Kann ACK-Priorisierung http aus dem Takt bringen?

[Kay Martinen]

Hallo

Ich habe eben was seltsames Festgestellt. Manche Webseiten haben
(Nach)ladeprobleme, ebenso wie in der telegram App und Telegram Desktop.
Das war's aber noch nicht. Ich hab dann versucht meinen Router zu
erreichen. Das Laden seiner Internen Seite war schon langsam obwohl der
browser in der Statuszeile diverse zugriffe meldet und dann... taucht
nur eine Leere Webseite auf und ein Meldungsfenster mit "Router does not
Respond" mit Tips (Kabel prüfen oder so) von dem ich annehme das es vom
Router selbst stammt. Witzigerweise kam nach diesem Meldungsfenster eine
zumindest teilweise anzeige seiner Hauptseite. Und ohne Stil in der
Ansicht des Firefox taucht auch alles auf.

Jetzt habe ich erst mal den Proxy ausgeschaltet im Firefox und die Seite
in einem neuen Tab neu geladen. Keine Änderung.

Und dann fiel mir ein das ich auf dem Zwischenrouter; einem opnsense;
zwischen Browser und Speedport Hybrid kürzlich unter Firewall-Shaper
eine queue und eine Regel einrichtete um ACK-Pakete von der WAN-Seite
zum LAN zu priorisieren.

Beides aus geknipst. Seite im Tab neu geladen und die kommt sofort -
ohne meckerfenster. Problem gelöst???

Jetzt die 5€ Frage: Kann es sein das die alleinige Priorisierung der ACK
Pakete die Browserverbindungen aus dem Tritt bringen können?

Sprich: Die http(s) Daten gehen zu fuß, die ACK-Pakete reisen mit dem
Flugzeug. Aber, warum sollte der Router; oder andere Seiten; dann damit
ein Problem haben?

Ｂｙｅ／
／Ｋａｙ

--
"Kann ein Wurstbrot die Welt retten?" :-)

[Peter J. Holzer]

On 2022-10-05 19:34, Kay Martinen <use...@martinen.de> wrote:
> Und dann fiel mir ein das ich auf dem Zwischenrouter; einem opnsense;
> zwischen Browser und Speedport Hybrid kürzlich unter Firewall-Shaper
> eine queue und eine Regel einrichtete um ACK-Pakete von der WAN-Seite
> zum LAN zu priorisieren.

Welchen Sinn hat das?

Erstens sind ACKs, die vom WAN kommen, die ACKs für Daten, die ins WAN
gehen, also Uploads. In die Richtung dürften aber die ACKs eher nicht
das Bottleneck sein, da die Download-Richtung normalerweise die
"fettere" ist.

Außerdem dürfte die Priorisierung nur dann überhaupt einen Effekt haben,
wenn es sich staut, also vom WAN mehr Daten kommen, als über das LAN
(zumindest temporär) verschickt werden können. Üblicherweise hat man
aber im LAN mehr Bandbreite als zum Internet zur Verfügung, nicht
weniger.

hp

[Ignatios Souvatzis]

Kay Martinen wrote:

> Sprich: Die http(s) Daten gehen zu fuß, die ACK-Pakete reisen mit dem
> Flugzeug. Aber, warum sollte der Router; oder andere Seiten; dann damit
> ein Problem haben?

ACKs sind keine getrennten Segmente[1], sondern Flags im TCP-
Header, reisen also oft mit Daten der Gegenrichtung. Ich weiss
nicht, was dein OpenSense in dieser Situation tut, aber wenn du
die Reihenfolge von TCP-Segmenten aenderst, stoerst du massiv das
Autoclocking[2] des Empfaengers. Kurz - zweitweise wird der
TCP-Prozess vor deinem Browser den Eindruck gewinnen, das Netz sei
ueberlastet, und die Sendegeschwindigkeit verringern; teilweise
wird es zu ueberfluessigen retries kommen, die das Netz wiederum
tatsaechlich ueber Notwendigkeit belasten.

