MSS-Clamping ja/nein

[Marco Moock]

Macht ihr MSS-Clamping und wenn ja warum?

Eigentlich ist es Blödsinn, denn an der MSS bei TCP hat nur der Absender
was festzulegen und nicht Router mittendrin. Wird aber oft gemacht,
weil es noch immer Firewalls gibt, die pauschal ICMP blockieren.

Es scheint bei einigen Webservern der Fall zu sein, dass die
ICMP-packet-too-big-Pakete von einer FW verworfen werden.
Das fällt mir mit meinem Protokoll41-Tunnel besonders auf.

Habt ihr da ähnlich Erfahrungen?

--
Gruß
Marco

[Bonita Montero]

Am 19.09.2022 um 21:29 schrieb Marco Moock:

> Es scheint bei einigen Webservern der Fall zu sein, dass die
> ICMP-packet-too-big-Pakete von einer FW verworfen werden.

Naja, so ne Kinderkacke sollte recht selten sein.

[Peter J. Holzer]

On 2022-09-19 19:29, Marco Moock <mo...@posteo.de> wrote:
> Macht ihr MSS-Clamping und wenn ja warum?

Derzeit nicht.

> Eigentlich ist es Blödsinn, denn an der MSS bei TCP hat nur der Absender
> was festzulegen und nicht Router mittendrin.

Wenn's aber der Router besser weiß ...

> Wird aber oft gemacht, weil es noch immer Firewalls gibt, die pauschal
> ICMP blockieren.

Ja, das scheint nicht umzubringen zu sein.

> Es scheint bei einigen Webservern der Fall zu sein, dass die
> ICMP-packet-too-big-Pakete von einer FW verworfen werden.
> Das fällt mir mit meinem Protokoll41-Tunnel besonders auf.

Protokoll 41 ist IPv6 over IPv4, oder? Da hätte ich mit diesen Problemen
eher weniger gerechnet (und sie sind mir bei meinem HE-Tunnel bisher
auch nicht aufgefallen), aber in dem Maße, wie sich IPv6 verbreitet,
steigt vermutlich auch die Zahl der Leute, die IPv6-Netzwerke
administieren, ohne zu wissen, was sie tun.

> Habt ihr da ähnlich Erfahrungen?

Wir hatten vor ca. 8 Jahren mal ein paar Monate einen IPv4 over IPv4
Tunnel - da war MSS-Clamping sehr hilfreich.

hp

[Bonita Montero]

Am 20.09.2022 um 17:53 schrieb Peter J. Holzer:

> Wenn's aber der Router besser weiß ...

Das bringt dann im Endeffekt fast immer nur einen Performance-Vorteil.
Anderweitig müsste ja die PMTU-Discovery greifen, die ja eine gewisse
Latenz hat. Das Dumme daran ist ja, dass die Pfade in dem Sinne nicht
aggregiert sind, sondern jeder angesprochene Host einzeln seinen PMTU
Cache Eintrag hat.

>> Wird aber oft gemacht, weil es noch immer Firewalls gibt, die pauschal
>> ICMP blockieren.

> Ja, das scheint nicht umzubringen zu sein.

Ich denke das passiert sehr selten bzw. so blöd sind sicher nur wenige.
Auch wenn die Leute wie ich nicht alle ICMP-Typen ausm Kopf kennen,
die wissen sicher fast alle, dass das ne wichtige Sache ist.

> Wir hatten vor ca. 8 Jahren mal ein paar Monate einen IPv4 over IPv4
> Tunnel - da war MSS-Clamping sehr hilfreich.

Wie gesagt: wenn alle Router mitspielen, was der Normalfall ist,
dann geht das auch ohne.

