Hofheim Hood, ipv6 funktioniert, leider nur teilweise, z.b. windowsupdates nicht funktionierend wenn dualstack eingeschaltet

[Fabian Bläse]

On 29.12.19 22:25, Andreas Bittner FFF wrote:
> On 29.12.2019 22:17, Fabian Bläse wrote:
>> Bei den Windows Update Servern ist PMTUD kaputt. Grob gesagt heißt
>> das, dass die Server nicht auf die von den Routern gesendeten ICMP
>> Fehler "Packet too big" reagieren, und weiterhin zu große Pakete
>> schicken, die nicht durch die Freifunk Tunnel passen. Zu große Pakete
>> werden verworfen, daher kommen diese nie bei deinem Rechner an.
> 
> Danke fuer die informative Aussage. Kann man so etwas als reiner
> Teilnehmer in FFF auch ueberpruefen oder irgendwie sehen ob zu grosse
> Pakete verworfen werden, oder muesste man da irgendwo an einem FFF AP
> oder Gateway ansetzen um so etwas technisch zu beobachten?
Schwierig.. Du bekommst halt unerwartet keine Antwort vom Server.
Wenn Ping geht, aber ein Dienst, der mit größeren Daten hantiert nicht funktioniert und nur ewig lädt, ist die Wahrscheinlichkeit groß, dass es sich um ein Problem in dieser Richtung handelt.
Die eigentliche Problematik ist nur auf dem Router sichtbar, auf dem sich die MTU auf dem Weg vom einen zum anderen Interface ändert.

>> Jedenfalls war das das Problem, als ich das das letzte mal analysiert
>> habe. Kann natürlich sein, dass da auch noch ein anderes Problem mit
>> rein spielt. Wenn aber ansonsten alles gut funktioniert, liegt es mit
>> hoher Wahrscheinlichkeit daran. Hier noch eine andere Seite, die das
>> gleiche Problem hat und daher im Freifunk per IPv6 meistens nicht
>> lädt: https://community.kde.org (Habe mit denen Kontakt aufgenommen.
>> Nachdem die Lösung des Problems für Q4 2019 angekündigt wurde, haben
>> sie es auf Q1 2020 verschoben..)
>> Mit Microsoft hat bisher glaube ich niemand versucht, Kontakt
>> aufzunehmen.
> 
> Ist das eigentlich so exotisch mit IPV6 und der unterschl. MTU Groessen?
> Scheint ganz schoen schwer zu sein IPV6 korrekt zu implementieren wenn
> das stimmt :( Alles noch Neuland, experimentelle Technologie usw.
> koennte man meinen nach so vielen Jahren und Jahrzehnten der Specs. :(
Du möchtest gar nicht wissen, wie kaputt PMTUD bei IPv4 ist. Dort ist es so schlimm, dass viele Webseiten ohne MSS Clamping nicht benutzbar sind. So nicht benutzbar, dass eigentlich alles IPv4 Exits im Freifunk MSS Clamping (oder etwas vergleichbares) machen.
Das Problem sind vermutlich fast immer zu restriktive Firewalls, ICMP Pakete sind ja böse.

Weil die Frage jetzt gleich kommen wird: Ja, man kann auch bei IPv6 in der MSS rumpfuschen. Das ist aber eigentlich nicht Aufgabe eines Routers und funktioniert natürlich auch nur für TCP.
Bei IPv6 haben die allermeisten PMTUD im Griff, daher ist es (jedenfalls bei mir) eine idealistische Entscheidung, bei IPv6 kein MSS Clamping zu machen.

IPv4 hat hier aber noch eine Besonderheit: Dort war ursprünglich vorgesehen, dass Router auf dem Weg Pakete fragmentieren. Später wurde dann das "Don't Fragment" Bit ergänzt. Ist dieses gesetzt, verwerfen Router das Paket stattdessen und senden passende ICMP Fehler.
Das "Don't Fragment"-Bit ist mittlerweile so gut wie überall default, die Firewalls berücksichtigen das aber häufig nicht. Selbst größere Buden (oder vielleicht gerade die? ..) haben das nicht im Griff. Die Webseiten "ui.com" (Routerhersteller, ziemlich peinlich..) und "telekom.de" (Extra-Peinlich, da sie ja selbst ausschließlich Anschlüsse mit verringerter MTU im Angebot haben..) haben das beide nicht im Griff.

Mehr Infos: https://wiki.freifunk-franken.de/w/MTU

Gruß
Fabian

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://lists.freifunk.net/pipermail/franken-freifunk.net/attachments/20191229/78104e4c/attachment.sig>