IP tunel - problem

Jan "Yenya" Kasprzak kas at fi.muni.cz
Sat Jul 11 00:03:13 CEST 1998 

	Dobry den,

	narazil jsem na zajimavy problem s TCP. Problem jsem jiz vyresil,
ale zajimalo by me, proc to funguje tak, jak to funguje.

	Situace: POP-3 server ve vnitrni siti s IP adresou 192.168.1.3,
na teze siti packetovy filtr pod Linuxem v roli firewallu (192.168.1.2),
z druhe strany (napriklad) 1.2.3.1,  za nim nasleduje cisco s IP adresou
1.2.3.4 napojene do Internetu. Na ciscu je GRE IP tunel. Na druhem
konci tunelu je zase cisco a vzdalena sit (192.168.9.):

[POP-3, 192.168.1.3]
         |
         |
[FW, 192.168.1.2, 1.2.3.1]
         |
         |
[Cisco 1, 1.2.3.4, konci zde GRE tunel]
         |
      (internet)
         |
[Cisco 2, druhy konec GRE tunelu]
         |
      (sit 192.168.9)

	Problem: Klient na vzdalene siti (192.168.9.cokoli) se spoji na POP-3
server. Spojeni probehne, prihlaseni probehne (==> firewall je nakonfigurovany
dobre), ale pri prenosu vetsiho souboru se TCP spojeni zasekne. Po nejake
dobe zkoumani jsem zjistil, ze firewall vypisuje do logu nasledujici zpravu
o zahozenem packetu:

Jul  5 10:17:23 fw-int kernel: IP fw-fwd deny eth0 ICMP/3 1.2.3.4 192.168.1.3 L=90 S=0xC0 I=65344 F=0x0000 T=62

	Coz znamena, ze Cisco 1 se snazilo poslat POP-3 serveru zpravu
ICMP destination unreachable (ICMP typ 3). Kdyz tento druh packetu na
firewallu povolim, vsechno funguje, jak ma. Vi nekdo, proc by tohle mohlo
nastat a proc to potrebuje k zivotu ICMP paket?

	Napadlo me jedine vysvetleni, ale nevim, jestli je to mozne:
POP-3 server ma na svem ethernetu MTU 1500, ale v tunelu je pochopitelne
MTU mensi o rezii tunelu. Takze MTU cele cesty je mensi nez 1500. A POP-3
server posila data s bitem "don't fragment", cimz provadi path MTU discovery.
A k uspesne funkci path MTU discovery potrebuje, aby se mu zpet vratila
zprava "Fragmentation needed", ma-li cesta mensi MTU nez 1500.
Ta ICMP zprava asi tedy ma podtyp (kod) 4-"Fragmentation needed".
Jak probiha path MTU discovery - je mozne, ze tohle je presne muj pripad?

-Yenya

--
\ Jan "Yenya" Kasprzak <kas at fi.muni.cz>       http://www.fi.muni.cz/~kas/
\\ PGP: finger kas at aisa.fi.muni.cz   0D99A7FB206605D7 8B35FCDE05B18A5E //
\\\             Czech Linux Homepage:  http://www.linux.cz/              ///
If there are race conditions in programs fix them. The "my programs suck fix
something else" mentality leads you to things like Java.         -- Alan Cox

More information about the net mailing list