1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.GERMAN

  • openvpn: nur ping, kein tcp (mehr)

    From Michael Renner@21:1/5 to All on Thu Dec 12 11:00:02 2024
    This is a multi-part message in MIME format.

    Moin,

    seit mehr als 10 Jahren funktionierte openvpn mit ca 10 Nodes. Es ist installiert auf Debian
    (vor allem auch die Serverseite), Ubuntu und Raspbian.

    Seit Montag sind einige Nodes nur noch via ICMP erreichbar, nicht per TCP (z.B. ssh). Die
    Ursache ist unklar. Was sich änderte: Umstellung von DSL zuhause auf FTTH. Und "apt
    upgrade" auf einigen betroffenen Rechnern.

    Die FTTH-Geschichte mag ich ausschliessen, da ich von einem RasPi aus dem (jetzt) via
    Glasfaster angeschlossenen Netze auf einen anderen RasPi ausserhalb des Glasfasternetzes komme. Von einem lokalen Ubuntu-Rechner komme ich nicht mehr auf
    einen am selben Switch hängenden Debian-Rechner. Also ping ja, ssh nein.

    Also vielleicht installierte oder aktualisierte Pakete.

    Auf dem Ubuntu-Rechner wurde installiert:
    2024-12-09 09:38:41 startup archives unpack
    2024-12-09 09:38:42 install libc6-arm64-cross:all <none> 2.39-0ubuntu8cross1 2024-12-09 09:38:42 status half-installed libc6-arm64-cross:all 2.39-0ubuntu8cross1
    2024-12-09 09:38:42 status unpacked libc6-arm64-cross:all 2.39-0ubuntu8cross1 2024-12-09 09:38:42 startup packages configure
    2024-12-09 09:38:42 configure libc6-arm64-cross:all 2.39-0ubuntu8cross1 <none> 2024-12-09 09:38:42 status unpacked libc6-arm64-cross:all 2.39-0ubuntu8cross1 2024-12-09 09:38:42 status half-configured libc6-arm64-cross:all 2.39-0ubuntu8cross1
    2024-12-09 09:38:42 status installed libc6-arm64-cross:all 2.39-0ubuntu8cross1


    Auf dem Debian-Rechner wurde installiert:
    2024-12-09 15:15:55 startup archives unpack
    2024-12-09 15:15:56 upgrade librados2:amd64 16.2.11+ds-2 16.2.15+ds-0+deb12u1 2024-12-09 15:15:56 status triggers-pending libc-bin:amd64 2.36-9+deb12u9 2024-12-09 15:15:56 status half-configured librados2:amd64 16.2.11+ds-2 2024-12-09 15:15:56 status unpacked librados2:amd64 16.2.11+ds-2
    2024-12-09 15:15:56 status half-installed librados2:amd64 16.2.11+ds-2 2024-12-09 15:15:56 status unpacked librados2:amd64 16.2.15+ds-0+deb12u1 2024-12-09 15:15:56 upgrade libcephfs2:amd64 16.2.11+ds-2 16.2.15+ds-0+deb12u1 2024-12-09 15:15:56 status half-configured libcephfs2:amd64 16.2.11+ds-2 2024-12-09 15:15:56 status unpacked libcephfs2:amd64 16.2.11+ds-2
    2024-12-09 15:15:56 status half-installed libcephfs2:amd64 16.2.11+ds-2 2024-12-09 15:15:56 status unpacked libcephfs2:amd64 16.2.15+ds-0+deb12u1 2024-12-09 15:15:57 startup packages configure
    2024-12-09 15:15:57 configure librados2:amd64 16.2.15+ds-0+deb12u1 <none> 2024-12-09 15:15:57 status unpacked librados2:amd64 16.2.15+ds-0+deb12u1 2024-12-09 15:15:57 status half-configured librados2:amd64 16.2.15+ds-0+deb12u1
    2024-12-09 15:15:57 status installed librados2:amd64 16.2.15+ds-0+deb12u1 2024-12-09 15:15:57 configure libcephfs2:amd64 16.2.15+ds-0+deb12u1 <none> 2024-12-09 15:15:57 status unpacked libcephfs2:amd64 16.2.15+ds-0+deb12u1 2024-12-09 15:15:57 status half-configured libcephfs2:amd64 16.2.15+ds-0+deb12u1
    2024-12-09 15:15:57 status installed libcephfs2:amd64 16.2.15+ds-0+deb12u1 2024-12-09 15:15:57 trigproc libc-bin:amd64 2.36-9+deb12u9 <none>
    2024-12-09 15:15:57 status half-configured libc-bin:amd64 2.36-9+deb12u9 2024-12-09 15:15:57 status installed libc-bin:amd64 2.36-9+deb12u9


    Sieht für mich von den Paketen aus betrachtet unverdächtig aus. Aber was kann sonst die
    Probleme verursachen? Wie könnte ich weiter suchen?

