Problemas de MTU

amanzy
Yo probé el VDSL
Problemas de MTU

Buenas tardes,

 

Necesitaba dar solución a un problema reincidente de MTU's que ahora me está resultando mucho más grave. Hace tiempo, al instalar las líneas de fibra que tenemos, detecté que desde algunos clientes, todos ellos de Movistar, no se podía acceder a nuestros servidores. Investigando, detecté un problema con el tamaño de la MTU y tuve que bajarla del valor por defecto (1500) en todos los servidores a 1452. Es el valor máximo que me permitía para que todo el mundo pudiese acceder.

Se abrió incidencia con telefónica para que admitieran MTU de 1500 pero no me hicieron ni caso y por eso tuve que recurrir a cambiarlo uno por uno en todos mis servidores.

 

Ahora tengo un nuevo servidor con Ubuntu Server 14.04 LTS y me surge el mismo problema con la diferencia de que no me admite bajar la MTU por debajo de 1500 y las soluciones que se me ocurren son las siguientes:

1 - Volver a instalar el servidor y pasarlo todo a Ubuntu 12.04 como tengo los demás

2 - Que Movistar me de una solución al problema

3 - Cambiar de ISP

 

La primera la descarto porque ya llevo muchas horas malgastadas por un problema que no es nuestro y además, me niego a volver a una versión antigua solo porque Movistar me lo exija, así que si la segunda no se consigue, no me va a quedar otro remedio que pasar a la tercera.

 

En el caso puntual que estoy probando, el nodo que me bloquea el paso es el 80.58.67.84

 

No un lujo para que vaya un 5% más rápido ni nada por el estilo. Solo pido que funcione para los valores por defecto que tiene cualquier sistema operativo de hoy en día. Es una cuestión básica que deberían de solucionar.

 

 

Gracias y un saludo

Mensaje 1 de 13
19.738 Visitas
12 RESPUESTAS 12
Theliel
Yo probé el VDSL

Buenas @amanzy

 

No entiendo muy bien que es lo que te sucede. Interpreto que tus servidores están detrás de líneas de Fibra de Movistar, y que según dices algunos clientes tinen problemas para acceder a vosotros.

 

Por un lado, Movistar usa una conexión PPPoE para el acceso a la red, lo que automáticamente delimita ya de por sí el MTU a 1492. Esto lo usa Movistar y otros ISP también, como casi todas las líneas DSL. Si tienes fibra con Movistar, da igual la ONT/Router que tome la línea, estará trabajando con MTU de 1492.

 

Esto no es un problema a día de hoy en absoluto. Como sabes el MTU de la conexión se especifica en el TCP SYN de establecimiento, y se origina en el cliente. El servidor no puede nunca responder con un MTU superior, puesto que entonces la comunicación fallaría, con lo que siempre se adapta a este. En caso de que el servidor trabaje con un MTU inferior, informa en el TCP SYN ACK su MTU que es más bajo y el cliente lo revalida estableciendo ese MTU como válido.

 

Por lo tanto, este "juego" de MTU y teniendo en cuenta que cada ISP puede usar configuraciones y protocolos diferentes, hacen falta mecanismos de control, eso sin contar que cada OS está configurado como su desarrolladores quieren.

 

Un ejemplo simple y real... Windows usa por defecto un MTU de 1500, que es el MTU máximo sin entrar en Jumbo Frames. En cambio a todos les funciona bien la línea pese a que el Router está configurado para trabajar a 1492 debido a la conexión PPPoE que se come 8 Bytes. Esto tendría que producir errores de todo tipo, pero se hace el viejo truco del clamp.

 

Sin trucos, Windows enviaría los TCP SYN a 1500, el Router los enviaría a los servidores y si estos estuviesen de acuerdo se establecería a dicho valor. Pero en el momento que se iniciase la conexión y el equipo o el servidor enviasen paquetes de 1500... problema. Que es lo que en parte te pasa con algunos usuarios. Así que la inmensa mayoría de todos los dispositivos residenciales solventan esto prefijando el MTU:

 

 

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1492

 

Seguro que has visto esas reglas en más de un FW. La primera es genérica, la segunda es prefijarlo. Es un truco sucio, pero a día de hoy está en me atrevería decir todos los Routers domésticos y en la mayoría de empresas y otros. Que se logra?? Pues que en el caso anterior, cuando Windows envía la conexión con sus TCP SYN a 1500, el Router modifica dichos paquetes y lo que envia en realidad al servidor destino es un TCP SYN indicando el MTU que soporta la conexión suya, en este caso 1492. El servidor debe de responder con ACK a dicha petición y este llega tal cual al cliente (Windows). Windows envió el TCP SYN a 1500, pero obtiene de respuesta que el servidor concerta 1492 (no sabe que la razón de esto es que el Router realmente envió al servidor 1492, y la comunicación se realiza por ende a 1492.

