Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco IOS MTU per DHCP festlegen

Mitglied: Windows10Gegner

Windows10Gegner (Level 2) - Jetzt verbinden

03.07.2020 um 13:15 Uhr, 367 Aufrufe, 31 Kommentare

Hallo,
ich habe nun den Übeltäter gefunden, der dafür sorgt, dass manche Seiten nicht aufrufbar sind, da laufen dann minutenlang TLS-Handshakes.
Da ich einen SIT-Tunnel für IPv6 nutze, muss laut Hurricane Electric die MTU am PC auf 1472 gesetzt werden (wie beim Tunnel auch).
Sobald ich das manuell mache funktioniert auch der Seitenaufruf.
Standard am PC ist 1500.

1. Die MUT gilt ja für alle Ethernet-Pakete, die da rausgehen.
Kommt es zu Problemen, wenn man global die MTU auf 1472 setzt?

2.
Ich würde das gerne per DHCP über den DHCP-Server des Cisco machen, da gibt es auch die Möglichkeit, die Option 26 (MTU) festzulegen.
Leider funktioniert das nicht, der Wireshark kennzeichnet das auch in rot.

Hexadezimal kann ich das dem Cisco auch nicht beibringen
LG Win10Gegner
31 Antworten
Mitglied: 144705
03.07.2020, aktualisiert um 16:09 Uhr
Auf dem Client musst du nicht von Hand an der MTU drehen, das ist Blödsinn. Auf dem Router sollte die MTU aber passend für den Tunnel gesetzt sein. Durch "Path MTU Discovery" wird die maximale Größe der Pakete meist sowieso dem Client mitgeteilt.

Das ganze funktioniert dann ganz grob wie folgt: Dein Rechner versucht mittels seiner Standard MTU ein Packet zu senden. Der erste Router, welcher auf dem jeweiligen Interface eine andere MTU braucht, meldet per ICMP, dass der Rechner zu einer gewissen MTU runter regeln muss. Sobald dies erfolgt ist, wird für die jeweilige Verbindung nur noch die passende MTU verwendet.
https://www.cisco.com/c/en/us/support/docs/ip/generic-routing-encapsulat ...

Kommt es zu Problemen, wenn man global die MTU auf 1472 setzt?
Nein, aber kleinere Pakete == geringerer Durchsatz.
Bitte warten ..
Mitglied: Windows10Gegner
03.07.2020 um 16:09 Uhr
Der Tunnel hat eine MTU von 1472 am Cisco.
Das hat auch der HE-Support gefragt.

Soll ich mal die problematische Seite aufrufen und das im Wireshark mitsniffen und das hier hochladen?
Ich stelle dann die MTU am PC wieder auf 1500, dann sollten ja die ICMP-Pakete geschickt werden.
Bitte warten ..
Mitglied: 144705
03.07.2020, aktualisiert um 16:10 Uhr
Bitte warten ..
Mitglied: aqui
03.07.2020, aktualisiert um 18:52 Uhr
muss laut Hurricane Electric die MTU am PC auf 1472 gesetzt werden
Allseits bekanntes Problem ! Guckst du hier:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Die Paket Overheads und die daraus resultierende MTU kannst du dir auch ganz einfach selber zusammenrechnen. Guckst du hier:
https://baturin.org/tools/encapcalc/

