Jump to content

Server RRAS / RASPPPoE / MTU Problemchen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich hoffe ihr könnt mir helfen (bin "zufällig" auf euer Board aufmerksam geworden).

 

Folgende Konfig:

 

Windows 2000 Server mit RRAS "wählt" sich via RASPPPoE und DSL ins I-Net ein.

 

Auf dem Server rennt Routing und RAS mit NAT + DHCP + DNS.

 

Das System funktioniert auch soweit, also die Clients incl. Server kommen ins I-Net usw. .

 

Nur 2 kleine Probleme:

 

1. NAT verwendet immer für ausgehende Verbindungen das Port "1025" zuerst.

 

Das würde ich gerne ändern, da ich einige Ports in RRAS gesperrt habe (damit keiner von draußen darauf zugreifen kann u.a. eben auch "1025").

 

Das Problem dabei is nämlich das dadurch einige Verbindungen eben nicht zustande kommen können.

 

--> für dieses Problem hab ich zwar ne Lösung nur bin ich mir nicht sicher ob die so gut ist (= hab in der RRAS NAT Konfiguration einfach die gesperrten Port's auf ne nicht existierende IP im LAN geforwarded wodurch NAT diese Ports nun nicht mehr verwenden kann :D).

 

--> Gibt's ne bessere Lösung ???

 

2. Problem ist etwas größer

 

Nämlich alle Clients im LAN arbeiten mit ner MTU von 1500, über PPPoE im Server passen aber nur 1492 (wegen PPPoE).

 

Das Problem ist nun das Windows 2000 den Client's diesen "kleinen" Umstand nicht via ICMP Meldung mitteilt.

 

Was zur Folge hat das Packete in denen das Don't Fragment Bit gesetzt ist und die eine Größe zwischen 1492 und 1500 haben einfach verpuffen.

 

Bsp.:

 

ping -f -l 1472 1.2.3.4 = Time Out

...bis...

ping -f -l 1465 1.2.3.4 = Time Out

 

ping -f -l 1464 1.2.3.4 = geht !

 

Wenn ich die MTU auf allen Client's ändere (=1492) geht's natürlich, nur das möchte ich nicht da dadurch auch der LAN Traffic "beeinträchtigt" wird.

 

Gibt's ne andere Lösung ???

 

Bin für jede Antwort dankbar :) .

 

MfG.

Link zu diesem Kommentar

Hi 5v3n!

 

Ich versteh Dein Problem nicht ganz. Wenn Du einen Router einsetzt, der MSS-Clamping nicht unterstützt, mußt Du auf den Clients den MTU-Wert reduzieren. Sonst geht´s halt nicht.

(Ich glaube nicht, daß es irgendwie stört, daß die MTU auf 1464 und nicht auf 1500 steht, 1492 wird wohl nicht laufen auf Deinen Clients).

 

Wenn Du darauf beharrst, daß Port 1025 gesperrt ist, ist ja wohl ein anderer Port offen. Wo ist da der Unterschied ?

 

zuschauer

Link zu diesem Kommentar

> Wenn Du darauf beharrst, daß Port 1025 gesperrt ist, ist ja wohl ein anderer Port offen. Wo ist da der Unterschied ?

 

Ich habe den Port nur gesperrt da auf dem Server ein Dienst lauft der diesen Port benutzt, welcher aber NICHT via I-Net erreichbar sein soll.

 

Das Problem ist eben das RRAS diese Portsperre scheinbar nicht wahrnimmt und so immer das erste via NAT übersetze Packet auf Port 1025 zum z.B. Port 80 des I-Net Servers sendet (was aber durch die Portsperre eben nicht gelingt) :(.

Hatte ihm da mal mit nen Sniffer auf den Zahn gefühlt ;).

 

Ich hoffte das es hierfür ne "elegantere" Lösung gibt als die Meinige.

 

Selbes gilt auch für das MTU Problem --> gibt es denn keine Möglichkeit das sich der Windows 2000 Server so verhält das er den Clients mitteilt wenn ein Packet zu groß ist (is doch nen bisschen aufwendig für jeden Client die MTU zu ändern oder ???)

 

Aber trotzdem danke für deine Antwort :).

 

MfG.

Link zu diesem Kommentar

Ja ich benutze den Treiber von Schlabbach.

 

Und dieses kleine Häckchen hab ich auch mal testweise gesetzt nur leider ohne Erfolg :( - Möglicherweise funktioniert das nur mit ICS (Internet Connetion Sharing) und nicht mit RRAS... .

 

Hatte auch schon versucht über DHCP (MTU Option 26) die Clients darüber zu informieren nur leider ignorieren die Workstation (W2k/ Win98SE) das behaarlich.

 

Ich hab hier auch noch nen kleinen Hardware Router für DSL rumstehen (der leider meiner Netzwerklast Zeitweise nich ganz gewachsen ist) dafür aber besagte Fragmentierungsmeldung an die Stationen zurücksendet - und deshalb hatte ich eigendlich gehofft das man das auch dem Windows 2000 Server beibringen kann :).

 

Naja evtl. hat ja noch jemand ne Idee (oder ich stell mich einfach nur zu doof an und seh einfach nich das wonach ich die ganze Zeit suche :D ).

 

MfG.

Link zu diesem Kommentar

Hi 5v3n!

Ich bin jetzt etwas ratlos, denn ehrlich gesagt, benutz ich privat den Schlabbach-Treiber nicht (Linux-Router). Aber ich hab noch nirgendwo gelesen, daß das MSS-Clamping nicht funktioniert hat.

Bist Du Dir sicher, daß der auch bei Deinem Verbindungsaufbau benutzt wird und nicht eventuell ein anderer Treiber - nur so als Tip ? Hr. Schlabbach ist ja auch sehr überzeugt von seinem Produkt.

Im übrigen denk ich mal, besteht der RRAS von W2k einen Vergleich mit Hardware-Router bis zur Mittelklasse auf jeden Fall.

Die Lösung Deines Port-Problemes ist zwar ein bißchen um die Ecke, aber wenn´s Dein Problem löst - doch ok !

 

zuschauer

 

PS: Ich seh keinen Grund zur Annahme, daß Du zu doof bist !

Link zu diesem Kommentar

Also der Schlabbach-Treiber ist ohne Zweifel super (klein & schnell) = perfekt.

 

Ich hatte zwar schonmal im I-Net nach meinem Problem gesucht - bin auch fündig geworden. Dort wurde ebenfalls deine Lösung genennt, nur eben leider in Verbindung mit dem einfachen ICS und nicht via RRAS (daher meine Vermutung oben).

 

Naja werde mir Windows 2000 Server nochmal auf ner 2. Festplatte installieren und dann das ganze über ICS probieren mal sehen wie sich das System dann verhält.

 

Das Routing und RAS von Windows 2000 is meiner Meinung nach auch recht gut (also man kann ne Menge damit Anstellen) daher war ich auch etwas überrascht das NAT die Portsperre einfach nicht gesehen hat, naja und in Bezug auf dessen hab ich langsam den Verdacht das es sich mit dem MTU Problem ähnlich verhält, sprich RRAS weiß einfach nix von der MTU Beschränkung der PPPoE Verbindung (diverse Registry Einträge/Experimente von mir waren leider auch ohne Ergebnis) und verwirft diese "übergroßen" Packete dann einfach (denn raussenden tut er sich nicht das hab mit nem Sniffer bereits nachgesehen).

 

Tja und das Windows nen anderen PPPoE Treiber als den von Schlabbach verwendet kann ich mir nicht vorstellen den soweit ich weiß wurde ein PPPoE-Treiber erst ab Windows XP eingebaut.

 

Bin leider noch nen "totaler Linux-DAU" sonst würde ich das ganze "mal eben schnell" damit testen - nur alles was bei mir und SuSE über Yast und RPM hinausgeht endet meißt mit ner Fehlermeldung :D :D :D.

 

Aber danke erstmal für deine Tips - sie zeigen mir das ich nicht völlig auf dem falschen Weg war/bin :).

 

MfG.

Link zu diesem Kommentar

So hab heute nun W2K incl. SP3 + RASPPPoE 0.98b auf dem selben PC auf ner 2. Festplatte installiert und anschließend das ICS aktiviert.

 

Das Problem ist und bleibt das selbe Pings zwischen 1464 und 1472 bzw. Packete zwischen 1492 und 1500 Bytes verschwinden spurlos auf dem Weg ins I-Net.

 

Ich denke ich habe fast alle möglichen Kombinationen duchprobiert - mal mit einer NIC mal mit zwei NICs mal mit der MSS Option in RASPPPoE mal ohne und sogar mal mit noch weiter verringerter MTU zu meinem ISP (statt 1492 mal 1490).

Es ist und bleibt immer das gleiche Packete die nicht fragmentiert werden dürfen, von nem Client PC stammen und deren größe sich aus der Differenz Ethernet MTU (1500) und Broadband DSL MTU (PPPoE = 1492) ergibt werden von dem Windows 2000 Server einfach "gekillt" (= Time out).

 

Kurioser weise gibt's auf dem Server direkt keine Probleme damit bzw. nen Ping von 1465 Byte wird korrekt mit "Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt." beantwortet. Also irgendwo scheint er über den Umstand der verringerten MTU auf dem WAN schon informiert zu sein nur beim Routing interresierts ihn dann halt nicht mehr :( .

 

Bleibt die Frage liegts an RASPPPoE oder an Windows ?

(ich tendiere zu Windows...)

 

MfG.

Link zu diesem Kommentar
  • 4 Monate später...

Mal wieder rauskram...

 

... da ich das Problem mit Win 2000 + RASPPPoE leider NICHT richtig lösen konnte hab ich mir mal Windows 2003 .NET Server (Enterprise Edition) RC2 installiert.

 

Kurzum bin begeistert :).

 

Mit dem integrieten (MS)PPPoE hab ich zwar "nur" ne MTU von 1480 aber dafür funktioniert der Rest (also die Fragmentierungsmeldung einwandfrei).

 

Dazu kommt nen leicht überarbeiteter RRAS Dienst mit Mini-Firewall diese lässt nur Packete durch die von "innen" angefordert wurden und NETBIOS over IP lässt sich für die WAN Verbindung auch einzelln abschalten - damit kann ich mir das Port sperren sparen. Kurzer Test mit GRC und Retina == System ist nicht zu sehen :D.

 

Also wenn ich auch von XP nich sooo begeistert war/bin die neue Serverversion von M$ is devinitiv nen Blick wert (wenn sie denn im Handel ist).

 

MfG.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...