Wie MTU (für openVPN) richtig berechnen (und Befehl setzen)?

[johnnyboy]

Hallo,

wär toll, wenn mir jemand mal kurz auf die Sprünge helfen könnte ...

Und zwar bin ich einer der Neukunden bei UM, die nur noch eine IPv6 Adresse erhalten und IPv4 über DS-Lite (AFTR-Gateway) getunnelt bekommen.

Das führt zu Problemen bei der Verwendung von openVPN!
Und zwar - wie ich lange nicht wusste! - verwendet openVPN offenbar eine Standard-MTU-Größe von 1500 Byte.
Laut einem Artikel in der aktuellen c't empfielt UM aber eine Maximalgröße bis 1460 Byte.
(Genau diese Größe habe ich übrigens auch mit einem ping -f -l 1432 t-online.de ermittelt! 1432 +8 Byte ICMP-Header + 20 Byte IPv4-Header = 1460 Byte)

Auszug aus dem Artikel:

VPN reparieren

Die DS-Lite Technik ist so beschaffen, dass sie die zulässige Größe von IPv4-Paketen senkt (Maxium Transmission Unit, MTU). VPNs sind aber von Haus aus nicht dafür eingerichtet. Router fragmentieren übergroße Pakete, was aber Zeit kostet und VPNs beeinträchtigen kann.
Die Ursache ist, dass das Zugangsnetz von Unitymedia ausschließlich IPv6 spricht und IPv4 nur über Tunnel befördert (4in6-Tunnel). Jedes IPv4-Paket erhält dabei einen neuen IPv6-Header, sodass Nutzlast und Header die MTU überschreiten können. Das Problem lässt sich auf Kosten der VPN-Nutzlast beseitigen, indem man im VPN die MTU senkt. Das wird je nach VPN-Verfahren unterschiedlich eingestellt. Unitymedia empfiehlt Werte bis höchstens 1460 Byte.

Nun habe ich mittlerweile auch schon herausgefunden, dass ich den MTU-Wert im openVPN config-file durch folgenden Befehl setzen kann:
tun-mtu 1460

Nur funktioniert es mit diesem Wert nicht!
Ich hab dann halt einfach was rumgespielt und herausgefunden, dass offenbar 1380 Byte der größtmögliche Wert ist.
Darauf kommt es doch an, oder, den größtmöglichen Wert (also, um die größtmögliche unfragmentierte Nutzlast transportieren zu können) zu finden?
Dilettantisch formuliert, würde ich sagen, handelt es sich bei den von UM vorgeschlagenen 1460 Byte also um einen "Brutto-Wert", von dem man erst noch die diversen Header abziehen muss.
Da wären meines Wissens nach z.B.:
- openVPN Header mit 32 Byte (ist eine ungesicherte Info, hab nur die Headergröße bei tap gefunden, nicht bei tun)
- UDP Header mit 8 Byte
- IPv6 Header mit 40 Byte

Diese drei Werte von den 1460 Byte abgezogen, ergeben zufällig auch genau die 1380 Byte.
Aber habe ich so richtig gerechnet?
Darf man den IPv6 Header da überhaupt rein rechnen?

Und was auch noch interessant wäre, kann man das noch "besser" im config-file verankern?
Ich hab erst noch mit den Befehlen --tun-mtu (z.B. 1460) --fragment (z.B. 1380) --mssfix rumgespielt, funktionierte aber nicht. Irgendwo habe ich dann auch gelesen, dass das IPv6-Netz keine Datenpaket-Fragmentation unterstützt. Somit wären die Befehle dann also dafür sinnlos?

 

[jcoder]

Re: Wie MTU (für openVPN) richtig berechnen (und Befehl setz

<r>Die openVPN-Direktive lautet:
<QUOTE><s>

</s>link-mtu 1432<e>

</e></QUOTE>

Der Wert ergibt sich aus 1460 - 20 (IPv4 Header) - 8 (UDP Header)</r>

 

[paul]

Re: Wie MTU (für openVPN) richtig berechnen (und Befehl setz

<r>Du kannst den passenden MTU-Wert mit dem Netalyzr unter <URL url="http://www.heise.de/netze/artikel/Netalyzr-1045926.html">http://www.heise.de/netze/artikel/Netalyzr-1045926.html</URL> überprüfen lassen. Der Test dauert zwar eine Zeit, die Ergebnisse liefern aber wichtige Informationen (u. a. zum MTU-Wert).</r>

 

[johnnyboy]