Was vermutlich falsch ist, ist die Tatsache das du der Option 26 einen ascii Wert zugewiesen hast. Das ist es aber nicht sondern ein Binärwert (2 Bytes) !
http://www.networksorcery.com/enp/protocol/bootp/option026.htm
Deshalb zeigt der Wireshark als Option Content auch so einen vollig wirren Wert von 31343732 an.
Der Kollege @latavia hat aber absolut Recht oben, denn das gibst du ja nie dem Endgerät mit oder solltest es wenigstens nicht. Die Endgeräte kaspern das immer mit der MTU Patch Discovery selber aus.
Der Router sollte nur immer die korrekten MTUs bzw. die MSS Werte gesetzt haben !
Laut deiner_Konfig hast du das ja auch richtig gemacht sollte diese noch stimmen ?!
Hier sind die Zusammenhänge recht gut dokumentiert:
https://networklessons.com/cisco/ccie-routing-switching/pppoe-mtu-troubl ...
Wenn du das anpasst sollte das fehlerlos klappen. Zusätzlich solltest du noch ip tcp path-mtu-discovery auf dem Router konfigurieren.
Auch direkt unter dem Tunnel Interface gibt es ein spezifisches Kommando zur automatischen Patch Discovery bei Cisco.
https://www.cisco.com/c/en/us/support/docs/ip/generic-routing-encapsulat ...
Bitte warten ..
Mitglied: Windows10Gegner
03.07.2020 um 18:56 Uhr
Obwohl also die Syntax mit ascii vorschlägt, soll ich einen Binärwert eingeben. Interessant.

Wie muss dieser denn dann eingegeben werden?
1472 zu bin wäre dann 0b10111000000
Ist das dann so einzugeben oder ohne das 0b am Anfang?

Welche Option soll ich davon nehmen?
Bitte warten ..
Mitglied: aqui
03.07.2020, aktualisiert um 19:07 Uhr
soll ich einen Binärwert eingeben. Interessant.
Du siehst ja im Wireshark Trace das der "ascii" Wert 1472 im Paket in einem irrealen Wert von 31343732 endet. Folglich kann ja dann das Format nicht stimmen.
Gib mal spaßeshalber einen Wert von ascii 10 ein und check mal den Wireshark was daraus wird.
Kannst du dir vermutlich sparen und gleich option 26 ascii "1472" eingeben.
Das sollte dann eigentlich den richtigen Wert auch im Wireshark erbringen.
Bitte warten ..
Mitglied: Windows10Gegner
03.07.2020 um 20:07 Uhr
Das geht leider auch nicht.
Bitte warten ..
Mitglied: aqui
03.07.2020, aktualisiert um 20:16 Uhr
Dann stimmt das ascii Format wie befürchtet nicht. Laut Defintion ist das ein 2 Byte Werte also numerisch oder binär. Das Format doer der Wer tist falsch.
Aber wie gesagt, versteif dich nicht so dehr drauf. Normal kaspern entgeräte das immer über die Path MTU Discovery automatisch aus. Bei IPv6 ist das zudem absolute Pflicht und fest im Protokoll implementiert:
Siehe hier:
https://danrl.com/projects/ipv6-workshop/
Seite 68 und Kapitel 5
Bitte warten ..
Mitglied: Windows10Gegner
03.07.2020 um 20:21 Uhr
Sobald die MTU 1500 ist (Standard), sind bestimmte Seiten nicht mehr nutzbar, ein Beispiel wäre rt.com
Der TLS-Handshake dauert so 10 Minuten.
Setzt man die MTU auf 1472 geht alles normal.
Bitte warten ..
Mitglied: aqui
03.07.2020 um 20:31 Uhr
Wo denn ?? Auf dem Endgerät ?
Wie gesagt wenn du am Cisco lokalen LAN die MSS auf 1452 setzt bist du immer im sicheren Bereich. das Endgerät sendet dann keine Frames größer 1452.
Die MTUs der Tunnel und PPPoE Interfaces (Dialer) sollten natürlich auch stimmen.
Wie gesagt, bei IPv6 ist die MTU Discovery fest ins Protokoll eingebaut. Dort kann es also niemals zu Mismatches kommen wenn die MTU Werte im Router bzw. dem gesamten Pfad stimmen.
Im Buch ist ein SiXX Tunnel Beispiel beschrieben bei dem die MTU erheblich geringer ist. 1270.
Bist du dir also sicher das deine stimmt ?!
Bitte warten ..
Mitglied: Windows10Gegner
03.07.2020 um 20:37 Uhr
Sollte passen, aber der PC (Ubuntu) hat immer eine von 1500, es sei denn ich lege die manuell fest (in meinem Fall auf 1472).
Sobald ich die am PC von 1500 auf 1472 setze, ist alles ok. Sonst eben nicht.
Bitte warten ..
Mitglied: aqui
03.07.2020 um 20:42 Uhr
Siehe hier:
https://www.cellstream.com/reference-reading/tipsandtricks/407-ipv6-path ...
Zitat:
"My understanding from reading the Ubuntu docs on this is that whatever you have set for the IPv4 probing, the IPv6 stack mimicks the setting."

