[gull] Problème routage

Erik Rossen rossen at linux-gull.ch
Sun Jul 24 08:40:39 CEST 2005 

On Sat, Jul 23, 2005 at 09:06:31PM +0200, magnus anderssen wrote:
> Martial Guex wrote:
> >J'ai un problème bizarre de routage (shorewall 2.2.3, debian sarge, kernel 
> >2.4.27 customisé) qui appairait avec IE version 6.0.2800.1106 et 
> >mozillia-firefoks 1.0.4 et (squid sur woody). Ceraines machines arrives 
> >par exemple à avoir une réponse depuis le site www.cff.ch, d'autre 
> >partiellement et les dernières pas du tout, si l'on passe par le proxy 
> >squid on a dans touts les cas aucunes réponses.
> >J'ai contrôlé les requêtes avec tcpdump sur ppp0 (connexion ADSL pppoe sur 
> >un Alcatel speedtouch home) et tcptrace, il semble que les requêtes http 
> >partes bien et les acks sont ok, mais aucunes réponses du serveur.
> >Cela ressemble à un problème de fragmentation, j'ai donc contrôlé le mtu 
> >(1492) et ecn (désactivé au niveau de iptable par shorewall et ensuite 
> >enlevé du kernel) ainsi que l'annonce MSS qui est activée.
> >Alors je suis ouvert à toutes propositions.
> > 
> >
> Il me semble que pour une connexion adsl avec pppoe (avec un lan 
> derrière), il faut un mtu de 1412 sur ppp (à cause des ajouts d'entêtes 
> de pppoe).
> extrait du man de pppoe:
> 
> "If you have a LAN behind a gateway, and the gateway connects to the 
> Internet using PPPoE, you are strongly recommended to use a *-m* *1412* 
> option."

Another solution is to deactivate Path MTU Discovery on all of your
machines and allow all traffic to be fragmented (i.e. DF flag in packet
headers does not get set).  You lose a small percentage of speed, but
you can get to sleep much sooner.  The only problem with this that I
have encountered is that some applications like ssh insist on using DF
and I have not figured a way of telling them otherwise.  (advice
anyone?)

Here is an extract from the /etc/sysctl.conf that I use on most of my
machines:

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See sysctl.conf (5) for information.
#
# There are a number of hosts served by broken routers that think ECN is
# evil.
# We deal with this by never sending ECN flags.
net/ipv4/tcp_ecn=0
# Although automatic path MTU discovery is a good thing, it is getting
# progressively broken by paranoid firewalls and buggy tunneling
# software.  If we disactivated it, the DF flag is not set on packets
# and they can be fragmented as needed, with a tiny drop in performance.
net/ipv4/ip_no_pmtu_disc=1


Run "sysctl -p" after making the above changes.

-- 
Erik Rossen           A. It breaks the flow of conversation.
rossen at linux-gull.ch  Q. Why is top-quoting annoying? 
http://www.linux-gull.ch               OpenPGP key: 2935D0B9

More information about the gull mailing list