VLAN y MTU

Horst von Brand vonbrand en inf.utfsm.cl
Lun Ene 31 20:38:22 CLST 2005


"Miguel Oyarzo O." <admin en aim.cl> dijo:
> At 09:05 p.m. 29/01/2005, Horst von Brand wrote:
> >Manuel Alejandro Cano Olivares <manuel.cano.o en mail.ucv.cl> dijo:
> > > >>Luego de un par de vueltas buscando el problem descubrí que tras
> > > >>crear una VLAN en mi Router Inalambrico central (entre el usuario y el
> > > >>Linux gateway),
> > > >>la nueva interfaz creada wan2.1  (no wan2:1)  redujo el MTU de 1500 a
> > > >>1496.

> >Y algun router tarado (el que da acceso a la VPN?) no fragmenta como debe.

> En todo caso.. no es VPN, el caso es de una VLAN  (capa distinta).

Yep, sorry.

> Solo el trafico proveniente de unos de los Routers internos (el que tenia
> la MTU en 1496)

Porque tiene MTU en eso?

>                 se veia defectuoso al salir por la interfaz publica (y se
> estaba fragmentando mal al parecer), el resto del trafico saliente (desde
> los demás routers con MTu-1500) se veia normal y sin mensajes de error.

> A lo anterior se suma que: Desde el mismo Router (con mtu 1496) NO todo
> el trafico estaba defectuoso.  Los usuarios detras del router podian
> bajar archivos pesados de la mayoria de los sitios, sin notar ninguna
> anomalía. Pero si se conectaban a chilecompras.cl, microsoft.com o
> intentaban usar el MSN, entonces el trafico de deterioraba y yo veia este
> error:
> 
> 02:28:33.659751 20X.2Y.148.166 > 66.132.160.107: icmp: 20X.2Y.148.166 
> unreachable - need to frag (mtu 1496) [cough 0xc0]

Alguien en en camino esta parando ICMP, con lo que el manejo de MTU no
funciona. Administracion del cortafuegos que debiera fusilarse sin mas
tramite (no, ICMP no es peligroso; si, pueden usarse algunos de los ICMP
para hacer tonteras, pero es facil parar solo esos (basicamente los que
reconfiguran rutas); no, el "ping de la muerte" no es justificacion para
cerrar todo ICMP).

> (ni siquiera paquetes tcp.. sino recibia error de paquetes icmp)

> > > prueba con
> > > iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1496

> >Sea lo que sea lo que eso hace, seguramente no es lo que quieres.

> Es verdad..  agradecí por responder.. pero en absoluto es lo que deseo.
> Yo no creo que agregar IPs VLAN (802.1q) deba alterar el MTU de la interfaz
> de dicho router.
> 
> Al menos, cuando se agregan IP Virtuales a una interfaz de red bajo
> Linux, el MTU se mantiene intacto. Digo esto pues crear redes VLAN es un
> poco parecido.

No, una VLAN es enviar el trafico encriptado. Eso roba algunos bytes en el
taman~o del mensaje.

> Asi es que le mandé el resultado de este asunto directo al proveedor del
> hardware para que me diga si hay algun error en el sistema Operativo de
> esa maquina.

Se me sospecha que el problema esta aguas arriba, como dije antes.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513


Más información sobre la lista de distribución Linux