PF a NAT pro lokalni sit / MTU

[Dan Lukes]

Miroslav Lachman wrote on 23. 3. 2019 8:56:
>> Zadny problem s firewallem kdekoliv, problem je jen ta MTU na karte.

> Mozna jsem to spatne popsal v predchozich e-mailech, tak to zkusim 
> popsat jeste jednou srozumitelneji:
> 
> internet --- UPC modem --- router OLD --- LAN stanice

Mas tedy dve LAN. Jednu mezi routerem a vnitrnimi stanicemi - tam se zda 
byt MTU v poradku, je vsude stejna. Druhou LAN mas smerem ven - a tam 
to, zrejme, v poradku neni. V te siti se pouziva MTU 1500 (alespon dosud 
ti to s ni fungovalo - a ono by to nefungovalo, kdyby UPC modem zvladal 
jen pakety velikosti 576 a router by mu posilal 1500). Najednou mas ale 
ve stejne LAN kartu (ext_if noveho routeru) ktera ma MTU jen 576 - a 
modem nejspis posila pakety velikosti 1500

To fungovat nemuze, ledaze prenastavis MTU i na vsech dalsich zarizenich 
stejne site, tzn. i na modemu od UPC.

> internet --- UPC modem --- router NEW --- LAN stanice
> 
> router NEW
>     ext_if: bge0    mtu 576
>     int_if: bge1    mtu 1500
> 
> LAN stanice
>     if: em0    mtu 1500

> Kdyz na nem zkusim pustit
> ifconfig bge0 mtu 1500
> tak dojde k sekvenci DOWN, dhclient, UP a zase se na sitovce bge0 objevi 
> mtu 576. Takze ho z nejakeho duvodu nastavuje dhclient / komunikace s 
> UPC Modemem, ale netusim proc. 

Mozna, mozna jde o omezeni karty v danem rezimu (nejmene praddepodobna 
moznost), mozna jde o chybu komunikace mezi hardwarem a ovladacem.

Variantu, ze ti to nekdo nejak prenastavuje vyloucis snadni - kdyz z te 
karty odpojis kabel a zastavis DHCPlienta, neni nic co by kartu 
prenastavilo.

> Neni to obecne nastaveni site, protoze 
> kdyz k modemu pripojim "router OLD", tak se s protejsi stranou domluvi 
> na mtu 1500.

MTU se bezne nedomlouva. DHCP sice umoznuje tento udaj predavat, ale 
bylo by to poprve, co bych slysel o realnem pouziti tohoto parametru.

Tak DUMPem chyt to DHCP. Uvidis co v nem je a co ne. Pokud tam MTU bude, 
a bude to tahle malinka, tak budem vedet "kdo za to muze" a muzem zacit 
resit co s tim. Ale v podstate neni jine reseni, nez ujednotiv hodnoty 
na jednu - tedy - bud' snizit hodnotu MTU na UPC modemu, nebo zvysit 
hodnotu MTU tady.

> Neni to obecne nastaveni site, protoze kdyz k modemu pripojim "router OLD", tak se s protejsi stranou domluvi na mtu 1500.

Jen pro poradek, tento zaver neplyne z pozorovanych skutecnosti zcela 
jednoznacne.

Pokud nejsou routeOLD a routerNEW softwarove i konfiguracene identicke, 
je mozne, ze router old v ramci DHCP hodnotu MTU nepozaduje pripadne ji 
ignoruje. Nebo mu ji DHCP z nejakeho duvodu (treba na zaklade vendor 
identifikace tazatele) neposila.

>> "GET / HTTP/1.0" nasledovany jednim prazdnym radkem je legitimni HTTP/1.0 pozadavek. Ten treti ENTER je tam v tomto ohledu uz navic.
> 
> Ano, to bylo schvalne. Kdyz to dlouho nic nedelalo, zkusil jsem dalsi enter...

Podle dumpu nasleduje druhy ENTER za prvnim s odstupem dvou vterin a 
bezprostredne pote server spojeni uzavre. Teprve pote odejde treti ENTER ...

Ale ano, ted, kdyz se na ten dump divam jeste pozorneji, uz v nem vidim, 
ze pred tim uzavrenim server odeslal paket s daty velikosti 827B, ktery 
v dumpu neni, ergo nedorazil. Proto take klient nereagoval na uzavreni 
spojeni (ktere prislo samostatnym kratkym paketem, ktery dorazil). TO 
jsme si napoprve nevsimnul.

Takze i tady jsem se minul, nejde o samostatny problem, i tady je to vec 
vadne MTU.

Dan