Wieso verbessert MTU von 1280 bei Störung die Verbindung?

[debianoli]

Hi,

heute gab es bei meinem Internet-Provider O2 eine Störung, die DSL-Verbindung war stabil, aber sehr viele Seiten konnten nicht aufgerufen werden. SSH-Zugriff nach draußen war jedoch möglich, ebenso wie Ping. In einem Störungsforum fand ich dann den Hinweis, den MTU auf 1280 zu setzen. Da es diese Option in der Fritzbox bei den EInstellungen für IPv6 gibt, habe ich es getestet. Daraufhin gingen die meisten Seiten wieder.

Frage: Warum bringt der MTU-Wert 1280 bei manchen Störungen etwas? Kann man das pauschal sagen, dass man bei TCP-Störungen den MTU-Wert auf 1280 setzen kann und gut ist es? Oder war das eher Zufall?

[mat6937]

..., die DSL-Verbindung war stabil, aber sehr viele Seiten konnten nicht aufgerufen werden.

Waren das evtl. Seiten die nur per IPv4 erreichbar sind?

[debianoli]

wie überprüfe ich, ob eine Seite nur per IPv6 oder IPv4 erreichbar ist?

Was ging, war youtube und google. o2online.de dagegen war nicht aufrufbar, ebenso duckduckgo.com

[mat6937]

wie überprüfe ich, ob eine Seite nur per IPv6 oder IPv4 erreichbar ist?

Was ging, war youtube und google. o2online.de dagegen war nicht aufrufbar, ebenso duckduckgo.com

Z. B. so:

Code: Alles auswählen

:~$ host -t AAAA o2online.de
o2online.de has no AAAA record

Code: Alles auswählen

:~$ host -t AAAA duckduckgo.com
duckduckgo.com has no AAAA record

Hast Du bei O2 DS oder DS-lite?

[debianoli]

DS oder DS-Lite: Laut Fritzbox habe ich IPv6 über diese Option aktiviert und erhalte auch eine IPv4 und IPv6-Adresse:

Immer eine native IPv4-Anbindung nutzen (empfohlen)

Zunächst wird eine native IPv4-Verbindung aufgebaut. Falls per DHCP ein 6RD-Server gelernt wurde, wird ein 6RD-Tunnel aufgebaut. Ansonsten wird versucht, eine native IPv6-Verbindung aufzubauen (Dual Stack).

Dann habe ich hier einen echten Dual-Stack-Anschluss?

[mat6937]

Dann habe ich hier einen echten Dual-Stack-Anschluss?

OK. Dann solltest Du immer (d. h. im Fehlerfall) schauen ob die FritzBox auch eine native IPv4-Verbindung aufgebaut hat und ob in deinem PC (an der FritzBox) eine interne IPv4-Adresse zugewiesen worden ist bzw. eine v4-default-Route via FritzBox (als gateway) konfiguriert ist. Z. B. mit einem v4-Ping an eine externe IPv4-Adresse:

Code: Alles auswählen

ping -c 3 1.1.1.1

[debianoli]

OK. Dann solltest Du immer (d. h. im Fehlerfall) schauen ob die FritzBox auch eine native IPv4-Verbindung aufgebaut hat und ob in deinem PC (an der FritzBox) eine interne IPv4-Adresse zugewiesen worden ist bzw. eine v4-default-Route via FritzBox (als gateway) konfiguriert ist.

Dann hatte die Störung heute etwas mit einer fehlenden IPv4-Adresse für meinen Anschluss zu tun? Und wieso bringt dann ein MTU Wert von 1280 eine Verbesserung des Verhaltens?

[mat6937]

Dann hatte die Störung heute etwas mit einer fehlenden IPv4-Adresse für meinen Anschluss zu tun?

Evtl. ja, aber das stellt man ja durch den Ping und ob das v4-Routing in deinem Endgerät vorhanden ist, fest.

Und wieso bringt dann ein MTU Wert von 1280 eine Verbesserung des Verhaltens?

Ich denke, dass der default v6-MTU-Wert der FritzBox schon 1280 war. Aber durch die (erneute) Eingabe/Konfiguration wird die FritzBox etwas durchgeführt haben, dass die v4-Verbindungen ins Internet wieder ermöglicht hat. Aber genau weiß man das, wenn man bei erneutem Eintritt des Fehlers, anders testet (siehe oben).

[debianoli]

Ah, ok, das würde Sinn machen. Danke für die Erklärung und die Tipps. Bei der nächsten Störung weiß ich jetzt, was ich alles prüfen kann.

[wanne]

Bei TCP (unter Linux) sollte das einstellen der MTU maximal irgend welche performance Unterschiede machen. Sind die Pakete zu groß reduziert Linux automatisch die Paketgrößen. Eine exakt passend gewählte gibt dir also maximal einen Performance-Boost weil du von Anfang an eine exakt passende nutzt.
1280 sind aber eher deutlich zu klein gewählt. Üblicherweise hast du so ~1500Byte. Das wird es also eher schlechter.
Bei IPv6 ist dieses Verhalten sogar Pflicht.
Die Aushandlung kann da noch schief laufen, in dem z.B. irgend wo ICMP-Pakete gedropped werden aber der Linux tcp-Stack ist da mittlerweile sehr robust und gegen allerlei Schandtaten des Netzwerks gewappnet.

