---

Jeg har et underligt problem. Jeg sidder og nyder min nye
Debian(testing)-installation på en ny-indkøbt ASUS M2400N laptop (kører
som smurt med Linux 2.6.1).

Men så dukker der et mærkeligt problem op. Der er åbenbart nogen
IP-numre ude på nettet som ikke vil snakke med lige præcis denne
maskine. Jeg har 4-5 andre maskiner stående på samme net med lokale
IP-adresser og de vil gerne forbinde. Der er intet i min firewall, der
skelner mellem de interne IP-numre og det eneste specielle ved denne
maskine er at den kører 2.6.1

F.eks. forbinder MDK9.2 maskinen fint til www.computerworld.dk, men
denne maskine står og hænger ved SYN_SENT og får aldrig noget svar.

Ved nærmere eftertanke, så har jeg faktisk også en maskine med
linux-2.6.0-test4 stående og en hurtig test viser at denne maskine har
samme problem, men at den forbinder fint, hvis den bootes med linux-2.4.18.

Det er kun nogen IP-numre det drejer sig om. Jeg får fin forbindelse til
de fleste numre, men f.eks. adserver.adtech.de fejler, hvilket får de
fleste sites, der bruger reklamer fra dette sted til at hænge.

Er der et kendt problem med 2.6.x TCP-stakken?

Peter

---

Peter Mogensen <apm-at-mutex-dot-dk@nospam.no> writes:

> F.eks. forbinder MDK9.2 maskinen fint til www.computerworld.dk, men
> denne maskine står og hænger ved SYN_SENT og får aldrig noget svar.

[...]

> Er der et kendt problem med 2.6.x TCP-stakken?

Det er ikke et problem med Linux' TCP/IP-stak men med ComputerWorlds
netværksudstyr der mener de kan droppe pakker der har ecn-flaget sat.

ECN er en forholdsvis ny udvidelse af TCP-protokollen og den bruger
nogle flag som tidligere har været reserveret fremtidig brug. Desvære
er der udstyr der mener at dette betyder at flaget *skal* være 0.

Du kan omgå problemet ved at slå ecn fra med følgende komando udført
som root:

# sysctl -w net.ipv4.tcp_ecn=0

Du kan sætte det permanent ved at indsætte en tilsvarende linje i
/etc/sysctl.conf som værdien bliver sat ved boot.

--
Peter Makholm | One thing you do is prevent good software from
peter@makholm.net | being written. Who can afford to do professional
http://hacking.dk | work for nothing?
| -- Bill Gates

---

On Sat, 17 Jan 2004 22:48:08 +0100, Peter Mogensen wrote:
>
> Jeg har et underligt problem. Jeg sidder og nyder min nye
> Debian(testing)-installation på en ny-indkøbt ASUS M2400N laptop (kører
> som smurt med Linux 2.6.1).
>
> Men så dukker der et mærkeligt problem op. Der er åbenbart nogen
> IP-numre ude på nettet som ikke vil snakke med lige præcis denne
> maskine. Jeg har 4-5 andre maskiner stående på samme net med lokale
> IP-adresser og de vil gerne forbinde. Der er intet i min firewall, der
> skelner mellem de interne IP-numre og det eneste specielle ved denne
> maskine er at den kører 2.6.1
>
> F.eks. forbinder MDK9.2 maskinen fint til www.computerworld.dk, men
> denne maskine står og hænger ved SYN_SENT og får aldrig noget svar.
>
> Ved nærmere eftertanke, så har jeg faktisk også en maskine med
> linux-2.6.0-test4 stående og en hurtig test viser at denne maskine har
> samme problem, men at den forbinder fint, hvis den bootes med linux-2.4.18.
>
> Det er kun nogen IP-numre det drejer sig om. Jeg får fin forbindelse til
> de fleste numre, men f.eks. adserver.adtech.de fejler, hvilket får de
> fleste sites, der bruger reklamer fra dette sted til at hænge.
>
> Er der et kendt problem med 2.6.x TCP-stakken?

Den har ECN enabled som default, og der er visse firewalls etc.
som dropper alle saadanne pakker.