    Bin dankbar für jeden Hinweis.

    Micha
    --
    |Michael Renner E-mail: michael.renner@gmx.de |
    |81541 Munich Mastodon: @dd0ul |
    |Germany Don't drink as root! ESC:wq


    PGh0bWw+CjxoZWFkPgo8bWV0YSBodHRwLWVxdWl2PSJjb250ZW50LXR5cGUiIGNvbnRlbnQ9InRl eHQvaHRtbDsgY2hhcnNldD1VVEYtOCI+CjwvaGVhZD4KPGJvZHk+PHAgc3R5bGU9Im1hcmdpbi10 b3A6MDttYXJnaW4tYm90dG9tOjA7bWFyZ2luLWxlZnQ6MDttYXJnaW4tcmlnaHQ6MDsiPk1vaW4s PC9wPgo8YnIgLz48cCBzdHlsZT0ibWFyZ2luLXRvcDowO21hcmdpbi1ib3R0b206MDttYXJnaW4t bGVmdDowO21hcmdpbi1yaWdodDowOyI+c2VpdCBtZWhyIGFscyAxMCBKYWhyZW4gZnVua3Rpb25p ZXJ0ZSBvcGVudnBuIG1pdCBjYSAxMCBOb2Rlcy4gRXMgaXN0IGluc3RhbGxpZXJ0IGF1ZiBEZWJp YW4gKHZvciBhbGxlbSBhdWNoIGRpZSBTZXJ2ZXJzZWl0ZSksIFVidW50dSB1bmQgUmFzcGJpYW4u PC9wPgo8YnIgLz48cCBzdHlsZT0ibWFyZ2luLXRvcDowO21hcmdpbi1ib3R0b206MDttYXJnaW4t bGVmdDowO21hcmdpbi1yaWdodDowOyI+U2VpdCBNb250YWcgc2luZCBlaW5pZ2UgTm9kZXMgbnVy IG5vY2ggdmlhIElDTVAgZXJyZWljaGJhciwgbmljaHQgcGVyIFRDUCAoei5CLiBzc2gpLiBEaWUg VXJzYWNoZSBpc3QgdW5rbGFyLiBXYXMgc2ljaCDDpG5kZXJ0ZTombmJzcDsgVW1zdGVsbH
  • From Marc Haber@21:1/5 to michael.renner@gmx.de on Thu Dec 12 11:20:01 2024
    On Thu, 12 Dec 2024 10:52:32 +0100, Michael Renner
    <michael.renner@gmx.de> wrote:
    Bin dankbar für jeden Hinweis.

    Dreh mal die MTU auf dem OpenVPN-Interface runter, z.B. auf 1400.

    Grüße
    Marc
    --
    ---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
    Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Michael Renner@21:1/5 to All on Thu Dec 12 17:40:02 2024
    This is a multi-part message in MIME format.

    On Donnerstag, 12. Dezember 2024 11:14:12 Mitteleuropäische Normalzeit Marc Haber
    wrote:

    Moin Marc,


    On Thu, 12 Dec 2024 10:52:32 +0100, Michael Renner

    <michael.renner@gmx.de> wrote:
    Bin dankbar für jeden Hinweis.

    Dreh mal die MTU auf dem OpenVPN-Interface runter, z.B. auf 1400.

    1000 Dank, das hat's gebracht.

    Danke auch dafür, dass du seit gefühlt ewigen Zeiten hier immer zuverlässig hilfst und mit
    deiner Erfahrung unterstützt.

    Micha
    --
    |Michael Renner E-mail: michael.renner@gmx.de |
    |81541 Munich Mastodon: @dd0ul |
    |Germany Don't drink as root! ESC:wq


    <html>
    <head>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
    </head>
    <body><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">On Donnerstag, 12. Dezember 2024 11:14:12 Mitteleuropäische Normalzeit Marc Haber wrote:</p>
    <br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Moin Marc,</p>
    <br /><br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">&gt; On Thu, 12 Dec 2024 10:52:32 +0100, Michael Renner</p>
    <p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">&gt; </p> <p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">&gt; &lt;michael.renner@gmx.de&gt; wrote:</p>
    <p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">&gt; &gt;Bin dankbar für jeden Hinweis.</p>
    <p style="margin-top:0;margin-bottom
  • From Marco Moock@21:1/5 to All on Thu Dec 12 17:50:01 2024
    Am 12.12.2024 um 10:52:32 Uhr schrieb Michael Renner:

    Seit Montag sind einige Nodes nur noch via ICMP erreichbar, nicht per
    TCP (z.B. ssh). Die Ursache ist unklar. Was sich änderte: Umstellung
    von DSL zuhause auf FTTH. Und "apt upgrade" auf einigen betroffenen
    Rechnern.