Also sysctl net.ipv4.tcp_mtu_probing im /etc/sysctl aktivieren was die MTU Discovery aktiviert.
Hast du das gemacht in deinem Ubuntu ?
Bitte warten ..
Mitglied: Windows10Gegner
03.07.2020 um 20:49 Uhr
Jetzt ja, ändert aber nichts an der Sache, ich habe die MTU vorher wieder auf 1500 gesetzt.
Ich habe da aber vorher nie irgendwas eingestellt.
Setze ich sie wieder manuell auf 1472 geht wieder alles.
Bitte warten ..
Mitglied: aqui
03.07.2020 um 20:53 Uhr
Krank...raff ich aber dann auch nicht warum. Sollte so eigentlich nicht sein.
Welche Seite macht diese Kinken ? Ich teste das hier mit einem nativen IPv6 Anschluss auch mal aus.
Bitte warten ..
Mitglied: Windows10Gegner
03.07.2020 um 21:02 Uhr
Aufgefallen ist es mir bei rt.com und deutsch.com, bei anderen Seiten bisher nicht.
Bitte warten ..
Mitglied: Windows10Gegner
04.07.2020 um 18:10 Uhr
Wie verlief denn der Test?

An einem zweiten Standort mit FB7490 und HE-Tunnel geht alles problemlos, das ist auch ein Ubuntu 20.04, die MTU ist beim Adapter auch 1500, da habe ich nichts manuell eingestellt.
Die Seiten sind da problemlos aufrufbar.
Bitte warten ..
Mitglied: aqui
05.07.2020 um 16:41 Uhr
Hier bei nativem v6 (Telekom) und Cisco Router (15.7er latest IOS) komplett problemlos und keine Fehler. Es sind die gleichen MTU/MSS Settings wie hier im Cisco_Tutorial beschrieben.
Keine Ahnung was sich da verschluckt hat...???
Die v6 ICMP Typen hast du alle in der CBAC ACL Liste freigegeben ?
Bitte warten ..
Mitglied: Windows10Gegner
05.07.2020 um 17:03 Uhr
access-list 111 permit icmp any any
sollte alles was mit ICMP zu tun hat durchlassen. Betrifft das auch ICMPv6?
Ich habe im Tunnel keine Firewall aktiviert (kein ip inspect myfw out).
Bitte warten ..
Mitglied: aqui
05.07.2020 um 17:35 Uhr
Vorsicht, das oben sind IPv4 ACLs aber keine v6 ACLs ! Die sind separat !!
ipv6 access-list access-list-name
Bitte warten ..
Mitglied: Windows10Gegner
05.07.2020 um 18:27 Uhr
Da habe ich keine angelegt.
Soll ich eine anlegen?
Müsste dann nicht auch auf dem Tunnel-Interface was konfiguriert werden?
Bitte warten ..
Mitglied: aqui
05.07.2020, aktualisiert um 22:35 Uhr
Ähhh...ja ! So wirken die ACL ja nicht die die v6 ICMPs passieren lassen müssen !!
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
Kapitel: 3.2, Seite 5
Und auch hier:
https://tools.ietf.org/html/rfc4890

Du hast wieder mal deine eigenen Threads nicht richtig gelesen !!!
https://administrator.de/forum/dhcpv6-dns-cisco-ios-einrichten-583139.ht ...
Bitte warten ..
Mitglied: Windows10Gegner
05.07.2020 um 22:47 Uhr
Ich nutze nicht die Zonen-FW, sondern die CBAC-FW.
Daher frage ich, wie das dann umgesetzt werden muss.
Ich möchte gerne da nichts blockieren.
Bitte warten ..
Mitglied: aqui
05.07.2020, aktualisiert um 22:50 Uhr
Das ist egal. Der Cisco unterscheidet strikt zwischen v6 und v4 ACLs ! Die werden immer mit ipv6 access-list... konfiguriert. Dort gibt es auch ganz andere ICMP Typen, da v6 erheblich mehr ICMP nutzt als v4. Siehe Workshop Buch oden !
Bitte warten ..
Mitglied: Windows10Gegner
06.07.2020 um 08:17 Uhr
Ich habe nun eine angelegt.

