---

Jeg har testet lidt mere.
Det ser ud til at være et tilfælde at min firewall slog min maskine op i
APR. Der er scenarier hvor det ikke sker.
Det ser ud til at være det samme sted den første pakke går tabt hver gang.
Det er mellem 4346 og 4386. ... Nu begynder jeg at tænke på noget med
MTU... men hvorfor ialverden skulle det så kun være _nogen_ sider jeg
ikke kan se på www.politiken.dk ?!??!

Peter




Peter Mogensen wrote:
> Peter Mogensen wrote:
>
>> Men derimod ser det ud til at Politikens server på et tidspunkt
>> beslutter sig for at bilde min maskine ind at der er gået pakker tabt
>> til den. Ligemeget hvor meget min maskine acknowledger at den skam HAR
>> fået data, så bliver www.pol.dk ikke tilfreds - og på at tidspunkt
>> stopper den med at sende mere data (den går vel ud fra at mit vindue
>> er fuldt).
>
>
> Ok...
> her er hvad jeg er nået frem til.
> Til starte med går det fint. Men så springer pol.dk pludselig nogle få
> bytes over midt i HTTP-streamen !? (fra Seq 4346 til 4382).. .dem har da
> ikke nogen grund til at lave så små pakker ??
>
> Nå, men min maskine bliver stædigt ved med kun at ACK på 4346, mens
> pol.dk sender data. Den retransmiterer nogle pakker med senere seq, men
> ikke de nødvendige 36 bytes fra 4346 til 4382.
>
> På et tidspunkt slår min firewall mig op i ARP og derefter kommer
> endelig en retransmission fra 4346-5714 som straks bliver ACK fra min
> maskine med at nu har den op til 12614.
>
> Det fatter pol.dk dog ikke og retransmiterer 4346-5714 to gange begge
> gang ACK fra min maskine med 12614.
>
> Derefter kommer der ikke flere pakker.
>
> Man kunne jo godt gætte på at min firewall glemmer masquereringen af
> forbindelsen, men 'cat /proc/net/ip_conntrack | grep ESTABLISHED' på
> min firewall ser ikke ud til at fejle noger på noget tidspunkt.
>
> *clueless*
>
> Det eneste jeg har at gå efter er at det virker fint fra 2.4 maskiner
> placeret samme sted som min 2.6.1 installation.
>
> For god ordens skyld, så er:
>
> #cat /proc/sys/net/ipv4/tcp_ecn
> 0
>
> Peter
>

---

Peter Mogensen skrev i -dk.edb.system.unix:

> Det er mellem 4346 og 4386. ... Nu begynder jeg at tænke på noget med
> MTU... men hvorfor ialverden skulle det så kun være nogen sider jeg
> ikke kan se på www.politiken.dk ?!??!

Prøv at høre i netverksgruppen,,,

--
Med venlig hilsen | Jeg søger et foto / realistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | frem til motorvejbyggeriet blev påbegyndt

---

"Peter Mogensen" <apm-at-mutex-dot-dk@nospam.no> skrev i en meddelelse
news:uUyQb.1566$xo5.312@news.get2net.dk...
>
> Jeg har testet lidt mere.
> Det ser ud til at være et tilfælde at min firewall slog min maskine op i
> APR. Der er scenarier hvor det ikke sker.
> Det ser ud til at være det samme sted den første pakke går tabt hver gang.
> Det er mellem 4346 og 4386. ... Nu begynder jeg at tænke på noget med
> MTU... men hvorfor ialverden skulle det så kun være _nogen_ sider jeg
> ikke kan se på www.politiken.dk ?!??!

Jeg har set problemer med Sonofons FWA Internet linier, hvor nogen sider
ikke kan ses, f.eks www.edbpriser.dk og www.telmore.dk problemet forsvinder
når jeg ændre MTU'en til under 1400, det er noget med at de kører noget skod
pppoe.
Jeg fandt aldrig ud af hvorfor nogen sider ikke kan ses med forstor MTU,
måske er det deres firewall der fucker det op?? Ingen har kunnet give mig et
svar ikke engang Sonofon.

