[Comm] NAT: unreachable - need to frag (mtu 576) [tos 0xc0]

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] NAT: unreachable - need to frag (mtu 576) [tos 0xc0]
@ 2004-05-20 18:23 Eugene Prokopiev
  2004-05-21  6:50 ` Oleg Shulga
  0 siblings, 1 reply; 2+ messages in thread
From: Eugene Prokopiev @ 2004-05-20 18:23 UTC (permalink / raw)
  To: community

Здравствуйте!

Есть сеть следующей (несколько извращенной ;) ) конфигурации:

1. Виртуальная машина под VMware (Win2K) - 192.168.3.3
2. Ност-машина (ALM 2.2) - 192.168.3.1. Она по диалапу дозванивается на 
другую машину, и при дозвоне получает внешний адрес 192.168.201.1. Также 
она осуществляет SNAT для 192.168.3.3
3. Dial-in сервер (ALM 2.2) с адресом 192.168.201.180 для диалапных 
подключений и внешним реальным адресом. В этот внешний адрес посредством 
SNAT преобразуется 192.168.201.1.

Задача: выйти с виртуальной машины во внешний мир.

tracert показывает, что ничего невозможного нет:

C:\>tracert yandex.ru

Трассировка маршрута к yandex.ru [213.180.216.200]
с максимальным числом прыжков 30:

   1     1 ms    <1 мс    <1 мс  192.168.3.1
   2   257 ms   129 ms   137 ms  192.168.201.180
   3   167 ms   142 ms   129 ms  внешний реальный адрес dial-in сервера
   4   143 ms   114 ms   127 ms  и т.д.
   ...

Трассировка завершена. Удачно.

Но попытки подключиться к чему-нибудь по TCP (например зайти на 
удаленную машину по ssh) заканчиваются неудачей.

Интересно, что с 192.168.3.3 можно подключиться ко всем машинам до 
192.168.201.1 включительно, а с машины 192.168.201.1 вообще куда угодно. 
Т.е. проблемы, связанные с настройкой iptables, исключаются. Но 
TCP-пакеты не проходят через 2 NAT'а одновременно, только через один.

Еще интересные вещи сообщает tcpdump -i eth0 "dst some_external_ip":

20:58:28.838417 ewsd.donpac.ru > some_external_host_name: icmp: 
192.168.201.1 unreachable - need to frag (mtu 576) [tos 0xc0]

Происходит это при попытке подключиться по ssh к хосту 
some_external_host_name.

На тему 576 - действительно такой mtu и mru выставлен в /etc/ppp/options 
на Dial-in сервере. А скорость dial-in-модема установлена в 57600 bps

Куда копать дальше? Менять mtu? На что? И что вообще происходит?

-- 
С уважением, Прокопьев Евгений

^ permalink raw reply	[flat|nested] 2+ messages in thread

* Re: [Comm] NAT: unreachable - need to frag (mtu 576) [tos 0xc0]
  2004-05-20 18:23 [Comm] NAT: unreachable - need to frag (mtu 576) [tos 0xc0] Eugene Prokopiev
@ 2004-05-21  6:50 ` Oleg Shulga
  0 siblings, 0 replies; 2+ messages in thread
From: Oleg Shulga @ 2004-05-21  6:50 UTC (permalink / raw)
  To: community

Eugene Prokopiev wrote:

> Здравствуйте!
> 
> Есть сеть следующей (несколько извращенной ;) ) конфигурации:
> 
> 1. Виртуальная машина под VMware (Win2K) - 192.168.3.3
> 2. Ност-машина (ALM 2.2) - 192.168.3.1. Она по диалапу дозванивается на 
> другую машину, и при дозвоне получает внешний адрес 192.168.201.1. Также 
> она осуществляет SNAT для 192.168.3.3
> 3. Dial-in сервер (ALM 2.2) с адресом 192.168.201.180 для диалапных 
> подключений и внешним реальным адресом. В этот внешний адрес посредством 
> SNAT преобразуется 192.168.201.1.
> 
> Задача: выйти с виртуальной машины во внешний мир.
> 
> tracert показывает, что ничего невозможного нет:
> 
> C:\>tracert yandex.ru
> 
> Трассировка маршрута к yandex.ru [213.180.216.200]
> с максимальным числом прыжков 30:
> 
>   1     1 ms    <1 мс    <1 мс  192.168.3.1
>   2   257 ms   129 ms   137 ms  192.168.201.180
>   3   167 ms   142 ms   129 ms  внешний реальный адрес dial-in сервера
>   4   143 ms   114 ms   127 ms  и т.д.
>   ...
> 
> Трассировка завершена. Удачно.
> 
> Но попытки подключиться к чему-нибудь по TCP (например зайти на 
> удаленную машину по ssh) заканчиваются неудачей.
> 
> Интересно, что с 192.168.3.3 можно подключиться ко всем машинам до 
> 192.168.201.1 включительно, а с машины 192.168.201.1 вообще куда угодно. 
> Т.е. проблемы, связанные с настройкой iptables, исключаются. Но 
> TCP-пакеты не проходят через 2 NAT'а одновременно, только через один.
> 
> Еще интересные вещи сообщает tcpdump -i eth0 "dst some_external_ip":
> 
> 20:58:28.838417 ewsd.donpac.ru > some_external_host_name: icmp: 
> 192.168.201.1 unreachable - need to frag (mtu 576) [tos 0xc0]
> 
> Происходит это при попытке подключиться по ssh к хосту 
> some_external_host_name.
> 
> На тему 576 - действительно такой mtu и mru выставлен в /etc/ppp/options 
> на Dial-in сервере. А скорость dial-in-модема установлена в 57600 bps
> 
> Куда копать дальше? Менять mtu? На что? И что вообще происходит?
> 

Может вот сюда?

man iptables /frag

    TCPMSS
        This  target  allows to alter the MSS value of TCP SYN packets, 
to con-
        trol the maximum size for that connection (usually limiting it 
to  your
        outgoing  interface's MTU minus 40).  Of course, it can only be 
used in
        conjunction with -p tcp.
        This target is used to overcome criminally braindead  ISPs  or 
servers
        which  block  ICMP  Fragmentation Needed packets.  The symptoms 
of this
        problem are that everything works fine from your Linux 
firewall/router,
        but machines behind it can never exchange large packets:
         1) Web browsers connect, then hang with no data received.
         2) Small mail works fine, but large emails hang.
         3) ssh works fine, but scp hangs after initial handshaking.
        Workaround:  activate  this option and add a rule to your 
firewall con-
        figuration like:
         iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
                     -j TCPMSS --clamp-mss-to-pmtu

        --set-mss value
               Explicitly set MSS option to specified value.

        --clamp-mss-to-pmtu
               Automatically clamp MSS value to (path_MTU - 40).

        These options are mutually exclusive.


-- 
WBR
Oleg Shulga, Kharkov Pribor, IT Manager



^ permalink raw reply	[flat|nested] 2+ messages in thread

end of thread, other threads:[~2004-05-21  6:50 UTC | newest]

Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-05-20 18:23 [Comm] NAT: unreachable - need to frag (mtu 576) [tos 0xc0] Eugene Prokopiev
2004-05-21  6:50 ` Oleg Shulga

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git