Übertragung von ascii-strings über ein vpn

[cp]

Hallo Intra2Net,

wir haben seit einiger Zeit ein Phänomen in einem VPN-Tunnel: Wir übertragen in dem Tunnel einfach ein paar ascii-strings. Dabei misslingt regelmässig die erstmalige Übertragung (das vpn bricht aber nicht ab). Wird die Übertragung erneut wieder angestossen, gehen die Daten durch. Es hilft auch nicht, "künstlichen Traffic" zu erzeugen, in dem man vor der ersten Übertragung ein Paar Pings loslässt.

Wir wollten nun die erweiterten logs anschalten, aber dann brechen alle vpn-Tunnel ab und lassen sich nicht aufbauen.

Was könnte das grundlegende Problem sein? Gibt es die Möglichkeit, den Fehler auf einem Protokoll zu finden. Die normalen Messages geben da nichts her.

Viele Grüsse
Chr. Pyroth

[bjoerns]

Hallo Herr Pyroth,

Wir wollten nun die erweiterten logs anschalten, aber dann brechen alle vpn-Tunnel ab und lassen sich nicht aufbauen.

das würde ich nicht empfehlen, denn auch in den erweiterten Logdateien des Intranators lässt sich ein solches Problem denke ich nur schwer nachvollziehen.

Was könnte das grundlegende Problem sein? Gibt es die Möglichkeit, den Fehler auf einem Protokoll zu finden. Die normalen Messages geben da nichts her.

Ich vermute eher, dass es sich um einen Protokollfehler handelt. Was für ein Programm kommt denn zum Einsatz, welches die ASCII Zeichen übertragen soll?

Ich denke das Beste wird sein, wenn Sie mal mit einem Paketsniffer ala Wireshark auf dem PC nachsehen, wass denn genau für Pakete geschickt werden, ob der Fehler nicht schon dort zu lokalisieren ist, bevor die Pakete über das VPN geschickt werden.

Viele Grüsse,
Björn Sikora

[cp]

Die Kommunikation ist socket basierend, über TCP IP

Viele Grüsse
Chr. Pyroth

[bjoerns]

Hallo Herr Pyroth,

um was für ein Programm handelt es sich denn genau?

Wie gesagt, am besten mal Wireshark/TCPDUMP einschalten um zu sehen, ob die Kommunikation schon vor dem VPN fehlerhaft ist.

Viele Grüsse,
Björn Sikora

[cp]

Hallo Intra2Net,

wir haben inzwischen mit dem Wireshark mal gecaputed und es sieht so aus, daß Pakete ab einer gewissen Grösse nicht ankommen. Ich kann es auch einfach mit einem Ping probieren. Pinge ich mit ping -f -l 1410 <ip-im-netz-der-gegenstelle>, läuft der Ping. Erhöhe ich den Wert auf 1411 sagt der Intranator, das Paket müsste fragmentiert werden. Das passiert bei allen VPN-Gegenstellen, aber nicht im Internet. Und das scheint auch in diesem Fall unser Problem zu sein, es sind in den VPN-Tunneln, die der Intranator managet, offenbar keine Pakete > 1410 Bytes möglich....

MfG
Chr. Pyroth

[Thomas Jarosch]

Hallo Herr Pyroth,

das klingt nach einem klassichen MTU-Problem. Über was für eine Zugangsart geht der Intranator online?

Stellen Sie testweise im Providerprofil die MTU Größe von Hand auf 1456.
Geht der ping dann durch?

Verwenden Sie in Ihrem Providerprofil eine vordefinierte Firewall-Regelliste oder haben Sie die Regeln selbst erstellt?

Herzliche Grüße,
Thomas Jarosch

[Thomas Jarosch]

Hallo Herr Pyroth,

ping -f -l 1410

was mir gerade noch aufgefallen ist: Sie haben die Paket-Fragmentierung (-f) deaktiviert. Dadurch werden große Pakete nicht mehr in viele Kleine aufgeteilt, wie es bei TCP üblich ist.

Normalerweise liegt die MTU (Maximale Paketgröße) bei ca. 1456 oder 1492. Abzüglich ein wenig Platz für die Kopfeinträge eines Pakets + Verwaltung für die Verschlüsselung kommt der Wert 1410 ganz gut hin.

Was passiert bei einem normalen, großen ping mit Fragmentierung?

Herzliche Grüße,
Thomas Jarosch

[cp]

Hallo Herr Jarosch,

Es ist ein TDSL-Business 16.000 mit fester IP.

Ich habe die MTU Größe von Hand auf 1456 gestellt. Jetzt gehen nur noch 1378-Byte große durch den Tunnel.

Im Provider Profil vom Intranator habe ich zur Auswahl

nicht angehakt
Eingehender SMTP-Port aktiviert
Port Forwarding aktiviert
SSH Kommandozeilen-Zugriff aktiviert

angehakt ist
VPN Verbindungen aktiviert
Eingehende POP3S/IMAPS Verbindungen aktiviert
Eingehende HTTPS Verbindungen aktiviert

[cp]

Hallo Herr Pyroth,


was mir gerade noch aufgefallen ist: Sie haben die Paket-Fragmentierung (-f) deaktiviert. Dadurch werden große Pakete nicht mehr in viele Kleine aufgeteilt, wie es bei TCP üblich ist.

Normalerweise liegt die MTU (Maximale Paketgröße) bei ca. 1456 oder 1492. Abzüglich ein wenig Platz für die Kopfeinträge eines Pakets + Verwaltung für die Verschlüsselung kommt der Wert 1410 ganz gut hin.

Was passiert bei einem normalen, großen ping mit Fragmentierung?

Herzliche Grüße,
Thomas Jarosch

Ja. Mein Ziel ist, ein Paket > 1410 Bytes durch den Tunnel zu kriegen. Nach dem was ich jetzt lese, funktionert das aber wohl nicht...der normale Ping geht durch.

[Thomas Jarosch]

Hallo,

Ja. Mein Ziel ist, ein Paket > 1410 Bytes durch den Tunnel zu kriegen. Nach dem was ich jetzt lese, funktionert das aber wohl nicht...der normale Ping geht durch.

Bekommen Sie auch einen ping der Größe 2500 durch den Tunnel (lassen Sie hierbei die Fragmentierung aktiv, sonst klappt es nicht)?

Ihre Datenübertragung läuft per TCP soweit ich weiss. Normalerweise übernimmt das Protokoll die Fragmentierung automatisch, Ihr Programm sollte davon nichts merken.

Herzliche Grüße,
Thomas Jarosch

[cp]

Ja. Mit Fragmentierung ist 2500 kein Problem. Könnte es sein, daß der Windows-Server erst ab einem grösseren Wert fragmentiert und sich daran der Intranator stört?

MfG
Chr. Pyroth

[bjoerns]

Hallo Herr Pyroth,

wenn ein ping > 1500 durch geht, dann fragmentiert der Intranator die IP-Pakete (Fragmentiert wird das IP-Datagramm, das ist Teil des Internet Protokols).

Meine Vermutung ist eher, dass die Applikation das Don't Fragment Bit setzt. Dies sollte aber im Wireshark in den IP-Headern der Pakete zu sehen sein (DF-Flag).

Kommt ein "ping -f -l 2000" vom Windows-Server zum Intranator zurück? Bzw. welche MTU hat das lokale Netz (größer 1500)?

MFG Björn