gelöst Cisco IOS IPv6 Tunnel MTU Problem dauerhafte TLS-Handshakes

Mitglied: Windows10Gegner

Windows10Gegner (Level 2) - Jetzt verbinden

09.08.2020, aktualisiert 17.08.2020, 476 Aufrufe, 20 Kommentare

Hallo,
ich hatte habe das Problem ja schon lange, ich will das aber jetzt richtig angehen (MTU nicht manuell auf den Clients setzen).

Problem:
Bei manchen Seiten (yahoo.com, rt.com) kommt keine TLS-Verbindung zustande, es wird minutenlang ein TLS-Handschlag durchgeführt. Dies tritt browser- und betriebssystemübergreifend auf.
Das tritt nur bei IPv6 auf, ich betreibe einen IPv6-Tunnel von HE.
Dieser hat bedingt durch den Tunnelmechanismus eine MTU von 1472.
Setze ich die MTU am PC manuell auf 1472 funktioniert alles. Das will ich aber nicht an jedem PC tun.
An einem anderen Anschluss mit FritzBox und einem HE-Tunnel klappt alles, ergo also kein Problem des Tunnelanbieters.

Schuld könnte die Firewall im Cisco-IOS sein.
Anfangs hatte ich am Tunnel keinerlei FW-Regeln eingerichtet.
Jetzt habe ich eine eingerichtet, die alles durchlassen soll (das ist aus Diagnosegründen auch so gewünscht, mir ist die Gefahr bekannt).

Sowohl ausgehend als auch eingehend sollte also alles erlaubt sein.
Das Problem besteht aber weiterhin.

Ich habe daher an beiden Anschlüssen einen Paketmitschnitt am Beispiel von Yahoo gemacht.
https://www.filedropper.com/daheim
https://www.filedropper.com/yahoo

LG WIn10Gegner
Mitglied: LordGurke
09.08.2020 um 21:27 Uhr
Der Cisco müsste für dich TCP MSS-Clamping machen. Dadurch werden die vom Client gesendeten (zu großen) MSS-Values aus dem TCP-Header durch kleinere ersetzt, die durch den Tunnel passen.

Bei IPv4 setzt man das auf dem Tunnel-Interface mit "ip tcp adjust-mss", ich weiß jetzt aus dem Kopf leider nicht, ob es den Befehl exakt so für IPv6 auch gibt.
Bitte warten ..
Mitglied: Windows10Gegner
09.08.2020, aktualisiert um 21:59 Uhr
Den Befehl gibt es exakt so auch für IPv6, wird auch angenommen.
Ändert nur nichts, habe natürlich auf shutdown und wieder no shutdown gestellt.

EDIT: Habe nun 1432 probiert, kein Erfolg, 1452 ist ja zu groß und es kommen 40 Byte IPv6-eader hinzu.
Ergo 1472-40=1432
Bitte warten ..
Mitglied: LordGurke
10.08.2020 um 00:07 Uhr
Oh, ich habe gerade nochmal in der Anleitung nachgeschaut — diese Config muss auf das Ingress-Interface angewendet werden, also auf das dem LAN zugewandte Interface.
Auf dem Tunnel-IF hat das dann nur Wirkung bei eingehenden Verbindungen (schadet also vermutlich nicht).
Bitte warten ..
Mitglied: Windows10Gegner
10.08.2020 um 08:24 Uhr
Habe ich gemacht, bisher keine Wirkung. Habe den kompletten Router neugestartet.
Bitte warten ..
Mitglied: aqui
10.08.2020 um 10:50 Uhr
Schuld könnte die Firewall im Cisco-IOS sein.
Arbeitest du denn mit einer CBAC Firewall oder ZBF Firewall ?
Bitte warten ..
Mitglied: Windows10Gegner
10.08.2020 um 12:08 Uhr
CBAC normalerweise, die aber aber nicht aktiv und soll es auch vorerst nicht werden.
Alles durchlassen soll vorerst passen. Bei mir laufen keine Dienste, die nicht laufen sollen.
Bitte warten ..
Mitglied: aqui
10.08.2020, aktualisiert um 15:39 Uhr
OK, aber dann hast du ja keinerlei Firewall aktiv und damit wäre deine spekulative Frage/Vermutung oben ja dann auch obsolet.
Wo nix aktiv ist kann auch nix gefiltert werden...
Bitte warten ..
Mitglied: Windows10Gegner
10.08.2020 um 15:47 Uhr
Es scheint aber nicht an der FW zu liegen.
Wie gesagt habe ich die MSS für Ipv6 im vlan 1 auf 1432 gesetzt (20 Bit weniger als beim IPv4). Passt das so?
Bitte warten ..
Mitglied: aqui
10.08.2020 um 15:51 Uhr
Es scheint aber nicht an der FW zu liegen.
Eben ! Wenn du gar keine aktiv hast kanns daran ja auch nicht liegen...
Passt das so?
Kannst du dir selber ausrechnen: https://baturin.org/tools/encapcalc/
Bitte warten ..
Mitglied: Windows10Gegner
10.08.2020 um 16:01 Uhr
Da war ich schon. Ich habe als Parent MTU 1472 eingegeben und dann nur IPv6 (40 Byte) gewählt.
Wenn ich es richtig verstanden habe muss ich aber noch den TCP-Header (20 Byte) abziehen, dann wären wir bei 1412, richtig?