[Marco Moock]

Am Dienstag, 20. September 2022, um 17:53:09 Uhr schrieb Peter J.
Holzer:

> On 2022-09-19 19:29, Marco Moock <mo...@posteo.de> wrote:
> > Macht ihr MSS-Clamping und wenn ja warum?
>
> Derzeit nicht.
>
>
> > Eigentlich ist es Blödsinn, denn an der MSS bei TCP hat nur der
> > Absender was festzulegen und nicht Router mittendrin.
>
> Wenn's aber der Router besser weiß ...
>
> > Wird aber oft gemacht, weil es noch immer Firewalls gibt, die
> > pauschal ICMP blockieren.
>
> Ja, das scheint nicht umzubringen zu sein.
>
> > Es scheint bei einigen Webservern der Fall zu sein, dass die
> > ICMP-packet-too-big-Pakete von einer FW verworfen werden.
> > Das fällt mir mit meinem Protokoll41-Tunnel besonders auf.
>
> Protokoll 41 ist IPv6 over IPv4, oder? Da hätte ich mit diesen
> Problemen eher weniger gerechnet (und sie sind mir bei meinem
> HE-Tunnel bisher auch nicht aufgefallen), aber in dem Maße, wie sich
> IPv6 verbreitet, steigt vermutlich auch die Zahl der Leute, die
> IPv6-Netzwerke administieren, ohne zu wissen, was sie tun.

Ja, Hurricane Electric, denn der Provider hier bietet auch in 2022 kein
IPv6 an, nichtmal ein Netz ist denen zugeteilt.

> > Habt ihr da ähnlich Erfahrungen?
>
> Wir hatten vor ca. 8 Jahren mal ein paar Monate einen IPv4 over IPv4
> Tunnel - da war MSS-Clamping sehr hilfreich.

War auch da PMTU-Discovery nicht möglich?

[Peter J. Holzer]

On 2022-09-20 17:50, Bonita Montero <Bonita....@gmail.com> wrote:
> Am 20.09.2022 um 17:53 schrieb Peter J. Holzer:
>> Wenn's aber der Router besser weiß ...
>
> Das bringt dann im Endeffekt fast immer nur einen Performance-Vorteil.
> Anderweitig müsste ja die PMTU-Discovery greifen,

PMTU-Discovery braucht ICMP (Type 3, Code 4). Wenn was blockiert wird,
funktioniert sie nicht. Dann kommen Pakete einfach nicht an und weder
Sender noch Empfänger wissen warum.

>>> Wird aber oft gemacht, weil es noch immer Firewalls gibt, die pauschal
>>> ICMP blockieren.
>
>> Ja, das scheint nicht umzubringen zu sein.
>
> Ich denke das passiert sehr selten bzw. so blöd sind sicher nur wenige.
> Auch wenn die Leute wie ich nicht alle ICMP-Typen ausm Kopf kennen,
> die wissen sicher fast alle, dass das ne wichtige Sache ist.

Das fliegende Spaghetti-Monster erhalte Dir Deinen Optimismus.

>> Wir hatten vor ca. 8 Jahren mal ein paar Monate einen IPv4 over IPv4
>> Tunnel - da war MSS-Clamping sehr hilfreich.
>
> Wie gesagt: wenn alle Router mitspielen, was der Normalfall ist,
> dann geht das auch ohne.

Es geht aber eben um den Fall, in dem nicht alle Router mitspielen.

hp

[Peter J. Holzer]

On 2022-09-20 18:00, Marco Moock <mo...@posteo.de> wrote:
> Am Dienstag, 20. September 2022, um 17:53:09 Uhr schrieb Peter J.
> Holzer:
>> On 2022-09-19 19:29, Marco Moock <mo...@posteo.de> wrote:
>> > Es scheint bei einigen Webservern der Fall zu sein, dass die
>> > ICMP-packet-too-big-Pakete von einer FW verworfen werden.
>> > Das fällt mir mit meinem Protokoll41-Tunnel besonders auf.
>>
>> Protokoll 41 ist IPv6 over IPv4, oder? Da hätte ich mit diesen
>> Problemen eher weniger gerechnet (und sie sind mir bei meinem
>> HE-Tunnel bisher auch nicht aufgefallen), aber in dem Maße, wie sich
>> IPv6 verbreitet, steigt vermutlich auch die Zahl der Leute, die
>> IPv6-Netzwerke administieren, ohne zu wissen, was sie tun.
>
> Ja, Hurricane Electric, denn der Provider hier bietet auch in 2022 kein
> IPv6 an, nichtmal ein Netz ist denen zugeteilt.

Hast Du ein paar Beispiele?

>> > Habt ihr da ähnlich Erfahrungen?
>>
>> Wir hatten vor ca. 8 Jahren mal ein paar Monate einen IPv4 over IPv4
>> Tunnel - da war MSS-Clamping sehr hilfreich.
>
> War auch da PMTU-Discovery nicht möglich?
>

Bei einigen Webservern, ja. Nicht sehr viele, aber es waren ein paar
wichtige darunter.

[Bonita Montero]

Am 20.09.2022 um 22:25 schrieb Peter J. Holzer:
> On 2022-09-20 17:50, Bonita Montero <Bonita....@gmail.com> wrote:
>> Am 20.09.2022 um 17:53 schrieb Peter J. Holzer:
>>> Wenn's aber der Router besser weiß ...
>>
>> Das bringt dann im Endeffekt fast immer nur einen Performance-Vorteil.
>> Anderweitig müsste ja die PMTU-Discovery greifen,
>
> PMTU-Discovery braucht ICMP (Type 3, Code 4). Wenn was blockiert wird,
> funktioniert sie nicht. Dann kommen Pakete einfach nicht an und weder
> Sender noch Empfänger wissen warum.

Das passiert aber selten.

>
>
>>>> Wird aber oft gemacht, weil es noch immer Firewalls gibt, die pauschal
>>>> ICMP blockieren.
>>
>>> Ja, das scheint nicht umzubringen zu sein.
>>
>> Ich denke das passiert sehr selten bzw. so blöd sind sicher nur wenige.
>> Auch wenn die Leute wie ich nicht alle ICMP-Typen ausm Kopf kennen,
>> die wissen sicher fast alle, dass das ne wichtige Sache ist.
>
> Das fliegende Spaghetti-Monster erhalte Dir Deinen Optimismus.

Du bist sowas von blöd ...

>>> Wir hatten vor ca. 8 Jahren mal ein paar Monate einen IPv4 over IPv4
>>> Tunnel - da war MSS-Clamping sehr hilfreich.
>>
>> Wie gesagt: wenn alle Router mitspielen, was der Normalfall ist,
>> dann geht das auch ohne.
>
> Es geht aber eben um den Fall, in dem nicht alle Router mitspielen.

Das dürfte heute wo jedes Betriebssystem bei TCP/IPv4 das DF-Bit setzt
extrem selten passieren und bei IPv6 gibt'S ja keine Fragmentierung
auf dem Transport-Weg, dass das tödlich wäre.

[Marco Moock]

Am Dienstag, 20. September 2022, um 22:29:26 Uhr schrieb Peter J.
Holzer:

> On 2022-09-20 18:00, Marco Moock <mo...@posteo.de> wrote:
> > Ja, Hurricane Electric, denn der Provider hier bietet auch in 2022
> > kein IPv6 an, nichtmal ein Netz ist denen zugeteilt.
>
> Hast Du ein paar Beispiele?

https://bgp.he.net/AS209400

> >> > Habt ihr da ähnlich Erfahrungen?
> >>
> >> Wir hatten vor ca. 8 Jahren mal ein paar Monate einen IPv4 over
> >> IPv4 Tunnel - da war MSS-Clamping sehr hilfreich.
> >
> > War auch da PMTU-Discovery nicht möglich?
> >
>
> Bei einigen Webservern, ja. Nicht sehr viele, aber es waren ein paar
> wichtige darunter.

www.plusline.net war problematisch, Unterdomains von Yahoo auch.
Der Vorführeffekt zeigt aber gerade mal wieder seine Wirkung, ggf.
haben die das bemerkt und behoben (was ja prima wäre).

[Marc Haber]

Marco Moock <mo...@posteo.de> wrote:
>Macht ihr MSS-Clamping und wenn ja warum?

Nicht mehr bewusst. Könnte aber sein dass irgend ein Gerät im
Datenpfad sich da einmischt, das nicht unter meiner Kontrolle steht.
Jedenfalls sind die Probleme mit ICMP-Schwarzloch-Firewalls seit
vielen Jahren weg.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Marco Moock]

Am Mittwoch, 21. September 2022, um 12:41:45 Uhr schrieb Marc Haber:

> Könnte aber sein dass irgend ein Gerät im
> Datenpfad sich da einmischt, das nicht unter meiner Kontrolle steht.
> Jedenfalls sind die Probleme mit ICMP-Schwarzloch-Firewalls seit
> vielen Jahren weg.

Meist macht das der eigene (Plaste)-Router.
Gerade mit IPv6 ist mir aber schon paar mal aufgefallen, dass es eben
noch immer schwarze PMTU-Löcher gibt/gab.

[Bonita Montero]

Am 21.09.2022 um 13:09 schrieb Marco Moock:
> Am Mittwoch, 21. September 2022, um 12:41:45 Uhr schrieb Marc Haber:
>
>> Könnte aber sein dass irgend ein Gerät im
>> Datenpfad sich da einmischt, das nicht unter meiner Kontrolle steht.
>> Jedenfalls sind die Probleme mit ICMP-Schwarzloch-Firewalls seit
>> vielen Jahren weg.
>
> Meist macht das der eigene (Plaste)-Router.

Eigentlich nicht mehr, denn PPPoE ist History.
Heute wird's das wenn überhaupt an nem Tunnel
-Übergang in Sende-Richtung geben.

> Gerade mit IPv6 ist mir aber schon paar mal aufgefallen, dass es eben
> noch immer schwarze PMTU-Löcher gibt/gab.
>

Ich glaub Du willst nur angebliche Leute beklagen
die dümmer als Du sind.

[Marc Haber]

Bonita Montero <Bonita....@gmail.com> wrote:
>Eigentlich nicht mehr, denn PPPoE ist History.

Unsinn. Und Deine Beleidigungen kannst Du Dir irgendwohin stecken.

[Marc Haber]

Mindestens mein IPv6 geht hier raus ohne dass TCP-Segmente an dem
Plasterouter vorbeikommen.

[Marco Moock]

Am Mittwoch, 21. September 2022, um 14:50:34 Uhr schrieb Marc Haber:

> Mindestens mein IPv6 geht hier raus ohne dass TCP-Segmente an dem
> Plasterouter vorbeikommen.

War jetzt eher auf normale Heimnutzer bezogen.
AVM z.B. macht es:
https://en.avm.de/service/knowledge-base/dok/FRITZ-Box-5490/432_Adjusting-the-MTU-size-in-the-FRITZ-Box/

[Arno Welzel]

Bonita Montero, 2022-09-21 13:32:

> Am 21.09.2022 um 13:09 schrieb Marco Moock:
>> Am Mittwoch, 21. September 2022, um 12:41:45 Uhr schrieb Marc Haber:
>>
>>> Könnte aber sein dass irgend ein Gerät im
>>> Datenpfad sich da einmischt, das nicht unter meiner Kontrolle steht.
>>> Jedenfalls sind die Probleme mit ICMP-Schwarzloch-Firewalls seit
>>> vielen Jahren weg.
>>
>> Meist macht das der eigene (Plaste)-Router.
>
> Eigentlich nicht mehr, denn PPPoE ist History.

Solange es noch (V)DSL gibt, nicht:

<https://telekomhilft.telekom.de/t5/Telefonie-Internet/PPPOE-Einwahl-ueber-einen-Router-herstellen/ta-p/3654990>

--
Arno Welzel
https://arnowelzel.de

[Marc Haber]

Marco Moock <mo...@posteo.de> wrote:
>Am Mittwoch, 21. September 2022, um 14:50:34 Uhr schrieb Marc Haber:
>> Mindestens mein IPv6 geht hier raus ohne dass TCP-Segmente an dem
>> Plasterouter vorbeikommen.
>
>War jetzt eher auf normale Heimnutzer bezogen.

Mein DSL-Anschluss terminiert auf einer Fritzbox 7412.

