smaller font
Probleme mit fragmentierten Paketen
IP-Pakete die größer sind als dies eine Netzwerkstrecke zulässt, werden in mehrere Pakete aufgeteilt. Diesen Vorgang nennt man Fragmentierung. Dies ist an sich nichts ungewöhnliches, leider trifft man jedoch immer wieder auf Router die so konfiguiert sind, dass Verbindungen mit fragmentierten Datenpaketen zwangsläufig scheitern. Entweder werden die fragmentierte Pakete einfach kommentarlos verworfen oder die ICMP-Nachrichten die dem Absender mitteilen, dass kleinere Pakete zu senden sind, werden geblockt.

Insbesondere bei VPN verursachen derart konfigurierte Router massive Probleme, da bei VPN das Original-Datenpaket stark erweitert wird. Damit werden die Pakete häufig ungewöhnlich groß, so dass mit Fragmenten gearbeitet werden müsste. Schwierigkeiten können dabei sowohl beim Aufbau der VPN-Verbindung als auch bei dessen Nutzung auftreten.

Probleme beim Aufbau der VPN-Verbindung
Erscheinen im VPN-Log des SX-GATE Fehlermeldungen der Art "retransmitting in response to duplicate packet; ..." kann dies durch Fragmentierung verursacht worden sein.
Handelt es sich bei der Gegenstelle um ein Windows-VPN, so enthält ggf. dessen Oakley-Log (Link zu Artikel „VPN-Debugging unter Windows“) nähere Informationen. Für ein korrektes SA-Paket wird dort z.B. protokolliert:
Receive: (get) SA = 0x000ece32 from 192.168.255.1.4500
ISAKMP Header: (V1.0), len = 1684
Ein fehlerhaftes Paket hingegen würde z.B. diese Ausgabe erzeugen: Receive: (get) SA = 0x00000000 from 192.168.255.1.4500
ISAKMP Header: (V1.0), len = 84 Auffällig ist der Wert 0 bei "SA" sowie die geringe Größe des Pakets (len = 84). Im diesem Beispiel ist anzunehmen, dass die aktuelle MTU um 84 Byte zu groß eingestellt ist.

Probleme bei der Datenübertragung
Funktioniert die Kommunikation über VPN mit kleinen Datenmengen (z.B. ping, Abruf kleiner Mails, ...) völlig problemlos, größere Dateien lassen sich jedoch nicht übertragen, so ist auch dies ein Hinweis auf Probleme mit der Paketfragmentierung.
Mit ping kann man prüfen, ab welcher Paketgröße die Probleme entstehen. Dazu sind bei ping unterschiedliche Paketgrößen anzugeben. Prüfen Sie bitte die Dokumentation des jeweiligen Betriebssystems, mit welchem Parameter die Paketgröße angegeben werden kann. Üblich sind:
Unter Unix: ping -s 1418 ADRESSE
Unter Windows: ping -l 1418 ADRESSE

Wird die Fragmentierungs-Problematik durch einen eigenen Router ausgelöst, so sollte dessen Konfiguration entsprechend geändert werden. Andernfalls kann es helfen, im SX-GATE die MTU der VPN-Schnittstelle zu reduzieren. In aktuellen Versionen können Sie diese Einstellung unter "Expertenmodus -> Schnittstellen" auf dem Reiter (Tab) "IPSec Parameter" vornehmen. Reduzieren Sie den dort eingestellten Wert zunächst auf einen kleineren vordefinierten Wert. Bleibt dies ohne Erfolg, so versuchen Sie es z.B. mit 1200.

Treten Fragmentierungs-Probleme auf Seiten eines Windows-Clients auf, können auch unter Windows die Netzwerk-Einstellungen verändert werden. Hilfreich könnte die Reduzierung der MTU oder die Aktivierung der "Black-Hole-Router" Erkennung sein. Wie diese Funktionen aktiviert werden können beschreibt support.microsoft.com/kb/120642/.
 

vmware

Unsere Produkte können inklusive aller Funktionen und Module auch auf VMware ESX betrieben werden. Die Benutzeroberfläche bleibt dabei unverändert.

Sicherheit und Rechtsverbindlichkeit im Internet

signtrustlogo.jpg

 XnetSolutions bietet eine zertifizierte Schnittstelle zu SIGNTRUST und macht so für Sie den Kauf von Zertifikaten flexibler und einfacher. SIGNTRUST bietet Lösungen für rechtsverbindliche Kommunikation im Internet auf Basis digitalen Signatur an.