Ich will ungern noch 5x den Cisco neustarten
Bitte warten ..
Mitglied: Windows10Gegner
10.08.2020 um 20:56 Uhr
Geht immer noch nicht mit 1412, auch nach dem Neustart.
Bitte warten ..
Mitglied: LordGurke
11.08.2020 um 02:16 Uhr
Ich bin leider jetzt erst dazu gekommen, wirklich die PCAPs anzuschauen.
Die MSS in den TCP-Paketen sieht bereits richtig aus - die wird offenbar von der FritzBox korrekt gesetzt.
Der TCP-Stream im PCAP sieht ebenfalls gut aus, da sind keine Retransmissions zu erkennen (was bei MTU-Problemen zwangsläufig auftreten würde) oder andere offensichtliche Anomalieen auf Layer 3/4.

Interessant ist allerdings die Cipherauswahl des Clients. Diese TLS-Handshakes kann ich tatsächlich aktuell keinem Betriebssystem oder Client zuordnen.
Entweder ist das recht alte Software, die da eine Verbindung versucht - oder da ist irgendeine "Sicherheitssoftware", die die TLS-Verbindung aufbricht und dadurch schwächt. Falls du da einen Virenscanner hast, der TLS aufbricht, deaktiviere den testweise mal und starte den Browser auch mal in einem Private-Tab und teste dann, ob der Aufruf von Yahoo nun funktioniert.
Bitte warten ..
Mitglied: Windows10Gegner
11.08.2020 um 07:08 Uhr
Die Datei yahoo ist unter Ubuntu 20.04 mit Pale Moon entstanden , da funktioniert alles.

Bei mir daheim tritt es in exakt gleicher Konstellatio auf, am anderen Anschluss nicht. Pale Moon unter Ubuntu bzw. Debian und auch im Firefox und in Chromium ist der Effekt vorhanden.

Die Datei daheim ist notgedrungen unter FF 52 (XP) entstanden (ja, unsicher), da ich gerade keine andere VM zur Hand hatte, kann aber gerne direkt vom PC wahlweise mit FF, PM oder Chrome aufzeichnen.
Bitte warten ..
Mitglied: LordGurke
11.08.2020 um 19:49 Uhr
Ah, ich bin da mit den Dateien durcheinander gekommen. In der "daheim.pcapng" ist definitiv die MSS zu hoch (1460 Bytes). Die Frage ist, ob das aktuell immer noch so ist - kannst du das noch einmal jetzt mit der angewendeten Config (die normalerweise keinen Reboot des Routers braucht) testen? Im SYN-Paket findest du das MSS-Value.
Auf der Verbindung zwischen dem Cisco und HE müsste das maximal dem Wert entsprechen, den du konfiguriert hast.
Bitte warten ..
Mitglied: Windows10Gegner
11.08.2020 um 20:12 Uhr
Das erste SYN-Paket (Quelle: Ich) hat eine MSS von 1416, im Cisco sind 1412 konfiguriert.
Das Paket von Yahoo 1440.
Beides macht mich stutzig.
Der neue Mitschnitt (Debian 10, Pale Moon)
http://www.filedropper.com/daheimneu
Bitte warten ..
Mitglied: LordGurke
16.08.2020 um 21:30 Uhr
Sorry, hatte ein wenig um die Ohren.
Die MSS im neuen Capture sieht mit 1416 Bytes eigentlich vollkommen in Ordnung aus.
Könnte es sein, dass die MTU bei HE niedriger konfiguriert ist als auf deiner Seite? Inkonsistente MTUs könnten das Verhalten erklären.

Laut dem Capture kommt die TCP-Verbindung zustande, dein Client sendet den Client-Hello und bekommt diesen per ACK von Yahoo bestätigt.
Das bedeutet also theoretisch, dass der Server-Hello nicht ankommt, weil er möglicherweise zu groß ist und PMTU-Discovery bei Yahoo nicht ordentlich funktioniert.
Bitte warten ..
Mitglied: Windows10Gegner
16.08.2020 um 21:51 Uhr
Bei HE selbst steht in der Konfigurationsanleitung nichts zur MTU.
k.A. ob dann 1472 passt, ich bin aber nochmal die Mail von HE durchgegangen, die sagten der Ubuntu-PC soll eine MTU von 1472 haben, sobald das so ist funktioniert ja auch alles.
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 16.08.2020 um 21:56 Uhr
Du kannst bei HE im Webinterface die MTU für den Tunnel konfigurieren:

he-mtu - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Windows10Gegner
16.08.2020 um 22:04 Uhr
Auf 1472 gestellt im Webinterface und nun funktioniert es.

Beim anderen Tunnel (gleicher Provider, FB7490) steht es auf 1480 und es tut problemlos.
Bitte warten ..
Mitglied: aqui
17.08.2020, aktualisiert um 09:02 Uhr
Beim anderen Tunnel (gleicher Provider, FB7490) steht es auf 1480 und es tut problemlos.
Ggf. weil du vergessen hast tunnel path-mtu-discovery auf dem Tunnel Interface zu konfigurieren.
Damit macht der Router eine automatische MTU Discovery.
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/interface/command/ir-c ...
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
Cisco IOS MTU per DHCP festlegen
Frage von Windows10GegnerNetzwerkprotokolle32 Kommentare

Hallo, ich habe nun den Übeltäter gefunden, der dafür sorgt, dass manche Seiten nicht aufrufbar sind, da laufen dann ...

Router & Routing
IPv6 Tunnel im Cisco 886
gelöst Frage von Windows10GegnerRouter & Routing16 Kommentare

Hallo, ich will nun IPv6 auch in meinem internen Netz nutzen und habe daher einen Tunnel bei Hurricane Electrics ...

Router & Routing
IPv6 Konfig mit Tunnel im Cisco 886
gelöst Frage von Windows10GegnerRouter & Routing6 Kommentare

Hallo, auf meinem Cisco ist IPv6 bereits nutzbar. Jetzt möchte ich die Adressen auch im Netzwerk verteilen. Erste Frage: ...

Router & Routing
Cisco SVTI - Tunnel
gelöst Frage von Serial90Router & Routing44 Kommentare

Moin, moin. ich habe folgendes Problem: Ich möchte ein SVTI Tunnel zwischen zwei Cisco-Router aufbauen. (Multicast notwendig geworden) Gibt ...

LAN, WAN, Wireless
Cisco IOS Load Balancing
gelöst Frage von PharITLAN, WAN, Wireless2 Kommentare

Hallo allerseits, bevor ich mir einen zweiten Internetanschluss anschaffe, wollte ich mal folgendes fragen: Mein Cisco 891er hat nur ...

Sicherheit

TLS Server Zertifikat für iOS und Bitwarden

gelöst Frage von Mr.HeisenbergSicherheit7 Kommentare

Hallo zusammen, bin jetzt schon drei Tage damit beschäftigt, dass richtige Zertifikat für einen selbstgehosteten Bitwarden Server für iOS ...

Heiß diskutierte Inhalte
Notebook & Zubehör
Macbook oder Surface Book 3?
gelöst Frage von FamousDex089Notebook & Zubehör36 Kommentare

Hallo Zusammen :-), ich bin komplett neu in der IT Admin schiene und neu in diesem Forum. Ich habe ...

Outlook & Mail
Outlook App auf Android
gelöst Frage von PeterGygerOutlook & Mail21 Kommentare

Hallo Folgende Situation: Samsung S3 Samsung S5 Mini Die Microsoft Outlook App kann nicht mehr gestartet werden. Es waren ...

Humor (lol)
So eine Art Jobangebot
Frage von Melvin.van.HorneHumor (lol)18 Kommentare

Moin, ich habe eben eine Zeit damit zugebracht eine GPO für eine Gruppe von Clients zu erstellen. Egal was ...

Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
Frage von ipzipzapSwitche und Hubs17 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

SAN, NAS, DAS
Probleme mit der GIGABIT Leitung - Finden der Krücke - Wer ist schuld ?
gelöst Frage von daswinimramSAN, NAS, DAS16 Kommentare

Hallo Community , folgender Aufbau : "erfolgreich" umgestellt auf Gigabit Tarif am 26.09.20 Speedtests wurden von allen PCs hinter ...

Windows Server
AD (virtualisiert) und alle angeschlossenen Clients fahren ungeplant herunter
Frage von tobitobsnWindows Server16 Kommentare

Ich habe aktuell ein Problem, dass ein frisch aufgesetzer Hyper-V mit einem virtualisierten AD regelmäßig 1x die Woche herunterfährt ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT