bouncer86 5 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Hallo, es gibt ja verschiedene Möglichkeiten, den TCP/IP Stack zu optimieren, bzw. anzupassen. Oft sprechen viele von der MTU. Dann gibt es noch Punkte wie Windows Scaling, MSS, oder viele weitere. Ich betreibe in meinem Lab, welches hinter einer Fritzbox hängt, eine virtuelle Firewall. Diese baut einen OpenVPN Tunnel zu meinem Provider für feste IP Adressen auf. An den MTU Werten wurde nichts. Nun ist es doch recht träge. Die Frage, muss ich an den MTU Werten meiner virtuellen Firewall etwas anpassen? Wenn ja, warum? Ist es bei der MTU nicht so, dass die ersten Pakete einer Verbindung schauen wie weit sie mit ihrer MTU Größe kommen, wenn sie nicht weiter kommen, verkleinern Sie sich und versuchen es erneut. Steht die Verbindung aber einmal, so ist alles gut. Oder hab ich hier einen Fehler?
blub 115 Geschrieben 14. März 2016 Melden Geschrieben 14. März 2016 Wenn dich das Thema interessiert, kann man dir nur empfehlen dich z.B. mit Wireshark auseinander zu setzen. Unter wireshark.org findest jede Menge an Webcasts und anderen Materialien über praktische Netzwerkanalytik. Ohne tieferes Wissen würde ich nicht an MTU-Werten etc. auf Verdacht rumschrauben, zumindest nicht bei einigermaßen wichtigen Systemen. blub
Otaku19 33 Geschrieben 15. März 2016 Melden Geschrieben 15. März 2016 einfach auf ipv6 umsteigen, da ist der ganze MTU Unfug vorbei :) DIe gibts natürlich noch, aber kein device am Weg darf fragmentieren, es wird immer eine path discovery gemacht. Performance von VPN/Firewall ist immer schwierig zu analysieren, wireshark ist schon mal super, wenn möglich, auf beiden Enden. Da knan man meist schon ableiten wenn nicht sogar genau sagen wo der Schuh drückt Ansonsten, CPU/RAM auf der Firewall soweit Ok ? Wie komplex ist die Encryption domain ?
bouncer86 5 Geschrieben 15. März 2016 Autor Melden Geschrieben 15. März 2016 Es geht wie gesagt um mein Lab. Dieses hängt hinter einer Fritzbox am vdsl Anschluss. Eine virtuelle pfSense trennt Lab. An dieser pfSense terminiert ein openvpn Tunnel. Dem Tunnel Device habe ich als Mtu 1440 mitgegeben. (Vom Provider empfohlen) Die Frage ist nun, muss ich den Devices hinter der pfSense auch die kleinere Mtu konfigurieren? Kann bei IPv4 automatisch jeder Router Mtu path Discovery?
Otaku19 33 Geschrieben 15. März 2016 Melden Geschrieben 15. März 2016 der router macht die discovery nicht, das macht der sender,also das endgerät. wenn du auf den devices hinter pfsense eine höhere mtu hast, dann muss die firewall sicher öfter mal fragmentieren, tut sie das nicht,dann gehen frames einfach flöten. Dieses Verhalten würde man aber via wireshark erkennen können
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden