Juniper SRX mit Telekom VDSL Verbindungsprobleme wegen MTU

Verfasst am 11.02.2019 von

Nachdem ich einen kurzen Installationspfad zur Einrichtung einer Telekom VDSL Verbindung mit einer Juniper-SRX mittels PPPoE zusammengeschrieben hatte, habe ich mir nach kurzer Zeit eine Juniper SRX300 zu Testzwecken ausgeliehen. Hier ist mir nach einer schnellen Konfiguration ein Fehler unterlaufen, was mir einige Tage später die Geduld auf die Probe stellte.

https://www.juniper.net/de/de/company/press-center/images/image-library/srx300/

Was war mein Problem?
Es waren Webseiten erreichbar und mal brauchte der TLS-Handshake im Browser Ewigkeiten bzw. kam gar nicht zur Stande. Ein Wechsel der Browser von Firefox auf Chromium und zurück brachte nichts.
Im ersten Schritt habe ich sogar den Internet-Explorer auf meiner Windows-Maschine ausgepackt – auch ohne ersichtlichen erfolg.

Webseiten wie 1password.com (oder my.1password.com) und netflix.com konnten nicht geladen werden. Bei meiner Recherche stieß ich auf weitere Webseiten wie sonicwall.com oder gitlab.com, die ebenfalls nicht laden wollten.

Da ich noch eine zweite Leitung von Unitymedia hatte, habe ich dann erstmal die Route umgestellt und probiert, ob die Webseiten laden.
Siehe da. Die oben genannten Webseiten werden wieder geladen.

Die Telekom also…oder?
Damit war klar, irgendetwas stimmt mit der VDSL-Verbindung der Telekom nicht.
Ein Telefonat mit der Telekom brachte keine neue Erkenntnis. Die Leitung wurde gemessen und außer, dass ich 80 Mbit/s statt 100 Mbit/s erhalte, war nichts ungewöhnliches feststellbar.

Anhand der Sachlage, war meinerseits anzunehmen, dass ich vielleicht ein Problem mit meiner neuen Konfiguration hätte.
Die parallel gelaufene Recherche führte mir die MTU (Maximum Transmission Unit) vor Augen. Oh.

Soso,.. die MTU.
Es gibt die MTU, die die Größe der Pakete für die Kommunikation definiert. In der Regel hat Ethernet hat eine MTU von 1500 Byte, hiervon sind Ethernet-Header mit 14 Byte und Trailer mit 4 Byte exkludiert.
Zieht man hiervon noch 6 Byte für PPPoE-Header und noch 2 Byte für PPP protocol ID ab, so kommt man auf 1492 Byte.

Anschließend hat man ein IP-Header mit 20 Byte und einen TCP-Header mit ebenfalls 20 Byte.
Bleiben nach Abzug 1452 Byte als Payload.

Die muss dann entsprechend beachtet werden und darf nicht größer ausfallen, da die Verbindung über PPPoE mit dieser Größe arbeitet.
Also muss man das fest definieren.

Das geht bei der Juniper SRX300 folgendermaßen:

configure
#Entering configuration mode
set security flow tcp-mss all-tcp mss 1452
commit check
commit and-quit

Nachdem die Konfiguration erfolgreich geladen wurde, gab es keine Einschränkungen mehr.
Ich habe dann nochmal mein pp0.0 Interface geprüft, ob dort die MTU ordentlich gesetzt wurde. Zusätzlich unter „security flow“, ob auch hier die MTU korrekt ist.

interfaces {
    pp0 {
        unit 0 {
            family inet {
                mtu 1492;
                negotiate-address;
            }
        }
    }
}
security {
    flow {
        tcp-mss {
            all-tcp {
                mss 1452;
            }
        }
    }
}

Zusammenfassung

Ein Flüchtigkeitsfehler, führte bei mir dazu, dass bestimmte Webseiten oder Dienste nicht mehr funktionieren wollten.
Hätte ich mein Artikel Juniper SRX mit Telekom VDSL PPPoE ordentlich beachtet, so wäre der Fehler nicht passiert.
Vielleicht wird es den ein oder anderen doch weiterhelfen, wenn es die gleiche oder ähnliche Problematik geht.

Ich danke auch den Author von webcodr.io für den sehr hilfreichen Beitrag, den ich auch unten als Recherche-Link aufführe.


https://webcodr.io/2018/02/telekom-vdsl-mtu-und-mss-clamping-f%C3%BCr-ipv4-und-ipv6/
https://www.juniper.net/documentation/en_US/junos/topics/concept/pppoe-subscriber-access-mru-mtu-overview.html
https://www.cisco.com/c/en/us/support/docs/ip/transmission-control-protocol-tcp/200932-Ethernet-MTU-and-TCP-MSS-Adjustment-Conc.html
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digital-subscriber-line-xdsl/asymmetric-digital-subscriber-line-adsl/12918-router-mtu.html
http://www.nwlab.net/art/mtu/mtu.html
https://forums.juniper.net/t5/SRX-Services-Gateway/SRX-doesn-t-pass-HTTP-traffic/td-p/277357
https://telekomhilft.telekom.de/t5/Telefonie-Internet/MTU-und-MSS-Wert-bei-VDSL-50-nur-1452-bzw-1412/td-p/955234
https://forums.juniper.net/t5/SRX-Services-Gateway/What-is-wrong-with-my-PPPOE-configuration/m-p/137175#M17485
https://stackoverflow.com/questions/2613734/maximum-packet-size-for-a-tcp-connection
https://www.sonicwall.com/en-us/support/knowledge-base/170505851231244
http://www.networksorcery.com/enp/protocol/pppoe.htm
https://en.wikipedia.org/wiki/Point-to-Point_Protocol_over_Ethernet
https://en.wikipedia.org/wiki/Ethernet_frame
https://de.wikipedia.org/wiki/Maximum_Transmission_Unit