Re: Wie MTU (für openVPN) richtig berechnen (und Befehl setz

<r>Okay, super, hab das grad mal ausprobiert ... also einfach<br/>
tun-mtu 1380<br/>
ersetzt durch<br/>
link-mtu 1432<br/>
<br/>
Funktionieren tut beides und zwar im Vergleich zu vorher (gar kein MTU-Parameter gesetzt) ziemlich gut.<br/>
Zumindest meine derzeitigen Speedtest ergeben aber, dasss es im Zweifel mit link-mtu noch besser läuft!! <E>:super:</E> <br/>
<br/>
Okay, klingt ja eigentlich logisch, es wird ja nicht das IPv6 getunnelt, sondern das IPv4 quasi ins UDP-Protokoll eingepackt, wenn ich das richtig verstanden habe? Aber warum muss man dann den openVPN Header (tun Protokoll) nicht auch noch mitzählen? Ich meine, der muss doch effektiv auch durch die AFTR-Gateway Schleuse (mit der Obergrenze 1460 Byte)?<br/>
<br/>
Und worin besteht jetzt eigentlich der Unterschied zwischen den beiden Befehlen (tun-mtu und link-mtu)?<br/>
<br/>
Ich find dazu einfach nichts, zumindest nichts, was ich so richtig verstehen würde! <br/>
<br/>
Bei openvpn.net in den <URL url="http://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html"><s></s>Manuals<e></e></URL> habe ich dazu nur folgendes gefunden:
<QUOTE><s>

</s>--link-mtu n<br/>
Sets an upper bound on the size of UDP packets which are sent between OpenVPN peers. It's best not to set this parameter unless you know what you're doing. <br/>
--tun-mtu n<br/>
Take the TUN device MTU to be n and derive the link MTU from it (default=1500). In most cases, you will probably want to leave this parameter set to its default value.<br/>
<br/>
The MTU (Maximum Transmission Units) is the maximum datagram size in bytes that can be sent unfragmented over a particular network path. OpenVPN requires that packets on the control or data channels be sent unfragmented.<br/>
<br/>
MTU problems often manifest themselves as connections which hang during periods of active usage.<br/>
<br/>
It's best to use the --fragment and/or --mssfix options to deal with MTU sizing issues.
<e>

</e></QUOTE>

Edit: Ja, hab's jetzt gerade noch mal mit dem netalyzr Test versucht (musste erst mal alle Sicherheitseinstellungen runterfahren, NoScript, Java, Popup Blocker ...), dieser gibt auch einen Wert von 1460 Byte (eingehend) aus.</r>

 

[jcoder]

Re: Wie MTU (für openVPN) richtig berechnen (und Befehl setz

<r><QUOTE author="johnnyboy"><s>

</s>Aber warum muss man dann den openVPN Header (tun Protokoll) nicht auch noch mitzählen? Ich meine, der muss doch effektiv auch durch die AFTR-Gateway Schleuse (mit der Obergrenze 1460 Byte)?
<e>

</e></QUOTE>
Wenn Du die tun-mtu Direktive nutzt, musst Du natürlich den openVPN-Overhaed berücksichtigen.<br/>
Bei der link-mtu Direktive macht openVPN das für Dich. <br/>
Das so geschaffene tun-Interface hat dann nur eine MTU von 1374.</r>

 

[johnnyboy]

Re: Wie MTU (für openVPN) richtig berechnen (und Befehl setz

<t>Nur noch mal so zum Verständnis, wie hast du das jetzt ausgerechnet?<br/>
Also, ich betreibe ja openVPN grundsätzlich im tun-Modus.<br/>
Würdest du sagen, da ist der eine Befehl besser oder sicherer oder wie auch immer als der andere, oder ist das dann vollkommen wurscht, welchen Befehl ich da letztendlich einbaue (solange der Wert richtig errechnet ist)?</t>

 

[jcoder]

Re: Wie MTU (für openVPN) richtig berechnen (und Befehl setz

<r><QUOTE author="johnnyboy"><s>

</s>Nur noch mal so zum Verständnis, wie hast du das jetzt ausgerechnet?<e>

</e></QUOTE>
Gar nicht!<br/>
Ich habe, nachdem ich link-mtu gesetzt und den Tunnel aufgebaut habe, ganz einfach ein
<QUOTE><s>

</s>ip link show dev tun0<e>

</e></QUOTE>
(unter Linux) abgesetzt, um zu sehen, mit welcher MTU openVPN mir das tun-Interface eingerichtet hat. <br/>
(Unter Windows wird Dir wahrscheinlich netsh ähnliche Informationen liefern. Da Windows nicht meine Spielwiese ist, kann ich Dir dazu aber keine Syntax liefern)<br/>