 

Este esquema es el mismo tanto en cliente como en servidor, el MTU válido que se debe de establecer en la comunicación es el menor de todos los que se reportan. Ahora bien, si tus servidores reportan un MTU que la linea NO PUEDE SOPORTAR, tienes problemas.

 

El OS se puede configurar para usar un MTU más bajo, de eso no tengo duda, da igual la versión que tengas de Ubuntu, el MTU es un parámetro básico a la hora de configurar las interfaces de red, te tiene que dejar seguro al 100%. Por otro lado como digo si usas Fibra con Movistar como ISP tu conexión la realizas por PPPoE, que usa un MTU de 1492, y eso no se puede variar. En el peor de los casos configura el/los Routers que están redirigiendo el tráfico o actuando como clientes PPPoE y lo fijas a 1492, no tienes que configurar uno a uno, exactamente igual a que los usuarios en sus casos no tienen que configurar Windows a otro MTU.

 

El único problema real que si tiene Movistar en todo ello es la ONT que instalaron hace un tiempo en fibra, la Alcatel-Luncent, que esta tiene precisamente un bug relativo al MTU, y que muchos usuarios han tenido que solicitar su sustitución. En el caso particular que tuvieses esta ONT si tendrías un problema, y la solución es igualmente simple: Solicitar cambio de ONT (Como te digo es la Alcatel-Luncent). Esta ONT tiene un bug que añade simplemente porque sí 2 Bytes a cada frame como padding, con lo que te imaginas que puede suceder... Algunos nodos de red simplemente descartan el tráfico mientras otros lo cortan en 1500 (Juniper y otros), pero son políticas a aplicar ante como digo comportamientos anómalos e incorrectos de los equipos.

 

Dicho todo esto... si tus servidores están detrás de la ONT citada, pide otra/otras, y problema resuelto. No te van a poner pegas en cambiarla.

 

Si no están detrás de dicha ONT, no hay problema desde el punto de vista de la red de Movistar y no hay bloqueo alguno, configura correctamente tus Routers/equipos para usar los MTU debidos, como hace como digo cualquier sistema operativo a día de hoy y casi la totalidad de Routers y puertas de enlace residenciales.

 

Comprueba esas dos cosillas y nos dices que tal

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 2 de 13
19.714 Visitas
amanzy
Yo probé el VDSL

No te imaginas lo que te agradezco la respuesta tan clara, técnica y detallada. El lunes revisaré la ONT que tenemos y te comentaré las pruebas que hice. Aún así los valores no me terminan de cuadrar del todo porque en los servidores tuve que ir bajando el valor de MTU poco a poco hasta que conseguí que funcionase a todos porque seguía habiendo incidencias de ese tipo. Se iban solventando poco a poco pero el último valor, que resultó ser el difinitivo y el más válido fue de 1452. Por encima de eso algunas conexiones no funcionaban.

 

Otra cosa más... La MTU la puedo configurar en un servidor o en un firewall Linux que tengo para separar la LAN de la DMZ, pero precisamente los servidores que dan problemas los tengo en la DMZ y lo siguiente ya son los routers de Movistar. He entrado en la configuración avanzada pero no da ninguna opción para cambiar la MTU. ¿Se puede configurar en alguna parte?

 

En Ubuntu 14.04 creeme que no admite MTU 1499. Lo he probado en varios servidores y aún sigo sorprendido. En Ubuntu 12.04 lo admite sin ningún problema.

 

Puedes probarlo con

ifconfig eth0 mtu 1499

y te dirá "Parámetro inválido". Por encima de 1500 sin problema.