--
Jesper Skriver, CCIE #5456, FreeBSD committer

---

On Sat, 17 Jan 2004 22:48:08 +0100, Peter Mogensen wrote:

> Er der et kendt problem med 2.6.x TCP-stakken?

Nej, men det er et velkendt problem, at visse gamle
router-/firewall-produkter fejlagtigt afviser TCP-pakker, hvor den
relativt nye Explicit Congestion Notification TCP-feature forsøges
anvendt.

Jeg tror, at distributionerne generelt slår ECN fra ved kerne-bygning, og
at problemet derfor normalt først ses, når man bygger sin egen kerne.

Hvis du i din /etc/sysctl.conf skriver
net.ipv4.tcp_ecn=0
så vil ECN være slået fra næste gang du starter dit system (du kan
også gøre det med øjeblikkelig virkning ved at echo'e "0" til
/proc/sys/net/ipv4/tcp_ecn men dette huskes ikke ved næste system-start).

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin wrote:
> On Sat, 17 Jan 2004 22:48:08 +0100, Peter Mogensen wrote:
>
>
>>Er der et kendt problem med 2.6.x TCP-stakken?
>
>
> Nej, men det er et velkendt problem, at visse gamle
> router-/firewall-produkter fejlagtigt afviser TCP-pakker, hvor den
> relativt nye Explicit Congestion Notification TCP-feature forsøges
> anvendt.

Tak for de hurtige svar... når jeg nu tænker lidt tilbage, så har jeg da
stødt på det problem tidligere. Tager jeg helt fejl, eller var det ikke
også et problem da de første 2.4.x kerner kom?

Peter

---

Peter Mogensen <apm-at-mutex-dot-dk@nospam.no> writes:

> Tak for de hurtige svar... når jeg nu tænker lidt tilbage, så har jeg da
> stødt på det problem tidligere. Tager jeg helt fejl, eller var det ikke
> også et problem da de første 2.4.x kerner kom?

Det mindes jeg ikke, men 2.4-kernerne understøtter også ECN.

..Henrik

--
Det er let at skrive drivere
Det er _svært_ at skrive drivere der virker
--- citat Mads Bondo Dydensborg

---

Den Sat, 17 Jan 2004 23:18:32 +0100 skrev Peter Mogensen:
>Troels Arvin wrote:
>> On Sat, 17 Jan 2004 22:48:08 +0100, Peter Mogensen wrote:
>>
>>
>>>Er der et kendt problem med 2.6.x TCP-stakken?
>>
>>
>> Nej, men det er et velkendt problem, at visse gamle
>> router-/firewall-produkter fejlagtigt afviser TCP-pakker, hvor den
>> relativt nye Explicit Congestion Notification TCP-feature forsøges
>> anvendt.
>
>Tak for de hurtige svar... når jeg nu tænker lidt tilbage, så har jeg da
>stødt på det problem tidligere. Tager jeg helt fejl, eller var det ikke
>også et problem da de første 2.4.x kerner kom?

Det er ikke et problem der har noget med versions-nummeret at gøre[1],
det har noget at gøre med hvilke options der er valgt:

- når man compiler kernen
- under installationen (sysctl)

Mvh
Kent

[1] bort set fra at 2.2 og tidligere ikke supporterede ECN.
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
> Den Sat, 17 Jan 2004 23:18:32 +0100 skrev Peter Mogensen:
>>Tak for de hurtige svar... når jeg nu tænker lidt tilbage, så har jeg da
>>stødt på det problem tidligere. Tager jeg helt fejl, eller var det ikke
>>også et problem da de første 2.4.x kerner kom?
>
>
> Det er ikke et problem der har noget med versions-nummeret at gøre[1],

Nej. Det er jeg klar over.
Spørgsmålet var bare om ikke der var en del postyr omkring samme
problemstilling da 2.4 kom.

> [1] bort set fra at 2.2 og tidligere ikke supporterede ECN.

Hvilket syntes at bekræfte min erindring om at det var oppe at vende i
medierne dengang.
F.eks. http://slashdot.org/articles/01/04/24/0255224.shtml

Jeg havde bare glemt historien.