Was ging, war youtube und google. o2online.de dagegen war nicht aufrufbar, ebenso duckduckgo.com

Das Passt sehr gut zu einem IPv4 Problem.
Youtube und google nutzten IPv6. o2online.de und duckduckgo.com haben kein IPv6. Allerdings sind die beiden Seiten auch über QUIC (Und damit UDP) zu erreichen.Interessant wäre mal das Debianforum, dass auch IPv6 aber kein QUIC spricht.

DS oder DS-Lite: Laut Fritzbox habe ich IPv6 über diese Option aktiviert und erhalte auch eine IPv4 und IPv6-Adresse:

Immer eine native IPv4-Anbindung nutzen (empfohlen)

Zunächst wird eine native IPv4-Verbindung aufgebaut. Falls per DHCP ein 6RD-Server gelernt wurde, wird ein 6RD-Tunnel aufgebaut. Ansonsten wird versucht, eine native IPv6-Verbindung aufzubauen (Dual Stack).

Dann habe ich hier einen echten Dual-Stack-Anschluss?

Ich würde das jetzt nicht so einfach daraus schließen. Was sagt denn "Internet" -> "Online-Monitor" -> "Internet, (In der erweiterten Ansicht). Was hast du da für eine IP? Irgend was aus 100.64/10? Das ist ein weiterer privater Bereich extra für DS-Lite. Sonst gibt es natürlich die klassichen 10/8, 172.16/12 und 192.168/16

[eggy]

@wanne: nein, leider reicht der Automatismus nicht in allen Fällen.
Ich hatte letzte Woche unterwegs mal folgende lustige Situation: Zugriff aufs Forum lesend ging noch, Antworten schreiben erst nachdem ich die MTU runtergedreht hatte, einige Webseiten waren lesbar, andere hingegen nicht. MTU anpassen und gut - auf sowas Abwegiges muss man erstmal kommen.
Also ne ähnliche Situtation wie oben, allerdings VPN übers Telekomiker-Mobilnetz und früherTM gings, soweit ich mich erinnern kann, auch ohne MTU-Gebastel.

Noch nen analoger Fall aus dem selben Zeitraum: Laptop->Fritzbox->Internet->Fritzbox->Jumphost->SSHTarget, bleibt beim KeyExchange einfach in der Luft hängen, Logs geben nichts Verwertbares her, und auch sonst nix woran es sich festmachen ließe - aber mit MTU-Beschränkung gings dann. Das versteh mal einer.

Wenns nur das Mobilnetz betreffen würde, wäre ja klar, wo der Schuldige zu suchen wäre, nur das zweite Problem war komplett Mobilnetzfrei. Es war auch kein reines IP4/IP6 Problem, die erste Box hatte wohl v6, auf der zweiten hab ich sowohl reines v4 als auch v6/v4 versucht, Umstellung hatte aber keine Auswirkungen. Kann auch sein, dass die kürzlich mal in der Firmware von der Fritzbox was gravierendes geändert haben, mich nervt seit nen paar Wochen die Spoofing-Erkennung, die mir mehr oder weniger random die VMs auf dem Weg ins Internet wegblockt. Nen anderer Erklärungsversuch wäre evtl noch der Kernel (bzw sein Netzwerkstack), hier sid 4.19.20-1.

[debianoli]

Dann habe ich hier einen echten Dual-Stack-Anschluss?

Ich würde das jetzt nicht so einfach daraus schließen. Was sagt denn "Internet" -> "Online-Monitor" -> "Internet, (In der erweiterten Ansicht). Was hast du da für eine IP? Irgend was aus 100.64/10? Das ist ein weiterer privater Bereich extra für DS-Lite. Sonst gibt es natürlich die klassichen 10/8, 172.16/12 und 192.168/16

Bei der Ansicht kommt eine richtige IPv4-Adresse 95.118.xx.xxx mit dem Eigentümer Telefonica

Eine weitere Fehlermeldung heute Vormittag betraf Seiten mit https. Da klappte der Handshake nicht.

[ingo2]

Wenns nur das Mobilnetz betreffen würde, wäre ja klar, wo der Schuldige zu suchen wäre, nur das zweite Problem war komplett Mobilnetzfrei. Es war auch kein reines IP4/IP6 Problem, die erste Box hatte wohl v6, auf der zweiten hab ich sowohl reines v4 als auch v6/v4 versucht, Umstellung hatte aber keine Auswirkungen. ...

Mir ist da gerade noch eine Idee gekommen. Habe mich ja gerade ausführlich mit Linphone und SIP-Telefonie beschäftigt. Beim SIP-Protokoll wird häufiig (z.b. auch in linphone und twinkle) als Default-MTU 1300 gesetzt.

Ist es möglich, daß aufgrund von irgendwelchen Umständen auf einer Teilstrecke SIP zum Einsatz kommt?
Das könnte z.B. eine Richtfunkstrecke sein, die SIP als p2p-Protokoll einsetzt.

Ingo