 

Un millón de gracias y el lunes te comento

 

Mensaje 3 de 13
19.692 Visitas
Theliel
Yo probé el VDSL

Buenas @amanzy

 

De ahí a que piense que tu problema es exactamente la ONT. No importa el MTU que uses de puertas para dentro, en absoluto, eso ya es cuestión de cmo tu quieras configurar tu red, no afecta en nada. De puertas para fuera el secreto está en el Router. Si usas este esquema:

 

Fibra -> ONT -> Router Movistar -> Loquesea

 

Siendo el Router de Movistar quien levanta la interfaz PPPoE para la conexión, el Router de Movistar ya está configurado para fijar todo MTU saliente/entrante. Puedes hacer una prueba muy simple para ver/comprobar esto:

 

http://www.speedguide.net:8080/

 

Y mira que MTU te dice que usas. Como veras, como máximo (si todos esta configurado a 1500) te dirá que usas 1492, pq el Router de Movistar lo "fija" a 1492, te repito, con la regla en el FW que puse anteriormente.

 

El problema con la ONT no solventa esto, porque es la ONT quien añade los 2Bytes. Ahora bien, dices que los números no te cuadran... la última vez que pude comprobarlo eran 2 Bytes, aunque recuerdo algún compañero de usar MTU De 1490 y tener aun problemas, y su valor máximo ideal era 1489. Nunca he tenido dicha ONT, se de dicho problema por que lo estudié en su día por problemas que tenía otro compañero, pero sea como sea casi seguro tu caso es el mismo, la ONT es la alcatel y está haciendo de las suyas.

 

No uso ni tengo a mano Ubuntu para probarlo, soy de Debian:

 

root@Anarchy:/home/theliel# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:00:...
          inet addr:192.168.2.140  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::... Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:56 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1008 (1008.0 B)  TX bytes:8716 (8.5 KiB)

root@Anarchy:/home/theliel# ifconfig eth0 mtu 1492
root@Anarchy:/home/theliel# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:00..
          inet addr:192.168.2.140  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80:... Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1492  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:56 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1008 (1008.0 B)  TX bytes:8716 (8.5 KiB)

Aun así como digo no es necesario modificar en nada lo que está detrás del Router de Movistar, todo lo que pasa por el Router se fija al MTU prefijado en la conexión principal, la cual si entras en el Router de Movistar verás que está en 1492. No modifiques el MTU de ningún servidor ni equipo en la red interna, y con red interna me refiero todo lo que esté detrás del cliente PPPoE (el router de Movistar).

 

Que por cierto... ahí tendrías otra solución a nivel "global". Mientras miras la ONT o no, que será la que te digo y te la pueden cambiar, entra en el Router que levanta la conexión PPPoE, editas la interfaz y estableces el MTU a 1452 si en tu caso es el valor bueno. El FW del router por mediod e clamp fijará las conexiones a dicho valor. Aunque la ONT añada en este caso 2-3 mas o menos, da igual, porque el valor es inferior aun así de los 1500, con lo que problema solventado.... es decir, modificar el MTU aquí afecta a TODOS los equipos que están detrás de este cuando pasan por el Router, que es lo que te da la lata.

 

En el peor de los casos, mejor modificar sólo un dispositivo, que no todos ;). Piensa que todos los OS vienen preconfigurados a 1500, si el Router no se encargase de esto el solito íbamos a ir apañados.

 

Saludos, y ya nos cuentas que tal 😉

 

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 4 de 13
19.682 Visitas
A_Gabriel-Movistar
Antiguo Moderador

Buenos días  @amanzy


Cómo viene siendo habitual en la Comunidad una explicación con detalle y de gran ayuda de  @Theliel   ,siempre bienvenida su colabroración    😉
 
Ya hemos hablado telefónicamente amanzy  y vamos a proceder a cambiar la ONT por otro modelo diferente ya que en escenarios similares se solucionó tras el cambio de la  ONT ALCATEL I240G-T que es la que tienesahora.

Te mandaré en mensaje privado los detalles de la incidencia.

 

un saludo



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 5 de 13
19.616 Visitas
amanzy
Yo probé el VDSL

Buenas Theliel,

 

¡¡Problema resuelto!! Gracias a tu ayuda me han sustituido la ONT por otro modelo, hemos hecho las pruebas y efectivamente los problemas se han solucionado. Justamente han sido esos 2 bytes los causantes de todos nuestros problemas.

 

Aquí está la muestra del antes y el después:

Movistar.PNG

 

Como se puede ver, esos 2 bytes marcan la diferencia y ahora el error ya es distinto por pasarnos del tamaño de la MTU, pero en ningún caso responde un nodo intermedio con el mensaje "Frag needed and DF set". En el último mensaje ya es nuestro propio router (de Movistar) el que nos devuelve esa respuesta así que parece que la negociación entre cliente y servidor ya es eficaz.