[Marco Moock]

Am Mittwoch, 21. September 2022, um 19:48:18 Uhr schrieb Marc Haber:

> Marco Moock <mo...@posteo.de> wrote:
> >Am Mittwoch, 21. September 2022, um 14:50:34 Uhr schrieb Marc Haber:
> >
> >> Mindestens mein IPv6 geht hier raus ohne dass TCP-Segmente an dem
> >> Plasterouter vorbeikommen.
> >
> >War jetzt eher auf normale Heimnutzer bezogen.
>
> Mein DSL-Anschluss terminiert auf einer Fritzbox 7412.

Dann kannst du ja mal prüfen, ob die MSS-Clamping macht.

[Marc Haber]

Marco Moock <mo...@posteo.de> wrote:
>Am Mittwoch, 21. September 2022, um 19:48:18 Uhr schrieb Marc Haber:
>
>> Marco Moock <mo...@posteo.de> wrote:
>> >Am Mittwoch, 21. September 2022, um 14:50:34 Uhr schrieb Marc Haber:
>> >
>> >> Mindestens mein IPv6 geht hier raus ohne dass TCP-Segmente an dem
>> >> Plasterouter vorbeikommen.
>> >
>> >War jetzt eher auf normale Heimnutzer bezogen.
>>
>> Mein DSL-Anschluss terminiert auf einer Fritzbox 7412.
>
>Dann kannst du ja mal prüfen, ob die MSS-Clamping macht.

Mein IPv6 kommt da höchstens verschlüsselt in UDP-Paketen vorbei,
selbst wenn sie MSS Clamping machen würde, sie könnte es für TCP über
IPv6 nicht.

[Marco Moock]

Am Donnerstag, 22. September 2022, um 09:45:38 Uhr schrieb Marc Haber:

> Marco Moock <mo...@posteo.de> wrote:
> >Am Mittwoch, 21. September 2022, um 19:48:18 Uhr schrieb Marc Haber:
> >
> >> Marco Moock <mo...@posteo.de> wrote:
> >> >Am Mittwoch, 21. September 2022, um 14:50:34 Uhr schrieb Marc
> >> >Haber:
> >> >
> >> >> Mindestens mein IPv6 geht hier raus ohne dass TCP-Segmente an
> >> >> dem Plasterouter vorbeikommen.
> >> >
> >> >War jetzt eher auf normale Heimnutzer bezogen.
> >>
> >> Mein DSL-Anschluss terminiert auf einer Fritzbox 7412.
> >
> >Dann kannst du ja mal prüfen, ob die MSS-Clamping macht.
>
> Mein IPv6 kommt da höchstens verschlüsselt in UDP-Paketen vorbei,
> selbst wenn sie MSS Clamping machen würde, sie könnte es für TCP über
> IPv6 nicht.

Wieso denn verschlüsselt?
Baust du einen Tunnel auf?

[Marc Haber]

Richtig, Sherlock.

[Bonita Montero]

Am 21.09.2022 um 20:09 schrieb Marco Moock:

> Dann kannst du ja mal prüfen, ob die MSS-Clamping macht.

Eigentlich ist das schwer möglich, denn das ist ja transparent bzw.
man kann ja nicht unterscheiden ob der eigene Router der Gegenseite
ein kleineres Limit für die Segment-Größe verklickert oder ob die
Gegenseite von sich aus kleinere Segmente verschickt.

[Marc Haber]

Auf beiden Seiten tcpdump machen und die Pakete vergleichen ist
trivial.

[Bonita Montero]

Am 22.09.2022 um 17:55 schrieb Marc Haber:
> Bonita Montero <Bonita....@gmail.com> wrote:
>> Am 21.09.2022 um 20:09 schrieb Marco Moock:
>>
>>> Dann kannst du ja mal prüfen, ob die MSS-Clamping macht.
>>
>> Eigentlich ist das schwer möglich, denn das ist ja transparent bzw.
>> man kann ja nicht unterscheiden ob der eigene Router der Gegenseite
>> ein kleineres Limit für die Segment-Größe verklickert oder ob die
>> Gegenseite von sich aus kleinere Segmente verschickt.
>
> Auf beiden Seiten tcpdump machen und die Pakete vergleichen ist
> trivial.
>

Wenn ich nicht beide Seiten kontrolliere und die Gegenseite irgend-
ein Rechner im Netz ist, dann weiß ich nicht ob ich aus eigenen
Zügen kleinere Segemente zurückkriege, oder ob irgend ein Router
bzw. Gateway daraufhingewirkt hat indem die Gegenseite via MSS
-Clamping dazu gezwungen wurde.
Wobei ich mich frag ob das MSS-Clamping für die Gegenseite denn
verbindlich ist oder ob ich selbst, wenn die Gegenseite sich denn
nicht dran hält, beliebige Segment-Größen annehmen muss. Im Prinzip
solle das ja drin sein, denn meine lokale Begrenzung ist ja nicht
das Segment, sondern das Fenster.

