[IPv4] Send icmp errors using inbound ifaddr #58

New Issue

Closed

opened 2021-01-05 14:01:54 +01:00 by mantis-bot · 1 comment

mantis-bot commented 2021-01-05 14:01:54 +01:00

Copy Link

Durch den ganzen NAT Blödsinn bei IPv4 müssen auch ICMP Fehler zwingend durchs NAT, damit der Inhalt des ICMP Packets ebenfalls passend zurückgenated werden kann.

Normalerweise senden Router ICMP Fehler wie neue Pakete, daher senden Router mit eigenem WAN für VPN ICMP Fehler nicht über das Interface zurück, über das das Fehlererzeugende Paket gekommen ist, sondern über das WAN Interface.
Dadurch können Probleme mit der PMTUD entstehen, die durch das dank der vielen kaputten Webserver mit kaputten Firewalls bei IPv4 nötige MSS Clamping meistens versteckt werden.

Mit "net.ipv4.icmp_errors_use_inbound_ifaddr = 1" kann das Problem umgangen werden.

Für das klassische Setup, bei dem ein layer3 Router Downstream keine verkleinerte MTU mehr hat, ist das egal, dennoch sollten wir diese Option setzen.

Reported by: fbl
Submitted on: 2020-05-08
Imported from: https://mantis.freifunk-franken.de/view.php?id=0000142

Durch den ganzen NAT Blödsinn bei IPv4 müssen auch ICMP Fehler *zwingend* durchs NAT, damit der Inhalt des ICMP Packets ebenfalls passend zurückgenated werden kann. Normalerweise senden Router ICMP Fehler wie neue Pakete, daher senden Router mit eigenem WAN für VPN ICMP Fehler nicht über das Interface zurück, über das das Fehlererzeugende Paket gekommen ist, sondern über das WAN Interface. Dadurch können Probleme mit der PMTUD entstehen, die durch das dank der vielen kaputten Webserver mit kaputten Firewalls bei IPv4 nötige MSS Clamping meistens versteckt werden. Mit "net.ipv4.icmp_errors_use_inbound_ifaddr = 1" kann das Problem umgangen werden. Für das klassische Setup, bei dem ein layer3 Router Downstream keine verkleinerte MTU mehr hat, ist das egal, dennoch sollten wir diese Option setzen. Reported by: fbl Submitted on: 2020-05-08 Imported from: https://mantis.freifunk-franken.de/view.php?id=0000142

fbl was assigned by mantis-bot 2021-01-05 14:01:54 +01:00

fbl added the

mantis

label 2021-01-05 14:24:07 +01:00

fbl added this to the 20210211-beta milestone 2021-01-05 15:54:09 +01:00

fbl added the

layer3

label 2021-01-05 15:54:24 +01:00

fbl commented 2021-01-09 11:41:45 +01:00

Owner

Copy Link

Already fixed with c91e2d03ec

Already fixed with c91e2d03ecaef6e87790b34e2e88e3370fee7a64

fbl closed this issue 2021-01-09 11:41:45 +01:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

master

0.5.x

20240401

20240401-beta

20240119-beta

20230330

20230321-beta

20160213-beta

20221201

20221019

20220814

20220413

20220405-beta

20211224

20211220

20211201-beta

20210226

20210218

20210211-beta

20200501

20200423-beta

20200118

20191224

20191214-beta

20191130-alpha

20191123-alpha

20181202

20181128-beta

20180802

20180802-beta

20180726-beta

20180304-alpha

20180303-alpha

20170918

20170918-beta

20170218-alpha

20170110

20170110-beta

20161105-beta

20161008-beta

20160506

20160506-beta

20160310

0.5.2

0.5.2-b2

0.5.2-b1

0.5.1

0.5.1-b2

0.5.1-b1

0.5.0

0.5.0-b1

0.4.3

0.4.2

0.4.1

0.4.0ol

0.4.0f

0.4.0rc5f

0.4.0rc4ol

0.4.0rc4f

0.4.0rc3f

0.4.0rc2f

0.3.999f

0.3.999

0.3.998

0.3.99

0.3

0.2.1

0.2

0.1

Labels

Clear labels   

RFC

  

RFT

  

WIP

  

blocked

  

bsp

touching bsp files or adding devices

  

bug

Something is not working

  

build/scripts/tools

touching buildscript or other tools

  

duplicate

This issue or pull request already exists

  

feature

New feature

  

fixed

Issue that got resolved

  

layer3

only for layer3 FW

  

mantis

Imported from mantis

  

more details required

Reported information is insufficient to debug the issue

  

needs changes

  

node

only for node FW

  

packages/fff

touching our packages

  

rejected

Rejected or won't fix

  

security

  

trivial

simple non-functional changes that are mostly matter of taste

  

upstream

touching upstream version, build or feed patches

No Label

RFC

RFT

WIP

blocked

bsp

bug

build/scripts/tools

duplicate

feature

fixed

layer3

mantis

more details required

needs changes

node

packages/fff

rejected

security

trivial

upstream

Milestone

Clear milestone

No items

No Milestone

20210211-beta

Assignees

Clear assignees

No Assignees

fbl

2 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: freifunk-franken/firmware#58

No description provided.