[IPv4] Send icmp errors using inbound ifaddr #58
Labels
No Label
RFC
RFT
WIP
blocked
bsp
bug
build/scripts/tools
duplicate
feature
fixed
layer3
mantis
more details required
needs changes
node
packages/fff
rejected
security
trivial
upstream
No Milestone
No Assignees
2 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: freifunk-franken/firmware#58
Loading…
Reference in New Issue
No description provided.
Delete Branch "%!s(<nil>)"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Durch den ganzen NAT Blödsinn bei IPv4 müssen auch ICMP Fehler zwingend durchs NAT, damit der Inhalt des ICMP Packets ebenfalls passend zurückgenated werden kann.
Normalerweise senden Router ICMP Fehler wie neue Pakete, daher senden Router mit eigenem WAN für VPN ICMP Fehler nicht über das Interface zurück, über das das Fehlererzeugende Paket gekommen ist, sondern über das WAN Interface.
Dadurch können Probleme mit der PMTUD entstehen, die durch das dank der vielen kaputten Webserver mit kaputten Firewalls bei IPv4 nötige MSS Clamping meistens versteckt werden.
Mit "net.ipv4.icmp_errors_use_inbound_ifaddr = 1" kann das Problem umgangen werden.
Für das klassische Setup, bei dem ein layer3 Router Downstream keine verkleinerte MTU mehr hat, ist das egal, dennoch sollten wir diese Option setzen.
Reported by: fbl
Submitted on: 2020-05-08
Imported from: https://mantis.freifunk-franken.de/view.php?id=0000142
Already fixed with
c91e2d03ec