Hallo @almightyloaf,
vielen Dank für deine Anfrage.
Bemerkst du denn Einschränkungen bei der Nutzung oder geht es jetzt nur um eine allgemeine Erklärung? Treten z.B. Paketverluste auf?
Gut, dass du schon etwas getestet hast, dass die Firewall nicht schuld ist, hilft ja schon einmal weiter.
Die Ursachen können hier wie immer vielfältig sein. Vielleicht findet sich hier ja noch jemand, der sich damit auskennt, @pufferueberlauf0 z.B.?
Viele Grüße
Giulia
Hallo @almightyloaf,
Bemerkst du denn Einschränkungen bei der Nutzung oder geht es jetzt nur um eine allgemeine Erklärung? Treten z.B. Paketverluste auf?
Normalerweise sollte es eben nicht dazu kommen (*1), da viele Dienste sich bewusst für kleinere MTUs entscheiden (*2), unter anderem um eben solche Fragmentierungsprobleme zu vermeiden. Dazu ist dieses nur bei UDP stark problematisch, TCP kann fehlende Pakete ja wieder anfragen.
Allerdings wäre es trotzdem anstrebenswert dass Path MTU Discovery und die erfolgreiche “Zustellung” fragmentierter Pakete, korrekt funktioniert (*3).
Gut, dass du schon etwas getestet hast, dass die Firewall nicht schuld ist, hilft ja schon einmal weiter.
Was ich bisher prüfen konnte, ist dass ICMPv6 Type 2 Code 0 (also Packet Too Big) nicht blockiert werden, so dass das Interface eben “bescheid weisst” dass es an der MTU ran muss damit das Paket durchgeht und nicht verworfen wird. Das gilt bei IPv6 besonders, da IPv6 Pakete nur vom senden Interface fragmentiert werden darf, nicht von zwischenliegenden Netzelementen.
Bei IPv4 wäre das pendant ICMPv4 Type 3 Code 4, da erhält das sendende Interface ebenfalls die zu verwendende MTU. Hierfür ist es natürlich nötig, dass diese ICMP Pakete durchgehen.
Deshalb habe ich auch testweise in meine Firewall ICMPv4 und ICMPv6 komplett auf gemacht sowie auf meine Testgeräte die Firewall deaktiviert, um das als Faktor auszuschliessen.
Das “Problem” dabei ist, dass auch mit dem üblichen Regelset den ich anwende, die Testergebnisse exakt gleich sind wie mit “Tore weit auf für ICMP” Regeln.
Die Ursachen können hier wie immer vielfältig sein. Vielleicht findet sich hier ja noch jemand, der sich damit auskennt, @pufferueberlauf0 z.B.?
Absolut. Ich möchte nicht direkt den Finger “auf Euch” zeigen, sondern erstmal ausschliessen, dass ich irgendwo etwas in der Kette übersehen habe oder nicht wusste.
Theoretisch sollten aber fragmentierten Pakete durchgeleitet werden, insbesondere wenn ICMP korrekt durchgeht, was aber bei meinem Anschluss laut den Tests nicht der Fall ist.
Daher wäre es spannend zu wissen, sieht es z.B. bei pufferueberlauf0 auch so aus, oder ist es regional, oder sind nur FTTH Kunden über Telekom Netz betroffen, …
Im Mobilfunknetz geht es bei mir meistens (IPv4 scheint unauffällig, IPv6 funktioniert sagen wir mal fast immer), bei einem bekannten von mir meinte er beide Tests scheitern sowohl an “ICMP path MTU packet delivery” als auch an “IP fragmented packet delivery” und zwar bei IPv4 und IPv6.
Ähnliches gab es letztes Jahr bei Vodafone (*4), die haben es laut deren Community Beitrag wohl irgendwann auch zu eine Lösung gebracht.
*1) Paketverlust habe ich durchaus, aber liegt höchstwahrscheinlich an etwas anderes, habe auch einen separaten Thema dafür aufgemacht
*2) Siehe https://blog.cloudflare.com/increasing-ipv6-mtu/
*3) Naja, ich möchte nicht gleich unterstellen dass grundsätzliche Pakete nicht zugestellt werden, aber dass fragmentierten Pakete nicht durchgehen (also vor allem welche die vom sendenden Interface fragmentierten werden aufgrund PMTUD, die nicht irgendwie zwischendrin durch ein Netzelement fragmentiert und wieder von einem anderen Netzelement zusammengeführt werden (gilt nur bei IPv4)) könnte eventuell sein
*4) Siehe https://forum.vodafone.de/t5/St%C3%B6rungen-im-Mobilfunk-Netz/Probleme-mit-mobilfunk-datennetz-IPv6-und-IPv4-fragments-MTU/td-p/3100381
Ich habe mit http://icmpcheckv6.popcount.org generelle Erreichbarkeitsprobleme (oft laedt die Seite gar nicht), ich bin nicht 100% sicher was da los, aber habe vor den dort vorgeschlagenen manuellen Test mit curl und tcpdump fuer IPv6 auszuprobieren...
