.png)
Zusammenfassung
Der voreingestellte MTU-Wert verhindert die Datenübertragung für ein System. Durch manuelles Reduzieren wird die Datenübertragung wieder aktiviert, auf einem benachbarten System ist diese manuelle Anpassung jedoch nicht erforderlich.
Hintergrund
Ich habe einen Backup-Server. Ich habe zwei Raspberry-Pi-Systeme an entfernten Standorten: eines in Großbritannien und eines in Albanien. Neben dem albanischen Pi steht ein QNAP (ein Linux-basierter Dateiserver). Ich habe ein IPSec-VPN von Albanien zum Backup-Server-Netzwerk und ein weiteres IPSec-VPN von Großbritannien zum Backup-Server-Netzwerk. Alles verwendet IPv4. Dieses Diagramm kann hilfreich sein:
|--Albania Pi
|<--IPSec-->|--Router--|--Albania QNAP
Central | | |--Other systems
Backups--|--Router--|
Server | | |
|<--IPSec-->|--Router--|--UK Pi
|--Other systems
Sowohl die Pi-Systeme als auch der Backup-Server haben alle Nftables ohne Regeln und mit der Standardrichtlinie ACCEPT.
Die beiden RPi-Systeme, das QNAP und der Backup-Server haben alle erwartungsgemäß eine standardmäßige kabelgebundene Ethernet-MTU von 1500.
Die WAN-seitige MTU des Routers für Albanien beträgt 1442 und für Großbritannien 1500. Laut der Path MTU Discovery-Option des Routers sind diese Werte korrekt. Für die Firewall, die das Netzwerk verwaltet, das den Backup-Server enthält, beträgt sie 1500 und das ist auch korrekt.
Problem
- Wenn ich einen Datenblock vom Pi in Großbritannien auf den Backup-Server übertrage, funktioniert es einwandfrei
- Wenn ich einen Datenblock vom QNAP in Albanien auf den Backup-Server übertrage, funktioniert es einwandfrei
- Wenn ich versuche, einen Datenblock vom Pi in Albanien auf den Backup-Server zu übertragen, schlägt dies fehl
- Wenn ich die MTU des Pi auf 1374 reduziere, ist die Übertragung erfolgreich
Mehr Informationen
Hier ist ein Beispiel für die Art von Dingen, die funktionieren/fehlschlagen
# On the Albanian Pi
dd bs=1M count=100 if=/dev/urandom >100M.dat
# On the Backups Server
ssh albanian_pi cat 100M.dat | pv >100M.dat
# MTU adjustments on Albanian Pi
ifconfig eth0 mtu 1500 # Default before I started fiddling
ifconfig eth0 mtu 1374 # Highest value that permits data flow
Die Übertragung hat früher funktioniert, aber das war vor dem Upgrade von Stretch auf Buster. Bei den meisten anderen Pi-Systemen, die ich habe, sehe ich keine Probleme, insbesondere nicht bei dem UK Pi, den ich am Anfang erwähnt habe und auf dem jetzt auch Buster läuft.
Im albanischen Büro beschwert sich niemand über Netzwerkprobleme.
Ich habe nicht bewusst ein „Nicht fragmentieren“-Bit für Pakete zwischen dem albanischen Pi und dem Backup-Server gesetzt. Ich habe nicht bewusst irgendetwas, das PMTU Discovery blockiert.
Zusammenfassen:
- Albanisches QNAP -> Backups-Server: alles gut
- Albanian Pi -> Backups Server: schlägt ohne Reduzierung der MTU fehl
- UK Pi -> Backups-Server: alles gut
Ich habe einen Workaround, aber ich sollte die MTU auf einzelnen Systemen nicht reduzieren müssen.
Frage
Was ist eigentlich falsch und wie kann ich die Ursache des Problems weiter diagnostizieren und beheben?
Vorschläge werden dankbar entgegengenommen. Danke
Antwort1
Es sieht aus wiePfad MTU-Erkennungist zwischen den Systemen „Albania Pi“ und „Central Backups Server“ unterbrochen. Dies ist häufig auf eine fehlgeleitete Blockierung von ICMP-Paketen in Routern, Firewalls oder iptablesEinstellungen der beteiligten Systeme zurückzuführen.
Da das System „Albania QNAP“ in Ihrem Fall einwandfrei zu funktionieren scheint, ist das System „Albania Pi“ der Hauptverdächtige. Überprüfen Sie die Konfiguration dieses Systems, insbesondere alle iptablesEinstellungen und die Netzwerkeinstellungen im Zusammenhang mit ICMP und PMTUD.