    Was sagt denn Traceroute mit TCP/UDP?

    Gibt es ICMP-Fehlermeldungen?


    --
    Gruß
    Marco

    Send unsolicited bulk mail to 1733997152muell@cartoonies.org

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Michael Renner@21:1/5 to All on Thu Dec 12 19:30:01 2024
    This is a multi-part message in MIME format.

    On Donnerstag, 12. Dezember 2024 17:39:00 Mitteleuropäische Normalzeit Marco Moock
    wrote:

    Moin Marco,

    Am 12.12.2024 um 10:52:32 Uhr schrieb Michael Renner:
    Seit Montag sind einige Nodes nur noch via ICMP erreichbar, nicht per
    TCP (z.B. ssh). Die Ursache ist unklar. Was sich änderte: Umstellung
    von DSL zuhause auf FTTH. Und "apt upgrade" auf einigen betroffenen Rechnern.

    Was sagt denn Traceroute mit TCP/UDP?

    Das hatte ich nicht angeschaut, mein Netzwerkwissen ist etwas eingerostet.


    Gibt es ICMP-Fehlermeldungen?

    Der Hinweis von Marc half: Die MTU Size anpassen.

    Micha
    --
    |Michael Renner E-mail: michael.renner@gmx.de |
    |81541 Munich Mastodon: @dd0ul |
    |Germany Don't drink as root! ESC:wq


    <html>
    <head>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
    </head>
    <body><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">On Donnerstag, 12. Dezember 2024 17:39:00 Mitteleuropäische Normalzeit Marco Moock wrote:</p>
    <br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">Moin Marco,</p>
    <br /><p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">&gt; Am 12.12.2024 um 10:52:32 Uhr schrieb Michael Renner:</p>
    <p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">&gt; &gt; Seit Montag sind einige Nodes nur noch via ICMP erreichbar, nicht per</p>
    <p style="margin-top:0;margin-bottom:0;margin-left:0;margin-right:0;">&gt; &gt; TCP (z.B. ssh). Die Ursache ist unklar. Was sich änderte:&nbsp; Umstellung</p>
    <p style="margin-top:0;margin-botto
  • From Marc Haber@21:1/5 to michael.renner@gmx.de on Fri Dec 13 07:10:01 2024
    On Thu, 12 Dec 2024 17:36:27 +0100, Michael Renner
    <michael.renner@gmx.de> wrote:
    On Donnerstag, 12. Dezember 2024 11:14:12 Mitteleuropäische Normalzeit Marc Haber
    wrote:
    On Thu, 12 Dec 2024 10:52:32 +0100, Michael Renner
    <michael.renner@gmx.de> wrote:
    Bin dankbar für jeden Hinweis.

    Dreh mal die MTU auf dem OpenVPN-Interface runter, z.B. auf 1400.

    1000 Dank, das hat's gebracht.

    Ich habe ein ganz ähnliches Problem. Eigentlich sollte das nicht
    passieren, da es ja Verfahren wie MTU Discovery gibt. Die scheint
    allerdings auf OpenVPN seit ein paar Monaten kaputt zu sein.

    Ich schau mal ob ich die Motivation finde der Sache mal auf den Grund
    zu gehen; das ist viel einfacher wenn man mehrere Rechner hat (damit
    man das Testobjekt nicht auch noch zum Messen benutzen muss), und das
    habe ich unterwegs oft nicht.

    Da muss ich mich also wirklich mal mit Entscheidung und Ruhe hinsetzen
    und das machen.

    Danke auch dafür, dass du seit gefühlt ewigen Zeiten hier immer zuverlässig hilfst und mit
    deiner Erfahrung unterstützt.

    Bitte, gerne.

    Grüße
    Marc
    --
    ---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
    Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marco Moock@21:1/5 to All on Fri Dec 13 07:30:01 2024
    Am 13.12.2024 um 07:07:27 Uhr schrieb Marc Haber:

    Meist ist das irgend ein Paketfilter (weil der Absender der
    Fehlermeldung irgend ein System auf dem Weg ist und man das nicht in
    den Regeln stehen hat, oder irgendwas mit Connection Tracking das die ICMP-Meldung nicht korrekt als RELATED erkennt) oder schräges Routing,
    das dafür sorgt dass die ICMP-Meldung nicht ankommt.

    Oder absichtlich blockiert, weil ICMP ja sooo gefääährtlich ist.

    Linux-Paketfilter sind in den letzten Jahren so Allgegenwärtig
    geworden, dass sich Upsteam kaum mehr jemand darum kümmert.

    Jetzt ernsthaft?

