bouncer86 5 Geschrieben 14. März 2016 Melden Teilen Geschrieben 14. März 2016 Hallo, es gibt ja verschiedene Möglichkeiten, den TCP/IP Stack zu optimieren, bzw. anzupassen. Oft sprechen viele von der MTU. Dann gibt es noch Punkte wie Windows Scaling, MSS, oder viele weitere. Ich betreibe in meinem Lab, welches hinter einer Fritzbox hängt, eine virtuelle Firewall. Diese baut einen OpenVPN Tunnel zu meinem Provider für feste IP Adressen auf. An den MTU Werten wurde nichts. Nun ist es doch recht träge. Die Frage, muss ich an den MTU Werten meiner virtuellen Firewall etwas anpassen? Wenn ja, warum? Ist es bei der MTU nicht so, dass die ersten Pakete einer Verbindung schauen wie weit sie mit ihrer MTU Größe kommen, wenn sie nicht weiter kommen, verkleinern Sie sich und versuchen es erneut. Steht die Verbindung aber einmal, so ist alles gut. Oder hab ich hier einen Fehler? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 14. März 2016 Melden Teilen Geschrieben 14. März 2016 Wenn dich das Thema interessiert, kann man dir nur empfehlen dich z.B. mit Wireshark auseinander zu setzen. Unter wireshark.org findest jede Menge an Webcasts und anderen Materialien über praktische Netzwerkanalytik. Ohne tieferes Wissen würde ich nicht an MTU-Werten etc. auf Verdacht rumschrauben, zumindest nicht bei einigermaßen wichtigen Systemen. blub Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. März 2016 Melden Teilen Geschrieben 15. März 2016 einfach auf ipv6 umsteigen, da ist der ganze MTU Unfug vorbei :) DIe gibts natürlich noch, aber kein device am Weg darf fragmentieren, es wird immer eine path discovery gemacht. Performance von VPN/Firewall ist immer schwierig zu analysieren, wireshark ist schon mal super, wenn möglich, auf beiden Enden. Da knan man meist schon ableiten wenn nicht sogar genau sagen wo der Schuh drückt Ansonsten, CPU/RAM auf der Firewall soweit Ok ? Wie komplex ist die Encryption domain ? Zitieren Link zu diesem Kommentar
bouncer86 5 Geschrieben 15. März 2016 Autor Melden Teilen Geschrieben 15. März 2016 Es geht wie gesagt um mein Lab. Dieses hängt hinter einer Fritzbox am vdsl Anschluss. Eine virtuelle pfSense trennt Lab. An dieser pfSense terminiert ein openvpn Tunnel. Dem Tunnel Device habe ich als Mtu 1440 mitgegeben. (Vom Provider empfohlen) Die Frage ist nun, muss ich den Devices hinter der pfSense auch die kleinere Mtu konfigurieren? Kann bei IPv4 automatisch jeder Router Mtu path Discovery? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. März 2016 Melden Teilen Geschrieben 15. März 2016 der router macht die discovery nicht, das macht der sender,also das endgerät. wenn du auf den devices hinter pfsense eine höhere mtu hast, dann muss die firewall sicher öfter mal fragmentieren, tut sie das nicht,dann gehen frames einfach flöten. Dieses Verhalten würde man aber via wireshark erkennen können Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.