VLAN y MTU
Horst von Brand
vonbrand en inf.utfsm.cl
Lun Ene 31 20:38:22 CLST 2005
"Miguel Oyarzo O." <admin en aim.cl> dijo:
> At 09:05 p.m. 29/01/2005, Horst von Brand wrote:
> >Manuel Alejandro Cano Olivares <manuel.cano.o en mail.ucv.cl> dijo:
> > > >>Luego de un par de vueltas buscando el problem descubrí que tras
> > > >>crear una VLAN en mi Router Inalambrico central (entre el usuario y el
> > > >>Linux gateway),
> > > >>la nueva interfaz creada wan2.1 (no wan2:1) redujo el MTU de 1500 a
> > > >>1496.
> >Y algun router tarado (el que da acceso a la VPN?) no fragmenta como debe.
> En todo caso.. no es VPN, el caso es de una VLAN (capa distinta).
Yep, sorry.
> Solo el trafico proveniente de unos de los Routers internos (el que tenia
> la MTU en 1496)
Porque tiene MTU en eso?
> se veia defectuoso al salir por la interfaz publica (y se
> estaba fragmentando mal al parecer), el resto del trafico saliente (desde
> los demás routers con MTu-1500) se veia normal y sin mensajes de error.
> A lo anterior se suma que: Desde el mismo Router (con mtu 1496) NO todo
> el trafico estaba defectuoso. Los usuarios detras del router podian
> bajar archivos pesados de la mayoria de los sitios, sin notar ninguna
> anomalía. Pero si se conectaban a chilecompras.cl, microsoft.com o
> intentaban usar el MSN, entonces el trafico de deterioraba y yo veia este
> error:
>
> 02:28:33.659751 20X.2Y.148.166 > 66.132.160.107: icmp: 20X.2Y.148.166
> unreachable - need to frag (mtu 1496) [cough 0xc0]
Alguien en en camino esta parando ICMP, con lo que el manejo de MTU no
funciona. Administracion del cortafuegos que debiera fusilarse sin mas
tramite (no, ICMP no es peligroso; si, pueden usarse algunos de los ICMP
para hacer tonteras, pero es facil parar solo esos (basicamente los que
reconfiguran rutas); no, el "ping de la muerte" no es justificacion para
cerrar todo ICMP).
> (ni siquiera paquetes tcp.. sino recibia error de paquetes icmp)
> > > prueba con
> > > iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1496
> >Sea lo que sea lo que eso hace, seguramente no es lo que quieres.
> Es verdad.. agradecí por responder.. pero en absoluto es lo que deseo.
> Yo no creo que agregar IPs VLAN (802.1q) deba alterar el MTU de la interfaz
> de dicho router.
>
> Al menos, cuando se agregan IP Virtuales a una interfaz de red bajo
> Linux, el MTU se mantiene intacto. Digo esto pues crear redes VLAN es un
> poco parecido.
No, una VLAN es enviar el trafico encriptado. Eso roba algunos bytes en el
taman~o del mensaje.
> Asi es que le mandé el resultado de este asunto directo al proveedor del
> hardware para que me diga si hay algun error en el sistema Operativo de
> esa maquina.
Se me sospecha que el problema esta aguas arriba, como dije antes.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
Más información sobre la lista de distribución Linux