<QUOTE author="johnnyboy"><s>

</s>Würdest du sagen, da ist der eine Befehl besser oder sicherer oder wie auch immer als der andere, oder ist das dann vollkommen wurscht, welchen Befehl ich da letztendlich einbaue (solange der Wert richtig errechnet ist)?<e>

</e></QUOTE>
link-mtu ist schlicht einfacher zu händeln. <br/>
In einer Standard-Anwendung (größtmögliche MTU-Size für das tun-Interface) werden sich die beiden Direktiven weder in Performance noch in der Stabilität unterschiedlich auswirken- solange der Wert richtig errechnet ist.</r>

 

[johnnyboy]

Re: Wie MTU (für openVPN) richtig berechnen (und Befehl setz

<r>Ah, verstehe (mehr oder weniger)! <br/>
<br/>
Jedenfalls ist mein "VPN-Knoten" jetzt geplatzt mit dem einen oder dem anderen Befehl!<br/>
Ich kriege jetzt teilweise doppelt oder dreifach so hohe Geschwindigkeiten, wie ich sie mit DSL jemals hatte (da war ja leitungstechnisch einfach nicht mehr drin als ca. 11 Mbit/s, mit VPN dann eher knapp 10 Mbit/s).<br/>
Und, na ja, wenn vorher über die Breitbandleitung nur irgendwas um die 4-5 Mbit/s (via openVPN) gingen und jetzt auf einmal 20-30 Mbit/s, dann ist das schon was anderes!<br/>
Ich weiß zwar nicht, ob oder wieviel mehr da noch drin wäre mit nativem IPv4 (also ohne, dass der AFTR-Gateway alles "einpackt" und so weiterleitet), aber damit kann ich erst mal gut leben!<br/>
Vielen Dank noch mal für deine Hilfe! <E>:super:</E></r>

 

[sebr]

Re: Wie MTU (für openVPN) richtig berechnen (und Befehl setz

<r>Sorry, dass ich das letzt nochmal ausgrabe. Aktuell stehe ich vor genau dem gleichen Problem mit dem Unterschied, dass ich "echtes" IPv4 nutze (eigener Router am Bridge-Port der FB 6360). Der VPN Server auf der Gegenseite ist auch ausreichend schnell, dennoch erreiche ich nur knapp 7 MBit/s mit meiner 50 MBit/s Leitung. Den OpenVPN tunnel baue ich über meinen Router auf (Ubiquiti Edgerouter Lite) der auch nicht ins schwitzen gerät (CPU Last unter 20%).<br/>
Der Speedguide.net TCP/IP Analyzer spuckt mir folgenden Fehler aus:
<CODE><s>

</s>MTU = 1392
MTU is not fully optimized for broadband. Consider increasing your MTU to 1500 for better throughput. If you are using a router, it could be limiting your MTU regardless of Registry settings.
MSS = 1352
MSS is not optimized for broadband. Consider increasing your MTU value.
Default TCP Receive Window (RWIN) = 66048
RWIN Scaling (RFC1323) = 8 bits (scale factor: 2^8=256)
Unscaled TCP Receive Window = 258
RWIN is not fully optimized. The unscaled RWIN value is lower than it should be. Also, RWIN being close to and above 65535 does not justify the header overhead of enabling TCP 1323 Options. You might want to use one of the recommended RWIN values below.
<e>

</e></CODE>
Netalyzer meldet ebenfalls Paketverlust.<br/>
Deaktiviere ich den Tunnel im Router und gehe "normal" online erhalte ich diese Fehlermeldungen nicht. Es liegt also definitiv am OpenVPN Tunnel bzw. stimmt der MTU Wert nicht. Auf meinem Router habe ich 3 Interfaces: eth0 (am Bridge-Port der FB), eth1 (hängt an meinem LAN) und vtun0 (das Tunnel Interface). Alle drei haben den MTU Wert von 1500. Meinem Verständnis nach ist das nicht OK. Aber welchen MTU Wert für welches Interface setzen? <E>:kratz:</E></r>

 

[Tuxtom007]

Re: Wie MTU (für openVPN) richtig berechnen (und Befehl setz

<t>1500 ist definitiv zu viel für den Tunnel, für phys. Interface ok<br/>
Für der Tunnel setzen mal 1420, das ist ein Recht guter Wert.</t>