Peter

---

Peter Mogensen skrev:
>
> Jeg har et underligt problem. Jeg sidder og nyder min nye
> Debian(testing)-installation på en ny-indkøbt ASUS M2400N laptop (kører
> som smurt med Linux 2.6.1).
>
> Men så dukker der et mærkeligt problem op. Der er åbenbart nogen
> IP-numre ude på nettet som ikke vil snakke med lige præcis denne
> maskine. Jeg har 4-5 andre maskiner stående på samme net med lokale
> IP-adresser og de vil gerne forbinde. Der er intet i min firewall, der
> skelner mellem de interne IP-numre og det eneste specielle ved denne
> maskine er at den kører 2.6.1
>
> F.eks. forbinder MDK9.2 maskinen fint til www.computerworld.dk, men
> denne maskine står og hænger ved SYN_SENT og får aldrig noget svar.
>
> Ved nærmere eftertanke, så har jeg faktisk også en maskine med
> linux-2.6.0-test4 stående og en hurtig test viser at denne maskine har
> samme problem, men at den forbinder fint, hvis den bootes med linux-2.4.18.
>
> Det er kun nogen IP-numre det drejer sig om. Jeg får fin forbindelse til
> de fleste numre, men f.eks. adserver.adtech.de fejler, hvilket får de
> fleste sites, der bruger reklamer fra dette sted til at hænge.
>
> Er der et kendt problem med 2.6.x TCP-stakken?
>
> Peter
>
Det kan være MTU pakke størelsnerne som bliver sent fra din internet
udbyder ikke passer med hvad dit net kort står til, det har jeg selv
oplevet. Spicelt nu hvor jeg køre FWA hvor den ikke må være over 1400.
prøv dig frem.
#ifconfig eth0 mtu 1400
men andre udbyder køre 1490.

---

Den Sat, 17 Jan 2004 06:37:28 +0100 skrev none:
>Peter Mogensen skrev:
>>
>> Jeg har et underligt problem. Jeg sidder og nyder min nye
>> Debian(testing)-installation på en ny-indkøbt ASUS M2400N laptop (kører
>> som smurt med Linux 2.6.1).
>>
>> Men så dukker der et mærkeligt problem op. Der er åbenbart nogen
>> IP-numre ude på nettet som ikke vil snakke med lige præcis denne
>> maskine. Jeg har 4-5 andre maskiner stående på samme net med lokale
>> IP-adresser og de vil gerne forbinde. Der er intet i min firewall, der
>> skelner mellem de interne IP-numre og det eneste specielle ved denne
>> maskine er at den kører 2.6.1
>>
>> F.eks. forbinder MDK9.2 maskinen fint til www.computerworld.dk, men
>> denne maskine står og hænger ved SYN_SENT og får aldrig noget svar.
>>
>> Ved nærmere eftertanke, så har jeg faktisk også en maskine med
>> linux-2.6.0-test4 stående og en hurtig test viser at denne maskine har
>> samme problem, men at den forbinder fint, hvis den bootes med linux-2.4.18.
>>
>> Det er kun nogen IP-numre det drejer sig om. Jeg får fin forbindelse til
>> de fleste numre, men f.eks. adserver.adtech.de fejler, hvilket får de
>> fleste sites, der bruger reklamer fra dette sted til at hænge.
>>
>> Er der et kendt problem med 2.6.x TCP-stakken?
>>
>> Peter
>>
>Det kan være MTU pakke størelsnerne som bliver sent fra din internet
>udbyder ikke passer med hvad dit net kort står til, det har jeg selv
>oplevet. Spicelt nu hvor jeg køre FWA hvor den ikke må være over 1400.
>prøv dig frem.
>#ifconfig eth0 mtu 1400
>men andre udbyder køre 1490.

Det sker også kun hvis man rammer en firewall der er sat op af en
idiot der aldrig skulle have været lukket ind i serverrummet.

IP-stakken kan sagtens selv finde ud af at vælge den rigtige MTU, til
det formål bruges ICMP would fragment. Men hvis en eller anden idiot
har sat en firewall til at blokere for den type pakker, går det galt.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/