[Marc Haber]

Bonita Montero <Bonita....@gmail.com> wrote:
>Am 22.09.2022 um 17:55 schrieb Marc Haber:
>> Bonita Montero <Bonita....@gmail.com> wrote:
>>> Am 21.09.2022 um 20:09 schrieb Marco Moock:
>>>
>>>> Dann kannst du ja mal prüfen, ob die MSS-Clamping macht.
>>>
>>> Eigentlich ist das schwer möglich, denn das ist ja transparent bzw.
>>> man kann ja nicht unterscheiden ob der eigene Router der Gegenseite
>>> ein kleineres Limit für die Segment-Größe verklickert oder ob die
>>> Gegenseite von sich aus kleinere Segmente verschickt.
>>
>> Auf beiden Seiten tcpdump machen und die Pakete vergleichen ist
>> trivial.
>>
>
>Wenn ich nicht beide Seiten kontrolliere und die Gegenseite irgend-
>ein Rechner im Netz ist, dann weiß ich nicht ob ich aus eigenen
>Zügen kleinere Segemente zurückkriege, oder ob irgend ein Router
>bzw. Gateway daraufhingewirkt hat indem die Gegenseite via MSS
>-Clamping dazu gezwungen wurde.

Wenn du gucken möchtest ob DEIN Router MSS-Clamping macht, reicht ein
Trace eines beliebigen TCP-Verbindungsaufbaus auf beiden Seiten.
Notfalls klickt man sich halt eine Hetzner-VM für zehn Cent und wirft
sie danach wieder weg.

>Wobei ich mich frag ob das MSS-Clamping für die Gegenseite denn
>verbindlich ist

Du darfst gerne selbst im TCP-RFC nachlesen ob das Einhalten des in
der MSS-Option gesetzten Wertes ein SHOULD oder ein MUST ist. Die
Gegenseite kann nichtmal unterscheiden, ob der übermittelte Wert jetzt
vom Gegner oder von einem Router auf dem Weg gesetzt wurde.

Frage an kompetente Diskussionspartner: Wie funktioniert MSS-Clamping
wenn im Verbindungsaufbau keine MSS-Option drin war? So weit wird ein
Router wohl nicht ins Paket eingreifen wollen.

Grüße
Marc

[Marco Moock]

Am Freitag, 23. September 2022, um 09:23:06 Uhr schrieb Marc Haber:

> Frage an kompetente Diskussionspartner: Wie funktioniert MSS-Clamping
> wenn im Verbindungsaufbau keine MSS-Option drin war? So weit wird ein
> Router wohl nicht ins Paket eingreifen wollen.

Wie kann man sowas erzeugen?
Dann würde ich das mal testen.

[Bonita Montero]

Am 23.09.2022 um 09:23 schrieb Marc Haber:

> Du darfst gerne selbst im TCP-RFC nachlesen ob das Einhalten des
> in der MSS-Option gesetzten Wertes ein SHOULD oder ein MUST ist.

Das war ja nicht mein Ding, sondern ob das denn überhaupt ein Problem
verusacht wenn sich die Gegenseite nicht dran hält und größere Segmente
verschickt.
Ich meine die Sache funktioniert doch auf Betriebssystem-Seite so, dass
immer entsprechend genug Speicher da ist damit der NIC Pakete beliebiger
Größe per DMA schreiben kann. Man kann ja nicht sagen: für Verbindung X
halte ich jetzt nur soundsoviel Speicher vor weil man ja nicht weiß ob
das nächste Paket eben für Verbindung X ist.
Das so empfangene Paket wird dann an IP und von da an TCP weitergereicht
und steht weiterhin an der selben Stelle im RAM. Von da aus wird es in
einen Empfangspuffer oder direkt in den lesenden Prozess kopiert. Auf
jeden Fall gibt es keinen logischen Grund, weswegen irgendwo in dieser
Verarbeitungs-Kette ein fester Buffer stehen sollte der solch übergroße
Pakete ausschließt. Von daher solte so ein "Fehler" an der Stelle Folgen
-los beiben.