Mglw. gibt es einen gewissen Vorteil, wenn du Daten nur in eine
Richtung fliessen laesst, ACK's eines unaebhaengigen Verbindung
mit Daten nur in der Gegenrichtung zu bevorzugen. Aber modernes
HTTP ist in dieser Hinsicht Teufelszeug.

-is

[1] in der TCP-Spezifikation heisst das, was in ein IP-Paket gepackt
wird, Segment - der Datenstrom wird nach gewissen regeln segmentiert,
jedes Segment wird mit einem Header versehen und dann in ein IP-Paket

[2] da gibt es verschiedene Varianten, aber alle duerften durch eine
Aenderung der Reihenfolgen verwirrt werden.
zum Versand eingefuellt.


--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor

[Thomas Klix]

Ignatios Souvatzis wrote at 7 Oct 2022 10:55:07 GMT:
> [...]

> [1] in der TCP-Spezifikation heisst das, was in ein IP-Paket gepackt
> wird, Segment - der Datenstrom wird nach gewissen regeln segmentiert,
> jedes Segment wird mit einem Header versehen und dann in ein IP-Paket

> <----------------------------------------+

> [2] da gibt es verschiedene Varianten, aber alle duerften durch eine |
> Aenderung der Reihenfolgen verwirrt werden. |

> zum Versand eingefuellt. >----------------------------------------+

Thomas

[Ignatios Souvatzis]

Kay Martinen wrote:

> Sprich: Die http(s) Daten gehen zu fuß, die ACK-Pakete reisen mit dem
> Flugzeug. Aber, warum sollte der Router; oder andere Seiten; dann damit
> ein Problem haben?

ACKs sind keine getrennten Segmente[1], sondern Flags im TCP-
Header, reisen also oft mit Daten der Gegenrichtung. Ich weiss
nicht, was dein OpenSense in dieser Situation tut, aber wenn du
die Reihenfolge von TCP-Segmenten aenderst, stoerst du massiv das
Autoclocking[2] des Empfaengers. Kurz - zweitweise wird der
TCP-Prozess vor deinem Browser den Eindruck gewinnen, das Netz sei
ueberlastet, und die Sendegeschwindigkeit verringern; teilweise
wird es zu ueberfluessigen retries kommen, die das Netz wiederum
tatsaechlich ueber Notwendigkeit belasten.

Mglw. gibt es einen gewissen Vorteil, wenn du Daten nur in eine
Richtung fliessen laesst, ACK's eines unaebhaengigen Verbindung
mit Daten nur in der Gegenrichtung zu bevorzugen. Aber modernes
HTTP ist in dieser Hinsicht Teufelszeug.

-is

[1] in der TCP-Spezifikation heisst das, was in ein IP-Paket gepackt
wird, Segment - der Datenstrom wird nach gewissen regeln segmentiert,
jedes Segment wird mit einem Header versehen und dann in ein IP-Paket

zum Versand eingefuellt.

[2] da gibt es verschiedene Varianten, aber alle duerften durch eine
Aenderung der Reihenfolgen verwirrt werden.

[Bonita Montero]

Am 05.10.2022 um 21:34 schrieb Kay Martinen:

> Und dann fiel mir ein das ich auf dem Zwischenrouter; einem opnsense;
> zwischen Browser und Speedport Hybrid kürzlich unter Firewall-Shaper
> eine queue und eine Regel einrichtete um ACK-Pakete von der WAN-Seite
> zum LAN zu priorisieren.

In der Gegenrichtung hätte ich es ja noch verstanden, aber so ?

[Peter J. Holzer]

On 2022-10-07 14:32, Ignatios Souvatzis <u50...@bnhb484.de> wrote:
> Kay Martinen wrote:
>> Sprich: Die http(s) Daten gehen zu fuß, die ACK-Pakete reisen mit dem
>> Flugzeug. Aber, warum sollte der Router; oder andere Seiten; dann damit
>> ein Problem haben?
>
> ACKs sind keine getrennten Segmente[1], sondern Flags im TCP-
> Header,

Wobei das Flag wiederum anzeigt, dass das Feld "Acknowledgment Number"
im Header einen gültigen Wert enthält.

