1400 Byte auf.

https://www.hamwan.org/Standards/Networ ... IPsec.html

https://community.upc.ch/t5/Connect-Box ... 3647#M3686

https://de.wikipedia.org/wiki/Authenticated_Encryption

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

LANCOM-Router sorgen mit "MSS Clamping" dafür, dass durch den VPN-Tunnel laufende TCP-Verbindungen eine Path-MTU von 1400 Byte verwenden. Für durch den VPN-Tunnel laufende UDP-Verbindungen oder Spezialanwendungen (zum Beispiel: ESP) mit grossen IP-Pakete muss zwingend ein "Path Discovery-Verfahren" eingesetzt werden:

https://www.msxfaq.de/netzwerk/grundlagen/mtu.htm

https://community.upc.ch/t5/Connect-Box ... 1519#M7731

Übrigens:
Auch die Standardeinstellung (Default-Wert in der LCOS-Menüreferenz) von:

Setup > DHCP > Netzliste > Broadcast-Bit

https://www.lancom-systems.de/docs/LCOS/menuereferenz/

ist völlig daneben. Broadcast-Bit:=Nein kann im Zusammenspiel mit Windows-PC's mit eingeschalteter Windows-Firewall für ziemlich ÄRGER sorgen. Man versuche auf einem Windows 10-Rechner mit # ipconfig /renew (ohne vorgängiges ipconfig /release !!) einen DHCP-Refresh durchzuführen (Renewing Status), wenn ein LANCOM-Router als DHCP-Server fungiert UND mit Broadcast-Bit:=Nein konfiguriert ist. Und beobachtet mit # ipconfig /all die (erfolglose) Verlängerung der Mietdauer der vom DHCP-Server ausgeliehenen IP-Adresse.

https://www.tecchannel.de/a/dhcp-dynami ... l,401208,3

https://www.itslot.de/2016/12/ipconfig- ... lease.html
Zuletzt geändert von GrandDixence am 24 Nov 2020, 08:19, insgesamt 10-mal geändert.
HamBam
Beiträge: 18
Registriert: 30 Sep 2020, 15:17

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von HamBam »

Hier noch eben die Antwort vom Hersteller des Clients:

Nun zu dem noch offenen Punkt (Warum das IGEL OS nicht auf ICMP Pakete mit "fragmentation required" reagiert).
Ich habe hierzu bereits mit unserer Entwicklung gesprochen und konnte dabei folgendes in Erfahrung bringen:
Wir legen eine minimale Größe von Paketen fest. Dieses Limit liegt per default bei 750 bytes. Allerdings wird 576 bytes verlangt.
Es ist allerdings möglich dieses Limit im IGEL Setup in der Registry unter system.sysctl.tcp_min_snd_mss einzustellen.
Hier muss beachtet werden, dass es sich bei diesem Parameter um die Größe eines TCP - Pakets handelt. Demzufolge müsste man noch den IP - Header abziehen.
Es sollte mit der folgenden Einstellung (in Kombination mit der Lancom VOIP Optimierung) funktionieren:
system.sysctl.tcp_min_snd_mss=500
Ich hoffe ich konnte Ihnen weiterhelfen.

:D
HamBam
Beiträge: 18
Registriert: 30 Sep 2020, 15:17

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von HamBam »

Sehe ich das richtig das die Einstellung vom Hersteller gegen die RFC verstößt? :D
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Site2Site ICMP Error - Destination unreachable (Fragmentation needed)

Beitrag von backslash »

Hi HamBam
Sehe ich das richtig das die Einstellung vom Hersteller gegen die RFC verstößt?
korrekt, die minimale MTU im IPv4 liegt bei 576 - siehe RFC791 (internet Protocol) und 1191 (PMTU discovery)
das entspricht dann einer minimalen TCP-MSS von 536

Gruß
Bqackslash
Antworten