> Die Gegenseite kann nichtmal unterscheiden, ob der übermittelte Wert
> jetzt vom Gegner oder von einem Router auf dem Weg gesetzt wurde.

Das ist klar und ich hab auch nichts gegensätzliches geesagt.

> Frage an kompetente Diskussionspartner: Wie funktioniert MSS-Clamping
> wenn im Verbindungsaufbau keine MSS-Option drin war? So weit wird ein
> Router wohl nicht ins Paket eingreifen wollen.

Das ist ja wohl trivial: der "Clamper" schaut einfach, ob er eine
niedrigere MSS zu erzwingen hat und tut das ggf.

[Marc Haber]

Bonita Montero <Bonita....@gmail.com> wrote:
>Das ist ja wohl trivial: der "Clamper" schaut einfach, ob er eine
>niedrigere MSS zu erzwingen hat und tut das ggf.

Du scheinst nicht zu wissen wie MSS Clamping funktioniert. Damit ist
diese Diskussion mit Dir für mich zuende.

[Bonita Montero]

Am 24.09.2022 um 11:06 schrieb Marc Haber:
> Bonita Montero <Bonita....@gmail.com> wrote:
>> Das ist ja wohl trivial: der "Clamper" schaut einfach, ob er eine
>> niedrigere MSS zu erzwingen hat und tut das ggf.
>
> Du scheinst nicht zu wissen wie MSS Clamping funktioniert.
> Damit ist diese Diskussion mit Dir für mich zuende.

Wenn der clampende Router eine MSS sieht die die eigene Seite erzwingen
will dann schaut er nach ob er eine noch kleinere erzwingen will. Wenn
Ja, dann verändert er diese Information, wenn Nein, dann lässt der die
ungefiltert durch ? Was soll bitte daran falsch sein, Du Trottel ?

[Marco Moock]

Am 24.09.2022 um 11:06:00 Uhr schrieb Marc Haber:

> Bonita Montero <Bonita....@gmail.com> wrote:
> >Das ist ja wohl trivial: der "Clamper" schaut einfach, ob er eine
> >niedrigere MSS zu erzwingen hat und tut das ggf.
>
> Du scheinst nicht zu wissen wie MSS Clamping funktioniert. Damit ist
> diese Diskussion mit Dir für mich zuende.

Weißt du, wie die Router das genau implementieren und ob die die
Prüfung machen, ob ihre gewollte MSS kleiner ist?

[Bonita Montero]

Äh, was sollen die denn bitte sonst machen ?

[Peter J. Holzer]

On 2022-09-23 07:23, Marc Haber <mh+usene...@zugschl.us> wrote:
> Frage an kompetente Diskussionspartner: Wie funktioniert MSS-Clamping
> wenn im Verbindungsaufbau keine MSS-Option drin war?

Auf die Schnelle habe ich nicht herausgefunden, wie ich unter Linux
Syn-Pakete ohne diese Option erzeuge. Die scheint immer gesetzt zu sein.
Daher kann ich das nicht testen.

> So weit wird ein Router wohl nicht ins Paket eingreifen wollen.

Warum nicht? Das Paket muss er ja auf jeden Fall ändern. Ob er jetzt
ein 2 Bytes überschreibt oder 4 Bytes einfügt, macht keinen großen
Unterschied.

hp

[Marco Moock]

Am 24.09.2022 um 14:29:21 Uhr schrieb Peter J. Holzer:

> Die scheint immer gesetzt zu sein.
> Daher kann ich das nicht testen.

In irgendeinem RFC (ich finde es gerade nicht) ist m.W. auch
festgelegt, dass der Absender einer TCP-Verbindung MSS anhand der MTU
setzen muss bzw. niemals größer sein darf, als die lokale MTU es
zulässt.

