Nog even wat operationele content dan maar: wij zijn wat aan het spelen met L2TP getunnelde dialup services getermineerd op een Redback SMS500. Daarvoor gebruiken we de managed modem service van UUNET/WorldCom; hun Ascend MAX TNT's zetten een L2TP tunnel op naar onze Redback. Nu lopen we er, een varieteit van besturingssystemen en routers testend, af en toe tegenaan dat bepaalde websites niet op te vragen zijn. Vooral telebankiersites willen nogal eens moeilijk doen. Een echte network engineer denkt dat natuurlijk meteen "MTU probleem!" Voor het grootste deel werkt het perfect, op een standalone machine werkt het sowieso altijd goed, alleen met sommige routers niet (dat kan dan wel weer eens met NAT te maken hebben, bedenk ik me nu). De Redback heeft een optie 'ip ignore-df-bit' die keurig aanstaat op de interface waar de tunnels op binnenkomen. Met deze optie worden pakketjes die binnenkomen toch gefragmenteerd als dat nodig is, ook al is de DF bit set. Heeft iemand hier ervaring met de combinatie MAX TNT ---L2TP tunnel---> Redback en eventuele pitfalls die er kunnen zijn om dat consistent goed te laten werken? -- Niels Raijer | "I wanted to concatenate niels at fusix.nl | the paper with the pen http://www.fusix.nl | with the hand that you left here..."
Date: Wed, 1 Sep 2004 15:30:46 +0200 From: Niels Raijer <niels at fusix.nl> To: nlnog at nlnog.net Subject: [Nlnog] MTU issue met L2TP dialup
[ ... ] Heeft iemand hier ervaring met de combinatie MAX TNT ---L2TP tunnel---> Redback en eventuele pitfalls die er kunnen zijn om dat consistent goed te laten werken?
Niet zozeer met jouw setup, maar ik heb wel (als instituuts en pilot-klant) ervaring met de "SURFnet Thuis Inbel" (zow, slok thee naar binnen gooien) setup. Edutel (de telco) heeft een zut Cisco's, die L2TP'en naar een SURFnet Cisco (zit nog een router tussen IIRC). Problemen die ik daar ben tegengekomen waren ook MTU gerelateerd, maar met name een te hoge MTU aan de endpoints van de L2TP tunnel (jaja, er bleek *nog* een tunnel *onder* te zitten)... Dan kun je wachten tot je een ons weegt, maar dan zal er op het pad over de L2TP tunnel nooit een "please fragment" langskomen :( Verder zijn er helaas dus ook een aantal sites (banken met name) die geen "please fragment" zenden... Dan moet je dus op het netwerkpad het mogelijk maken een MTU van 1500 te gebruiken... Ja, MTU PDisc kapot maken kunnen onze heren "beheerders" in de financie"le sector wel :( Groetjes, JP Velders PS: verder zijn er ook clients welke het niet leuk vinden om 2 maal de LCP te doorlopen en daar dan ook echt niets van snappen... (Edutel deed eerst zelf LCP om te kijken of je niet naar een Fontys hogeschool doorgeschakeld moest worden ofzo ;D)
participants (2)
-
jpv-nlnog@veldersjes.net -
niels@fusix.nl