Im Tunnel0

Leider führt auch das nicht zum Ziel.
Wenn ich es richtig verstanden habe wäre diese ACL redundant, da permit icmp any any die letzten 3 Zeilen auch abdeckt.
Bitte warten ..
Mitglied: aqui
06.07.2020, aktualisiert um 14:32 Uhr
Deinen ACL ist nicht nur falsch sondern auch noch gefährlich, denn damit lässt du jeglichen v6 Traffic von außen zu !!! (permit ipv6 any any)
Ein abolutes NoGo, denn das hebelt die CBAC Firewall aus !

Die Liste lautet:
ipv6 access-list ICMPv6
permit icmp any any unreachable
permit icmp any any packet-too-big
permit icmp any any hop-limit
permit icmp any any reassembly-timeout
permit icmp any any header
permit icmp any any next-header
permit icmp any any parameter-option
permit icmp any any echo-request
permit icmp any any echo-reply
permit icmp any any dhaad-request
permit icmp any any dhaad-reply
permit icmp any any mpd-solicitation
permit icmp any any mpd-advertisement
!

Die v4 ACL entsprechend:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable

Auf dem Dialer Interface kommt dann einzig nur die v4 Liste zum Einsatz ! Logisch, denn dein v6 ist ja da noch getunnelt in v4 und unsichtbar für das Dialer Interface !
interface Dialer0
description xDSL Einwahl Interface Internet
ip address negotiated
ip access-group 111 in

Auf dem Tunnel Interface aber was ja dein natives v6 Interface ist:
interface Tunnel0
description Hurricane Electric IPv6 Tunnel Broker
no ip address
ip inspect myfw out
ipv6 address 2001:470:xxx:xxx::2/64
ipv6 enable
ipv6 mtu 1472
ipv6 accress-group ICMPv6 in
tunnel source eigene IP
tunnel mode ipv6ip
tunnel destination 216.66.80.30
!

Ohne eine ACL auf dem Tunnel Interface blockiert die CBAC Firewall doch sämtliche eingehenden ICMPv6 Steuer Pakete.
Bitte warten ..
Mitglied: Windows10Gegner
06.07.2020, aktualisiert um 14:50 Uhr
Da IPv4 funktioniert ändere ich da nichts.

ipv6 access-group gibt es im Tunnel-Int nicht.
Es gibt ipv6 traffic-filter ipv6acl in, das wird auch auf ne Cisco-Seite genannt, das ist im Tunnel-Int eingetragen.


Sobald ich
entferne, kann man keine Internetseiten per IPv6 mehr aufrufen.