[Bonita Montero]

Natürlich, denn es gibt ja für jede Aussage von dir eine RFC.

[Marco Moock]

Am 20.09.2022 um 22:29:26 Uhr schrieb Peter J. Holzer:

> Bei einigen Webservern, ja. Nicht sehr viele, aber es waren ein paar
> wichtige darunter.

Ich habe wohl ein paar gefunden:
www.isc.org
www.cyrusimap.org

Teste mal bitte, ob da bei euch MTU mit IPv6 funktioniert (natürlich
ohne MSS-Clamping).

[Peter J. Holzer]

On 2022-09-26 19:08, Marco Moock <mo...@posteo.de> wrote:
> Ich habe wohl ein paar gefunden:
> www.isc.org
> www.cyrusimap.org
>
> Teste mal bitte, ob da bei euch MTU mit IPv6 funktioniert (natürlich
> ohne MSS-Clamping).

Funktionieren bei mir. Und soweit ich sehe, habe ich nichts spezielles
konfiguriert:

auto he-ipv6
iface he-ipv6 inet6 v4tunnel
address 2001:470:6e:xxxx::2/64
endpoint 216.66.86.122
local yyy.yyy.yyy.yyy
ttl 255
gateway 2001:470:6e:xxxx::1
pre-up ip6tables-restore < /etc/network/ip6tables

(/etc/network/ip6tables enthät nur ein paar Standard-Regeln: Alles von
drinnen darf raus, von draußen darf nur RELATED,ESTABLISHED rein.)

[Marco Moock]

Am 27.09.2022 um 01:15:01 Uhr schrieb Peter J. Holzer:

> Funktionieren bei mir. Und soweit ich sehe, habe ich nichts spezielles
> konfiguriert:

Bei mir nicht, es gibt einen Fallback auf IPv4.
Wird bei dir IPv6 auch für die Verbindung genutzt?

[Bonita Montero]

Am 24.09.2022 um 14:29 schrieb Peter J. Holzer:

> Auf die Schnelle habe ich nicht herausgefunden, wie ich unter Linux
> Syn-Pakete ohne diese Option erzeuge. Die scheint immer gesetzt zu sein.
> Daher kann ich das nicht testen.

Ist ja auch das Sinnvollste, diese Option auf Verdacht schon mal
mitzuschicken um zu verhindern, dass ggf. die PMTU-Discovery greift.
Die hat ja auch eine kleine Latenz und verlangsamt das erstmalige
Schicken von Daten, also im Endeffekt den Verbindungaufbau.

[Peter J. Holzer]

Wenn ich wget verwende, ja.

Wenn ich www.isc.org im Browser öffne, gibt es so viel Traffic zu so
vielen verschiedenen IP-Adressen (teilweise IPv6, teilweise IPv4), dass
ich nicht die Geduld habe, jede Connection zu analysieren um zu schauen,
ob da vielleicht irgendeine davon hakt.

Optisch fällt mir jedenfalls nichts auf. Und das Gemeine bei
PMTU-Discovery-Failures ist ja, dass sie meistens nicht sofort beim
Verbindungsaufbau auftreten (wo der Browser dann auf die nächste
IP-Adresse ausweichen könnte), sondern erst irgendwann später (wenn der
Server das erste Paket schicken möchte, das zu groß ist).

hp

[Marco Moock]

Am 28.09.2022 um 20:09:33 Uhr schrieb Peter J. Holzer:

> Optisch fällt mir jedenfalls nichts auf. Und das Gemeine bei
> PMTU-Discovery-Failures ist ja, dass sie meistens nicht sofort beim
> Verbindungsaufbau auftreten (wo der Browser dann auf die nächste
> IP-Adresse ausweichen könnte), sondern erst irgendwann später (wenn
> der Server das erste Paket schicken möchte, das zu groß ist).

Meist gibt es beim TLS Timeouts.

Mit wget geht es bei mir, im Browser kommt der Fallback früher.
Ich verstehe bis heute nicht, warum Firewall-Admins teilweise so nen
Bockmist konfigurieren.