 

Llevábamos tiempo detrás de esto y la vez anterior lo dejamos casi por imposible pero teníamos claro que era problema de Movistar. Gracias a vosotros está todo resuelto, así que un 10 para vosotros y ahora también al servicio de fibra de Movistar.

 

Ahora nos quedan otras 3 líneas más con el mismo problema, pero mientras no se cambie nada en nuestros servidores seguirá funcionando como hasta ahora.

 

Por otra parte, he buscado la MTU en la web de configuración del router de Movistar y no he podido encontrar donde se cambia. ¿Tiene algún acceso por telnet/SSH o algo por el estilo que no sepa? Si pudiese cambiarlo está claro que no necesitaría hacer cambio alguno en los servidores pero al no encontrarlo en el router me vi obligado a hacerlo directamente en los servidores.

 

En cuanto a la configuración de la MTU en Linux, supongo que se debe a las versiones recientes del kernel. Como a debian le llegan un poco más tarde las versiones nuevas, supongo que a la larga acabará teniendo el mismo problema.

 

Un millón de gracias a la comunidad y a todo lo que hacéis para que sea lo que es.

Mensaje 6 de 13
19.583 Visitas
Theliel
Yo probé el VDSL

Buenas @amanzy

 

La imagen hasta dentro de X no podemos verla porque se bloquean, me temo.

 

Sobre Debian, dudo mucho que sea el kernel, sin contar que creo que lo tengo actualizado, pero no lo tengo ahora delante para decir cual. Pero en cualquier caso no es eso seguro, la modificación de MTU es como digo algo esencial.

 

El Router de Movistar lo deja cambiar casi seguro. Entra en la interfaz web, en WAN y edita la interfaz PPPoE, seguramente esté especificado en ella.

 

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 7 de 13
19.574 Visitas
amanzy
Yo probé el VDSL

No sé si ese problema se debe 100% al kernel o a otra cosa del sistema. En Ubuntu 12.04 tengo el kernel 3.8 y funciona. En Ubuntu 14.04 tengo el 3.19 y ya no funciona.

 

De todas formas, menos mal que me solucionasteis el problema de la ONT porque ya llevaba un día entero de trabajo perdido intentando bajar la MTU del servidor.

 

En el router no me da esa opción. En la WAN solo me salen estas opciones (a ver si esta se ve):

Movistar2.PNG

 

Y aquí pruebo a enviar la otra de nuevo:

Movistar.PNG

Un saludo

Mensaje 8 de 13
19.542 Visitas
Theliel
Yo probé el VDSL

Buenas @amanzy

 

El problema de las imágenes no es que la eliminen, es que las bloquean durante X. Por ejemplo la otra que pusieste ahora si se puede ver, las dos de ahora no.

 

En otros Router, por lo general, el MTU es un parámetro que se puede cambiar, pero no se que Router tienes actualmente y si se podrá modificar, la verdad. Por lo general es modificable, y suele venir en la interfaz WAN PPPoE



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 9 de 13
19.532 Visitas
amanzy
Yo probé el VDSL

En otros routers lo tengo visto bastantes veces pero en ese no tiene pinta de poder modificarse. Los router que tenemos son Comtrend VG-8050.

 

La imagen la volví a subir porque encontré una opción que pone "Guardar en: Album público/oculto". Antes lo dejé en oculto y ahora en público, por si tenía algo que ver, pero parece ser que no.

Mensaje 10 de 13
19.530 Visitas
Theliel
Yo probé el VDSL

me temo que no tengo ese Router, así que no te podría decir si la opción está o no presente... me temo.

 

Podrías mirar en el archivo de configuración por si guarda el parámetro en él, o buscar por LAN. No te puedo decir mucho más en ello, puesto como te digo sin tenerlo es como estar ciego



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 11 de 13
19.522 Visitas
A_Gabriel-Movistar
Antiguo Moderador

Buenos días  amanzy

 

El router VG-8050 no tiene la opción de cambio de MTU en la interfaz WAN.

 

Sabiendo que se ha solucionado cambiando la ONT de ALCATEL I240G-T no  habría inconveniente en realizar el cambio de ésta en caso necesario para las demás líneas de las que "cuelgue" un servidor..

 

un saludo

 



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 12 de 13
19.492 Visitas
A_Gabriel-Movistar
Antiguo Moderador

Hola amanzy

 

Has marcado el hilo como solucionado ,y con tu permiso procedo a cerrar este hilo. Recuerda que si lo necesitas de nuevo a, nos tienes en la Comunidad para ayudarte .
Saludos.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 13 de 13
19.410 Visitas