Wenn aber hier alles an ICMP durchgelassen wird, müsste es ja kein Problem geben, der TLS-Handshake läuft aber weiterhin.
Bitte warten ..
Mitglied: aqui
06.07.2020 um 14:56 Uhr
entferne, kann man keine Internetseiten per IPv6 mehr aufrufen.
Kann eigentlichnicht sein ! Die CBAC Firewall lässt ja einzig nur das passieren was ein gesetzte ACK Bit hat bzw. was einen aktiven CBAC Eintrag hat.
Du hast vermutlich die CBAC Firewall gar nicht für IPv6 konfiguriert, oder ?
https://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_cbac_fw/configurat ...
bzw.
https://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_cbac_fw/configurat ...
Was umso fataler wäre...
Guckst du auch hier:
https://www.youtube.com/watch?v=bBSYag-DBPE
Bitte warten ..
Mitglied: Windows10Gegner
06.07.2020, aktualisiert um 15:41 Uhr
Ich habe das mit inspect jetzt eingerichtet, leider geht es noch immer nicht, es ist wohl noch was falsch.
Bitte warten ..
Mitglied: Windows10Gegner
06.07.2020 um 21:54 Uhr
Die neue FW verlangsamt leider das Surfen erheblich, ich habe die FW jetzt wieder aus dem Tunnel rausgenommen, ist jetzt wieder wesentlich schneller.
Gibt es denn eine Option, das mitzuloggen, was verworfen wird?
Ich habe ja keine ACL aktiv, daher wird das nicht wie beschrieben funktionieren mit der ACL und dahinter log.
Bitte warten ..
Mitglied: aqui
07.07.2020 um 10:50 Uhr
Gibt es denn eine Option, das mitzuloggen, was verworfen wird?
Ja, wenn du das ACL Logging aktivierst was die Sache aber noch langsamer macht (Process Switching über die CPU)
Ich habe ja keine ACL aktiv,
Wieso ? Oben sind doch zumindestens 2 ACLs aktiv ? Die am Dialer und die am Tunnel ? Unverständlich ??!
CBAC Statistiken und Drops zeigen die die sh ip inspect Kommandos.
Bitte warten ..
Mitglied: Windows10Gegner
07.07.2020 um 10:57 Uhr
Ich habe aus Leistungsgründen die ACL am Tunnel wieder deaktiviert, genauso wie inspect.
Am Dialer ist alles wie gehabt, weiterhin aktiv.

Da du sagst, dass ohne ACL ICMPv6 im Tunnel blockiert wird, würde ich das gerne sehen.
Wenn ich jetzt die ACL wieder eintrage habe ich ja nicht den Zustand ohne ACL, den ich gerne prüfen würde.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Cisco IOS Load Balancing
gelöst Frage von PharITLAN, WAN, Wireless2 Kommentare

Hallo allerseits, bevor ich mir einen zweiten Internetanschluss anschaffe, wollte ich mal folgendes fragen: Mein Cisco 891er hat nur ...

Netzwerkmanagement
Einarbeitung in Cisco IOS
gelöst Frage von KnorkatorNetzwerkmanagement11 Kommentare

Hallo zusammen, wir möchten uns demnächst Cisco SG350 Switche zulegen und ich wüsste gerne, welche Software ich für das ...

Router & Routing
IOS für Cisco gesucht
gelöst Frage von lord-iconRouter & Routing3 Kommentare

c3560e-universalk9-mz.122-55.SE12.bin gern aber auch: c3560e-universalk9-tar.122-55.SE12.tar <= bevorzugt Bitte per PM an mich. Habt Dank

Netzwerke

PKI Self-Signed Certificate Expiration in Cisco IOS and Cisco IOS XE Software

Information von DaniNetzwerke

Self-signed X.509 PKI certificates (SSC) that were generated on devices that run affected Cisco IOS® or Cisco IOS XE ...

Neue Wissensbeiträge
Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 19 StundenViren und Trojaner

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 3 TagenSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 5 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 5 TagenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Heiß diskutierte Inhalte
Internet
VPN und Fritzbox
Frage von jensgebkenInternet29 Kommentare

Hallo Gemeinschaft, da der Support von AVM mir keine Antwort gibt, versuche ich es hier einmal HArdware 7490 zwei ...

Sicherheit
Verschlüsseln anstatt löschen ?
Frage von TastuserSicherheit16 Kommentare

Hallo, ist es möglich ganze Ordner auf Windows 10 zu verschlüsseln? Aber keine Kopien zu verschlüsseln (wie mit WinRAR) ...

Netzwerkprotokolle
Cisco IOS IPv6 Tunnel MTU Problem dauerhafte TLS-Handshakes
Frage von Windows10GegnerNetzwerkprotokolle13 Kommentare

Hallo, ich hatte habe das Problem ja schon lange, ich will das aber jetzt richtig angehen (MTU nicht manuell ...

Switche und Hubs
Neue Switches für Schule
Frage von Freak-On-SiliconSwitche und Hubs12 Kommentare

Servus; Eins Vorweg, bin leider in vielen Sachen noch nicht so erfahren. Und nein, ich kann LEIDER keinen Dienstleister ...

Weniger Werbung?
Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...