Måske har det er sammenhæng med dit problem?

Hygge

Esben

---

Esben Laursen wrote:
> Jeg har set problemer med Sonofons FWA Internet linier, hvor nogen sider
> ikke kan ses, f.eks www.edbpriser.dk og www.telmore.dk problemet forsvinder
> når jeg ændre MTU'en til under 1400, det er noget med at de kører noget skod
> pppoe.
> Jeg fandt aldrig ud af hvorfor nogen sider ikke kan ses med forstor MTU,
> måske er det deres firewall der fucker det op?? Ingen har kunnet give mig et
> svar ikke engang Sonofon.
>
> Måske har det er sammenhæng med dit problem?


Tjoe... måske. Jeg bruger Tele2adsl.

Men så har jeg nogle spørgsmål:
1) Hvorfor virker det så fra andre maskiner med samme MTU (1500), men
bare kerne 2.4.x ??

2) Hvorfor er det kun nogle af sidene på www.politiken.dk jeg ikke kan
se. Man skulle tro at hvis det var et så grundliggende problem, så var
det alt hvad der kom fra den server, der gik død... Det er det ikke.

3) Var det alt eller kun nogle af siderne på de sites du nævner du ikke
kunne se?

Peter

---

"Peter Mogensen" <apm-at-mutex-dot-dk@nospam.no> skrev i en meddelelse
news:1SzQb.1738$E96.1504@news.get2net.dk...
> Esben Laursen wrote:
> > Jeg har set problemer med Sonofons FWA Internet linier, hvor nogen sider
> > ikke kan ses, f.eks www.edbpriser.dk og www.telmore.dk problemet
forsvinder
> > når jeg ændre MTU'en til under 1400, det er noget med at de kører noget
skod
> > pppoe.
> > Jeg fandt aldrig ud af hvorfor nogen sider ikke kan ses med forstor MTU,
> > måske er det deres firewall der fucker det op?? Ingen har kunnet give
mig et
> > svar ikke engang Sonofon.
> >
> > Måske har det er sammenhæng med dit problem?
>
>
> Tjoe... måske. Jeg bruger Tele2adsl.

Jeg bruger selv tele2adsl, ingen problemer der. Jow det passer ikke, jeg
havde problemer med på et tidspunkt med at bruge security.debian.org, men
det forsvandt efter tele2adsl resatte mit modem.

> Men så har jeg nogle spørgsmål:
> 1) Hvorfor virker det så fra andre maskiner med samme MTU (1500), men
> bare kerne 2.4.x ??

Fisk, mit problem var med 2.4.22 kernen, på alle maskiner. Windows som
Linux....

> 2) Hvorfor er det kun nogle af sidene på www.politiken.dk jeg ikke kan
> se. Man skulle tro at hvis det var et så grundliggende problem, så var
> det alt hvad der kom fra den server, der gik død... Det er det ikke.

Kunne det være at hovedsiden ligger på en server og alle nyhederne ligger på
en anden server?? De bruger vel en eller anden form for sql til at styrre
alle artiklerne?

> 3) Var det alt eller kun nogle af siderne på de sites du nævner du ikke
> kunne se?

Siden blev aldrig færdig med at loade, der som bare en hvid side, men titlen
blev fint vist....

Men det er jo ikke sikkert at det er samme problem, jeg tror det faktisk
ikke, da pppoe bruger en lidt mindre MTU end ethernet og tele2adsl jo kører
ethernet på deres modemer...

--
Esben

---

Esben Laursen wrote:
> Jeg bruger selv tele2adsl, ingen problemer der. Jow det passer ikke, jeg
> havde problemer med på et tidspunkt med at bruge security.debian.org, men
> det forsvandt efter tele2adsl resatte mit modem.