    Siehe auch die nft-Migration, die nicht vorankommt weil das
    iptables-Tooling so geil ist und die nft-Entwickler die Schüsse nicht hören.

    Was ist an iptables so geil?
    Ich bevorzuge daher eher Frontends wie Firewalld, weil die mehr oder
    weniger "fire and forget" sind.

    --
    Gruß
    Marco

    Send unsolicited bulk mail to 1734070047muell@cartoonies.org

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Sebastian Suchanek@21:1/5 to All on Fri Dec 13 09:30:01 2024
    Am 13.12.2024 um 07:27 schrieb Marco Moock:
    Am 13.12.2024 um 07:07:27 Uhr schrieb Marc Haber:

    [...]
    Siehe auch die nft-Migration, die nicht vorankommt weil das
    iptables-Tooling so geil ist und die nft-Entwickler die Schüsse nicht
    hören.

    Was ist an iptables so geil?
    [...]

    Ich denke, das war sarkastisch gemeint.


    Tschüs,

    Sebastian

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marco Moock@21:1/5 to All on Fri Dec 13 11:00:02 2024
    Am 13.12.2024 um 10:37:10 Uhr schrieb Preuße, Hilmar:

    Am 12.12.2024 um 17:39 schrieb Marco Moock:
    Am 12.12.2024 um 10:52:32 Uhr schrieb Michael Renner:
    Moin,

    Seit Montag sind einige Nodes nur noch via ICMP erreichbar, nicht
    per TCP (z.B. ssh). Die Ursache ist unklar. Was sich änderte:
    Umstellung von DSL zuhause auf FTTH. Und "apt upgrade" auf einigen
    betroffenen Rechnern.

    Was sagt denn Traceroute mit TCP/UDP?


    Nun, wenn ICMP Echo (AKA Ping) Pakete beantwortet werden, würde ich erwarten, daß traceroute auch funktioniert, es sei denn eine dumme FW
    steht im Weg.

    Traceroute sind andere Pakete. Als Quelle kann man da praktisch alles
    geben, die Standardtools bieten ICMP, TCP und UDP. Bei den letzten
    beiden kann man auch dirt Ports festlegen.

    Die Router schicken dann ein Time Exceeded bzw. Hop Limit exceeded als
    ICMP.

    Gibt es ICMP-Fehlermeldungen?
    Sie sollten sollten aber auch nur sinnvoll sein, wenn die ICMP
    Pakete so
    groß sind, wie die zu erwartenden TCP-Pakete. Es sei denn Du willst
    auch Routing Probleme hinaus, aber das war ja schon ausgeschlossen
    worden.

    Stichwort PMTU-Discovery. Wenn da die Pakete gar nicht generiert oder
    blockiert werden, funktioniert das nicht. Das hat dann zur Folge, dass
    eine Art schwarzes Loch entsteht (PMTU-Blackhole), weil der Absender
    nie mitbekommt, dass die Pakete verworfen werden, weil zu groß.

    --
    Gruß
    Marco

    Send unsolicited bulk mail to 1734082630muell@cartoonies.org

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marc Haber@21:1/5 to sebastian.suchanek@gmx.de on Fri Dec 13 12:20:01 2024
    On Fri, 13 Dec 2024 09:21:18 +0100, Sebastian Suchanek <sebastian.suchanek@gmx.de> wrote:
    Am 13.12.2024 um 07:27 schrieb Marco Moock:
    Am 13.12.2024 um 07:07:27 Uhr schrieb Marc Haber:

    [...]
    Siehe auch die nft-Migration, die nicht vorankommt weil das
    iptables-Tooling so geil ist und die nft-Entwickler die Schüsse nicht
    hören.

    Was ist an iptables so geil?
    [...]

    Ich denke, das war sarkastisch gemeint.

    Das Tooling rund um iptables ist schonmal vorhanden. Rund um nft gibt
    es, äh, nichts. Also rein gar nichts. Dafür hat nft Konzeptlücken
    durch die man mit einer ganzen Securityfirma durchfahren könnte und
    die Entwickler blocken alles ab weil das ja ineffeizient zu parsen
    ist.

    Sobald nft die Hälfte des Komforts von, z.B. ferm, hat bin ich der
    erste der umsteigt.

    Grüße
    Marc
    --
    ---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
    Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Paul Muster@21:1/5 to Hilmar on Fri Dec 13 14:50:01 2024
    On 13.12.24 10:37, Preuße, Hilmar wrote:

    Nun, wenn ICMP Echo (AKA Ping) Pakete beantwortet werden, würde ich erwarten, daß traceroute auch funktioniert, es sei denn eine dumme FW
    steht im Weg.

    Mit dieser Erwartungshaltung wirst du in der großen weiten Welt da
    draußen aber häufig enttäuscht werden.


    mfG Paul

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)