> reisen also oft mit Daten der Gegenrichtung. Ich weiss
> nicht, was dein OpenSense in dieser Situation tut, aber wenn du
> die Reihenfolge von TCP-Segmenten aenderst, stoerst du massiv das
> Autoclocking[2] des Empfaengers.

| Once a connection is established this is always sent.
-- RFC 793, p. 16.

Wenn er also nur auf das Flag filtert, dürfte das gar keinen Effekt
haben, außer dass das erste Paket in jeder Verbindung benachteiligt
wird (und UDP, ICMP, etc. auch).

Ich hatte angenommen, dass er eine vorgefertigte Filterregel seines
Firewalls verwendet, die spezifisch leere ACK-Pakete bevorzugt. Das kann
manchmal sinnvoll sein, im konkreten Fall scheint es mir aber auch
ziemlich sinnlos.

hp

[Manfred Haertel]

Kay Martinen schrieb:

> Jetzt die 5€ Frage: Kann es sein das die alleinige Priorisierung der ACK
> Pakete die Browserverbindungen aus dem Tritt bringen können?

Die priorisierten ACK-Pakete werden von der Bundesnetzagentur geblockt,
weil das ein Verstoß gegen die Netzneutralität ist.

--
Manfred Härtel, DB3HM mailto:Manfred...@rz-online.de
http://rz-home.de/mhaertel

[Bonita Montero]

Am 15.10.2022 um 06:36 schrieb Manfred Haertel:
> Kay Martinen schrieb:
>
>> Jetzt die 5€ Frage: Kann es sein das die alleinige Priorisierung der ACK
>> Pakete die Browserverbindungen aus dem Tritt bringen können?
>
> Die priorisierten ACK-Pakete werden von der Bundesnetzagentur geblockt,
> weil das ein Verstoß gegen die Netzneutralität ist.

Haha, und wie soll die Bundesnetzagentur erkenen, dass die Pakete
in der Sende-Queue des Routers eine andere Priorität hatten ?
Bzw.: meinst Du das überhaupt ernst ?

[Thomas Klix]

Ich sach mal ganz spontan: Reingefallen! :-)

Thomas

[Manfred Haertel]

Bonita Montero schrieb:

Nö. :-)

[Bonita Montero]

Ne, das "nö" nach dir ist eher herausgeredet, denn entsprechend
seiner HP ist der Typ echt nicht der durchgängige Experte.

[Thomas Hochstein]

Bonita Montero schrieb:

> Ne, das "nö" nach dir ist eher herausgeredet, denn entsprechend
> seiner HP ist der Typ echt nicht der durchgängige Experte.

Das sagt ja das richtige.

[Kay Martinen]

Am 15.10.22 um 06:36 schrieb Manfred Haertel:

> Kay Martinen schrieb:
>
>> Jetzt die 5€ Frage: Kann es sein das die alleinige Priorisierung der ACK
>> Pakete die Browserverbindungen aus dem Tritt bringen können?
>
> Die priorisierten ACK-Pakete werden von der Bundesnetzagentur geblockt,
> weil das ein Verstoß gegen die Netzneutralität ist.

Fehlt da eventuell ein Smiley?

Die Bundeswitzagentur kann mich mal...

// Receice-Windows Closed!

Ｂｙｅ／
／Ｋａｙ

--
"Und Krieg ist ein Verbrechen gegen die gesamte Menschheit" :-(

[Rupert Haselbeck]

Kay Martinen schrieb:

>> Die priorisierten ACK-Pakete werden von der Bundesnetzagentur geblockt,
>> weil das ein Verstoß gegen die Netzneutralität ist.
>
> Fehlt da eventuell ein Smiley?

Nein, wieso denn? Hat doch jeder gesehen - oder etwa nicht?

MfG
Rupert

[Kay Martinen]

Am 26.10.22 um 23:10 schrieb Rupert Haselbeck:

OK. Also war das einer dieser Seltenen (unsichtbaren) Impliziten Smileys
die man manchmal so schwer auseinander halten kann.

Wird wohl auch in der Realpolitik der Grund für die ganzen
Mißverständnisse sein? ;-)