Jeg har også hat dem til at resette mit tidligere. Da blev jeg engang
imellem smidt af DHCP og fik ikke noget nyt IP. Det virkede - dengang.

> Kunne det være at hovedsiden ligger på en server og alle nyhederne ligger på
> en anden server?? De bruger vel en eller anden form for sql til at styrre
> alle artiklerne?

pol.dk
www.pol.dk
politiken.dk
www.politiken.dk

slår alle op til det samme i DNS. Men der kan selvfølgelig være en
maskine inde bagved, der skjuler en forskel. Dog ser der ikke ud til at
være noget system i hvilke sider jeg ikke kan se, men det er ret
konsekvent, enten eller. Det er ikke tilfældigt med tidspunktet.

> Siden blev aldrig færdig med at loade, der som bare en hvid side, men titlen
> blev fint vist....

Jeg får som sagt ca. de første 4k af hver side.

Peter

---

Den Sat, 24 Jan 2004 20:25:13 +0100 skrev Esben Laursen:
>
>Jeg har set problemer med Sonofons FWA Internet linier, hvor nogen sider
>ikke kan ses, f.eks www.edbpriser.dk og www.telmore.dk problemet forsvinder
>når jeg ændre MTU'en til under 1400, det er noget med at de kører noget skod
>pppoe.

Både og, det er PPPoE der trigger fejlen, men det er ikke det der er
problemet.

>Jeg fandt aldrig ud af hvorfor nogen sider ikke kan ses med forstor MTU,
>måske er det deres firewall der fucker det op?? Ingen har kunnet give mig et
>svar ikke engang Sonofon.

Det er et velkendt problem som enhver der kender bare en smule til
netværk og firewalls bør kunne svare på.

På ethernet er MTU=1500, og da maskinen ikke ved hvilke typer netværk
trafikken skal igennem for at nå modtager, sender den som udgangspunkt
med denne værdi. Hvis der så et sted undervejs er en netværks-type
med lavere MTU er der to muligheder:

Enten fragmenterer man pakken (deler den i to). Dette giver dobbelt så
mange pakker, hvilket ikke er hensigtsmæssigt, fordi at med 1400 bytes
i stedet for 1500, kunne man måske nøjes med en eller to pakker mere,
og jo flere pakker jo mere overhead, og jo større risiko for at en
pakke går tabt.

Eller også sender man en besked tilbage om at 1500 er for meget, brug
1400 i stedet for. Når afsenderen får dette svar, sender den simpelthen
pakkerne med den nye størrelse. Denne besked om at 1500 er for meget
hedder "ICMP would fragment", og det er her problemet opstår. For hvis
man ansætter en idiot til at konfigurere en firewall, er der en
rimelig chance for at han har hørt noget om at ping=ICMP og
ping=farligt, og så blokerer han for ICMP.

Så sker der det, at afsenderen sender pakken med 1500 bytes, og den
når frem til den router hvor 1400 er max. Denne router sender så
besked tilbage om at bruge 1400 i stedet for, og denne besked når den
firewall som idioten har konfigureret. Firewall'en smider beskeden
væk, og så sker der ikke mere med den pakke før den bliver
retransmiteret, igen med 1500 bytes (beskedet nåede jo aldrig frem),
og så starter det hele forfra. I den tid kan brugeren så bare
sidde og vente, og se at der ikke sker noget.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
> Eller også sender man en besked tilbage om at 1500 er for meget, brug
> 1400 i stedet for. Når afsenderen får dette svar, sender den simpelthen
> pakkerne med den nye størrelse. Denne besked om at 1500 er for meget
> hedder "ICMP would fragment", og det er her problemet opstår. For hvis
> man ansætter en idiot til at konfigurere en firewall, er der en
> rimelig chance for at han har hørt noget om at ping=ICMP og
> ping=farligt, og så blokerer han for ICMP.

