Gelöst - OPENVPN - Keine Paket Fragmentierung

[missionleben]

Hallo,

Wenn ich einen Tunnel über OPENVPN aufbaue bekomme ich Pakete mit 1472 byte hindurch. Leider bekomme ich kein Paket fragmentiert. D.h. bei 1472 ist schluss. Pakete >1472 kommen nicht an.  Kann das jemand nachvollziehen? Wo habe ich eine Einstellung  übersehen?

Gruß

Christian

[JeGr]

Wo ist daran denn das Problem? Ein Paket kann eben 1500 nicht übersteigen ohne gesplittet zu werden. Das ist normal und OK. Und je nach verwendetem Protokoll (TCP/UDP) und Einwahl via Provider (IP vs. PPPoE) ist hier noch mehr oder weniger Overhead abzuziehen. Wenn Pakete > 1472 nicht durch kommen, dann heißt das, dass an dieser Grenze mit Headern und Einpacken die 1500 erreicht sind und mehr nicht geht. Daran sollte man dann ggf. die MTU des Tunnels anpassen und dann sollte das auch keine Probleme geben.

Grüße

[missionleben]

Das Problem ist, das ich möchte das es fragmentiert. Und das tut es nicht. Das die unfrgmentierte grösse von verschiedene Overheads (VPN etc.) abhängt ist schon klar. Trotzdem müsste ein grösseres Paket fragmentieren und durchgehen. Aber genau das passiert nicht.

[JeGr]

Dazu wäre es schön wenn du überhaupt einmal das Problem beschreiben könntest, anstatt zu sagen, was du möchtest

[missionleben]

Ähm hatte ich das nicht? (Dachte ich zumindest ;-) ). Also das Problem ist simpel. Ich schicke einen Ping an ein Gerät / oder auch auf das Interner Interface der Opensense hinter den OpenVpn Tunnel. Mit einer Size bis 1472 funktioniert das mit einer Size grösser 1472 kommt nur "Das Zielnetz ist nicht erreichbar"  Also wird das Paket nicht fragmentiert. Das selbe Spiel unter PFsense oder Fortigate  funktioniert.Also muss es an den Einstellungen in Opnsense liegen. Nur wo?

Ach ja die Meldung "Zielnetz nicht erreichbar kommt von der Internen IP des OpenVPN Tunnels (Client-Server VPN)

[franco]

Vielleicht das hier? Firewall: Settings: Normalization, passende Regel anlegen für das Interface mit "Maximum MSS".

Wenn es ein OpenVPN Client ist kann man den auch einem Interface zuordnen und dann in den Interface Einstellungen MTU/MSS vornehmen.


Grüsse
Franco

[missionleben]

Hallo,

Ich weiss nicht ob das die Lösung ist. Ich errinere mich wieder, das wir das Problem schon mit der 16.4 hatten und dort nicht lösen konnten. Der Anschluss gibt die volle MTU Size. Also nichts PPPOE oder sonstiges. Die Firewall muss doch bei solchen Standartparametern die MSS richtig setzen. Ich habe das natürlich auch mit der von dir beschrieben Einstellung versucht, jedoch hat dies keine Änderunge ergeben. Kann es sich dabei um einen Bug handeln? Das Thema verfolgt mich schon länger. PFSense und Fortigate verhalten sich dabei definitiv anders.   
Vielleicht verstehe ich an dieser Stelle aber auch etwas falsch....Es gibt doch hier sicherlich viele die OpenVPN oder IPSEC einsetzen könnt Ihr das Problem nachvollziehen?

Gruß

Christian

[missionleben]

Hallo zusammen,

hier  ein Aufruf an alle die ipsec und openvpn einsetzen. Könnt ihr bitte testen ob durch den Tunnel Pakete grösser 1472 durchgehen? Also ob der Tunnel die Pakete fragmentiert? Wenn ja bitte kurz eine Beschreibung hinterlassen mit was es funktioniert. (Ipsec , openvpn client/Server etc.) Danke!

Gruss

Christian

Unter Windows einfach ein ping auf eine IP hinter der opnsense durch den Tunnel machen. z.B. ping 192.168.0.10  -l 1500 Wenn da eine Antwort kommt reicht das schon als Test.

Gesendet von meinem Nexus 6P mit Tapatalk

[missionleben]

Ich habe nun endlich den Fehler gefunden. Es liegt an einen zusammenspiel mit pfsense. Ich habe bei pfsense das scrub disabled und schon geht es.