Warum kann ich durch Verringern der MTU von 1500 auf 1499 auf die meisten Websites zugreifen?

16

Ich hatte dieses Problem, bei dem ich nur eine Verbindung zu Websites wie google.com und ibm.com herstellen konnte, als die MTU auf 1500 eingestellt war. Wenn ich jedoch versuchte, eine Verbindung zu etwas anderem herzustellen, wurde nur eine leere Seite angezeigt. Als die MTU auf 1499 gesenkt wurde, begann sie zu arbeiten. Ich bin gespannt, warum dies funktioniert und ob die Einstellung der MTU auf 1499 in Zukunft Probleme verursachen könnte. Ich weiß eigentlich nicht viel darüber, habe gerade davon gehört und suche nach einer guten Erklärung.

Wenn ich eine Erklärung bekomme, warum die MTU nur um 1 Byte gelöscht wurde, werde ich meine Frage mit der Erklärung aktualisieren.

Xaisoft
quelle

Antworten:

19

Dies kann bedeuten, dass ein anderes Gerät, das Ihnen vorgeschaltet ist, eine kleinere MTU hat und jemand eine Firewall falsch konfiguriert hat, um alle ICMPs zu blockieren, die die MTU- Erkennung für den Pfad verhindern.

Viele naive Netzwerkadministratoren scheinen zu glauben, dass ICMP keinen Zweck hat und dass Sie es vollständig blockieren können, ohne dass dies Auswirkungen hat.

Zoredache
quelle
4
1499 scheint jedoch seltsam. Kleinere MTUs sind in der Regel das Ergebnis des Angriffs auf einen anderen Header (z. B. PPPoE, VPNs, VLANs usw.), der die MTU um eine gerade Zahl verringert. Zum Beispiel 4 Bytes für 802.1q oder 8 Bytes für PPPoE. Was würde nur 1 Byte verbrauchen?
Gerald Combs
@Gerald, das ist gut und die Zahl kommt mir auch komisch vor. Vielleicht bietet jemand anderes eine mögliche Erklärung an.
Zoredache
Gerald, ich werde herausfinden, warum es nur 1 Byte war.
Xaisoft
Der Drahtlosnetzwerktechniker in meiner Firma hat es auf 1499 eingestellt, also werde ich herausfinden, warum und Sie wissen lassen. Ich bin mir all dieser Dinge überhaupt nicht bewusst, lol.
Xaisoft
2
Könnte ein Router / Firewall / etc sein, der falsch konfiguriert ist, um Pakete mit 1500+ MTU anstelle von> 1500 MTU abzufangen.
Chris S
8

Um genauer zu sein: In den Kopfzeilen der IP-Datagramme ist das DF-Flag (Don't Fragment) gesetzt. Sie treffen dann irgendwo auf dem Weg zwischen Ihnen und dem Ziel ein Gateway, dessen MTU kleiner ist als die vom Absender verwendete. Dieses Gateway muss die Datagramme weiter fragmentieren, damit es eine ICMP-Typ-4-Nachricht sendet. Dies bedeutet im Wesentlichen: "Ich muss diese Pakete fragmentieren, aber Sie haben dies nicht gesagt. Das Ziel ist daher nicht erreichbar."

Diese ICMP-Pakete werden vom ursprünglichen Absender nicht empfangen, da ein Gateway entlang des Pfads so konfiguriert wurde (dummerweise), dass es alle ICMP-Pakete blockiert. Der Absender weiß also nicht, dass seine Pakete nicht durchgekommen sind und wartet ... und wartet. Irgendwann wird etwas ausfallen. Normalerweise ist es der Mensch, der zuerst ausfällt. :)

DictatorBob
quelle