probleme mit ssl, ftp usw

unterschiedliche netzwerkprobleme nach umstellung auf feste ips

bei der arbeit mitt ssl-verschlüsselten seiten treten nach der umstellung auf feste ip-adressen probleme auf, die sich in unterschiedlich häufigen verbindungsabbrüchen äussern, ebenfalls gemeldet wurden uns probleme mit dem ftp-protokoll, die sich nicht bei allen servern auf die gleiche art und weise äussern. häufig ist etwa eine sehr langsame upload-geschwindigkeit, die lediglich die übertragung weniger kilobyte grosser dateien erlaubt. alle anderen versuche erzeugen einen timeout. solche probleme im netzbetrieb mit unseren vpn-appliances treten etwa bei verwendung des draytek security routers vigor 2910VGi, 2910V, 2920i, 2910G auf, nachdem der standort von dynamischen IPs des internet service providers auf feste IPs umgestellt wurde. das problem liegt in der größe des mpu-wertes (maximum transmission unit). dieser gibt an, wie gross maximal von der hardware übertragene pakete sein dürfen (in bytes). je nach isp kann es sein, dass zugänge mit fester ip geringerer mpus bedürfen, andernfalls führt die dann notwendige fragmentierung offenbar zu den geschilderten problemen.


abhilfe

verbinden sie sich per telnet mit dem router. dazu öffnen sie unter windows betriebssystemen eine kommandozeile und geben telnet 192.168.x.x (ihre router ip). nach eingabe des passworts des routers können sie sich den mpu für die erste wan-schnittstelle durch eingabe von wan ppp_mss ? ausgeben lassen. analog durch eingabe von wan ppp2_mss ? für die zweite (optionale) wan-schnittstelle. der wert kann neu bestimmt werden, indem das fragezeichen durch die geforderte byteanzahl ersetzt wird. leider ist die handhabung nicht bei allen vigor modellen und ebenfalls nicht bei allen firmwareversionen identisch. zum teil beschreibt dieser wert nicht die mtu, sondern nur die mss (maximum segment size). zum mss ist noch der header des zu übertragenden pakets (40 bytes, jeweils 20 für den ip-header und für den tcp-header) hinzuzuzählen, die addition von mss und header ergibt daher die mtu. sollte ihr router und ihre firmware also die eingabe der mss verlangen, müssen sie 40 von der von ihrem isp genannten mpu abziehen, um den geforderten wert zu erreichen. welche variante anhand ihrer hardware und firmware anzugeben ist, lässt sich durch festlegung eines testwerts und anschliessende überprüfung der mtu mit geeigneten werkzeugen feststellen.
wenn sie nach auslieferung ihrer vpn-appliance eigenständig veränderungen an ihrem internetanschluss vorgenommen haben (providerwechsel, feste ip, kapazitätswechsel) empfehlen wir allerdings auch aus performancegründen eine überprüfung der mtu auf konformität mit den vorgaben ihres isp.


Revision: 2011/01/01 - 18:11 - © ars laborandi