Bare lige for at udelukke den mulighed :)

Jeg kører shorewall og der er ikke gjort noget specielt ud af ICMP.
Det virker iøvrigt også fra andre maskiner indenfor.

Men det er da en interessant lille pakke, der bliver væk (36 byte). Det
kunne godt smage af et fragment. Det må jeg da lige checke.

Peter

---

Den Sat, 24 Jan 2004 22:37:58 +0100 skrev Peter Mogensen:
>Kent Friis wrote:
>> Eller også sender man en besked tilbage om at 1500 er for meget, brug
>> 1400 i stedet for. Når afsenderen får dette svar, sender den simpelthen
>> pakkerne med den nye størrelse. Denne besked om at 1500 er for meget
>> hedder "ICMP would fragment", og det er her problemet opstår. For hvis
>> man ansætter en idiot til at konfigurere en firewall, er der en
>> rimelig chance for at han har hørt noget om at ping=ICMP og
>> ping=farligt, og så blokerer han for ICMP.
>
>Bare lige for at udelukke den mulighed :)
>
>Jeg kører shorewall og der er ikke gjort noget specielt ud af ICMP.
>Det virker iøvrigt også fra andre maskiner indenfor.

For det første var det Esbens problem jeg beskrev. Dit kunne umiddelbart
godt minde om, og så ikke alligevel, fordi du kun har problemet under
2.6.

Det behøver iøvrigt ikke være på ens egen maskine idioten skal findes,
det kan lige så godt være i den anden ende. Teoretisk kunne det også
være undervejs, men der er normalt tale om professionelle netværksfolk
der godt ved hvordan man konfigurerer en firewall.

(At TDC så stadig har en *defekt* firewall stående, som blokerer for
ECN i strid med den oprindelige TCP-standard, er så et andet problem,
for det kan ikke klares med en konfigurations-ændring).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
> Det behøver iøvrigt ikke være på ens egen maskine idioten skal findes,
> det kan lige så godt være i den anden ende. Teoretisk kunne det også
> være undervejs, men der er normalt tale om professionelle netværksfolk
> der godt ved hvordan man konfigurerer en firewall.

Joe... men så alligevel. Jeg kan ikke se nogen forskelle i de pakker min
2.6 box sender i forhold til dem min 2.4 box sender.
I andre siger jo også at I ikke har problemer med Linux 2.6 og www.pol.dk

På den anden side, så nægter jupe.dk pure at vise mig pol.dk overhovedet !!

.... men jeg tvivler på at de kører Linux 2.6.

*arghhhh* :)

Peter

---

Peter Mogensen wrote:
> Men det er da en interessant lille pakke, der bliver væk (36 byte). Det
> kunne godt smage af et fragment. Det må jeg da lige checke.


Nope...alle pakker har "don't fragment" sat. - også fra 2.4.x maskinerne
hvor det virker.

Peter

---

Peter Mogensen skrev i -dk.edb.system.unix:

> Jeg har testet lidt mere.

Prøv jupe.dk

--
Med venlig hilsen | Jeg søger et foto / realistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | frem til motorvejbyggeriet blev påbegyndt

---

Ivar Madsen wrote:
> Peter Mogensen skrev i -dk.edb.system.unix:
>
>
>>Jeg har testet lidt mere.
>
>
> Prøv jupe.dk

Godt forslag.... sikke som den kan komme med fejlmeddeleser:

Her er lidt assorteret fra et par forsøg på http://pol.dk/.

- The data area passed to a system call is too small.
- Invalid index.
- Overlapped I/O operation is in progress.
- 500 Internal server error.

Den virker iøvrigt fint med andre sites som f.eks.
http://www.jp.dk

Peter

---

Peter Mogensen wrote:
>
> Jeg har testet lidt mere.


.... og lidt mere.
http://www.odense.dk/ har samme problem. :(

Det ser ud til at den sidste pakke min 2.6. maskine modtager har
TCP PUSH flaget sat. De andre har ikke. Derfra går det galt.

Peter