Geen VPN (forticlient) via hotspot op iPhone 16 pro

Als MTU Path Discovery afgefilterd wordt en er zijn rare mtu's ingesteld op de interfaces dan werken zaken niet naar er kan ook geen lager MTU overeen worden gestemd. 

Het issue komt alleen voor op Android toestellen zonder ingestelde MTU en dat is conform de actuele ipv6 standaard

Met een hard ingesteld MTU van 1500 in vpn of op interface werkt het.

Maar wie zegt nu dat MTU Path Discovery afgefilterd wordt.

Ik ben daar absoluut niet van overtuigd en als dat al het geval zou zijn, dan zou je ook problemen verwachten met een Android toestel en, nogmaals, dat is bij ​@iPhone12Dns dus niet het geval, met zijn Android toestel werkt dezelfde VPN verbinding wel goed.

Bij het verbinden van een toestel met het 4/5G netwerk wordt altijd een MTU size afgestemd.

wat 4g/5g als MTU size onderhandelt doet niet ter zake hier.. en het gaat niet om type toestel. het gaat om de interface in het toestel. wanneer deze hard op 1500 of lager is gelimiteerd werkt het. staat hier een hoger of geen limiet dan werkt het niet.

en er staat wel degeijk een ICMP filteiring aan binnen KPN.

nuff said.

Die staat echter niet hard op 1500 of lager, die wordt tijdens het verbinding maken met het 4/5G netwerk onderhandeld met het 4/5G netwerk. 

Ik denk niet dat er ook maar één ICMPv6 bericht in de path MTU discovery gefiltered wordt.

Als dat namelijk wel het geval zou zijn dan had het Android toestel van ​@iPhone12Dns daar ook last van ondervonden.

Overigens zou je de app “Ping & Net” kunnen gebruiken om te kijken of Path MTU Discovery goed loopt vanaf jouw telefoon.

Let op: De path MTU discovery toont bij IPv6 hosts een MTU size die 20 bytes te laag is. Er zit helaas nog een bugje in die app waarbij i.p.v. de lengte van de IPv6 header (40 bytes) de lengte van IPv4 header (20 bytes) gebruikt wordt om de MTU size te berekenen. (payload + header)

Ik heb dit bij de developer van die app gemeld en hoop dat er binnenkort een fix voor zal komen.

Tot dan moet je dus 20 bytes bij de getoonde MTU size optellen als je IPv6 gebruikt.

Edit: De ontwikkelaar van de Ping & Net app heeft vandaag (29 november 2024) een nieuwe versie van de app uitgebracht waarin dit issue verholpen is. De waardes worden nu zowel bij IPv4 als IPv6 correct weergegeven.

​@Francoix, Heb je al eens een met de app Ping & Net een "Path MTU Discovery" gedaan vanaf jouw Android telefoon via 4/5G naar een IPv6 adres?

Wat was daarvan de uitkomst?

Dit was in Nederland 1480 maar dat is logisch aangezien er in het kpn netwerk een beperking zit.

Een tool vanaf de telefoon is niet leidend hier helaas aangezien het uit een interface tussen telefoon en adres wat je pingt komt en je dus nooit hoger kan komen als de zwakste schakel. 

Met de 20 overhead is dat 1500.

Ik kan het nu niet testen met de nieuwe versie

Zou natuurlijk wel kunnen testen of er een verschil is met Vodafone-CZ waar ik  nu over roam.

Verschil is dat ik hier op 1492 uit kom. Ik heb ping & net niet bijgewerkt met de 20 overhead kom je op 1512 voor 1.1.1.1 uiteraard. Wat ipv4 is. En zelfs 4 hoger is als nodig (1508)

Edit: als ik een host die enkel IPv6 enabled is uitvraag kom ik keurig op 1500. Oftewel 1520 MTU.

Had je wellicht nog de oude versie van Ping & Net immers die gaf inderdaad een MTU size aan die 20 bytes lager was dan de werkelijke MTU size. Ik heb dit bij Ulf Dittmer, de ontwikkelaar van die app, gemeld en naar aanleiding daarvan heeft hij dat ook gecorrigeerd.

De aanpassing is ondertussen ook al beschikbaar in de Google Play Store en de laatste versie van Ping & Net toont nu wel de juiste MTU size.

Er zit geen beperking in het KPN netwerk. De MTU size is 1500 bytes en zelfs als deze 1480 bytes was geweest dan had de Path MTU Discovery dat ook moeten constateren en de te gebruiken MTU size naar beneden bij moeten stellen zodat deze gelijk is aan de maximale MTU size die op het hele pad gebruikt kan worden.

Stel KPN zou op haar deel van het pad een MTU size van 1280 bytes gebruiken, zelfs dan zou er niets aan de hand mogen zijn omdat de Path MTU Discovery dan 1280 als te gebruiken MTU size had vastgesteld.

Het feit dat de Path MTU Discovery tool an Ping & Net tot een goed einde komt betekent dus dat er geen blokkade of filtering plaats vindt van ICMPv6 verkeer en dat de telefoon (ook een iPhone) dus gewoon de te gebruiken MTU size zou kunnen bepalen.

Welke versie van Ping & Net staat op jouw telefoon?

Als dat versie 4.3.3 is van 29 november dan is dat dus al de gecorrigeerd versie en moet je er dus niet nog eens 20 bytes bij optellen.

4.3.2

Dan hoop ik dat ​@iPhone12Dns ook eens de nieuwste versie van de Ping & Net app op zijn Android telefoon wil plaatsen en de Path MTU Discovery functionaliteit zou willen doorlopen naar 2606:4700:4700::1112 terwijl de telefoon met het IPv6 only netwerk van KPN verbonden is.

Ik ben benieuwd wat hij dan als MTU size te zien krijgt.

En dat is nu precies waar Path MTU Discovery voor bedoeld is, het bepalen van de "zwakste schakel" ofwel de kleinste MTU size op het pad tussen cliënt en server. Dit is toch echt een proces dat door de client (telefoon) uitgevoerd wordt en niet door een hop op de route naar de te bereiken server.

Bron

Het is een proces wat op het falende pad een bericht terug stuurt naar de telefoon.

Klopt, een hop die van een achterliggende hop terugkrijgt dat de MTU size te groot is moet dat terugmelden aan de cliënt en dat gebeurt ook wel anders had die Android telefoon ook geen antwoord gekregen en zou de tool Ping & Net ook geen antwoord krijgen en niet tot een eind resultaat kunnen komen.

​@wjb 

Ik heb de laatste versie van 29 november op mijn Samsung S21 toestel en de test uitgevoerd met apn internet IPv6 adres. 

Het adres 2606:4700:4700::1112 in de app gezet en daarna op PATH MTU geklikt. Ik neem aan dat je dit bedoeld?

Hier het resultaat. 

Dat is inderdaad wat ik bedoelde ​@Neville en de uitkomst is ook wat ik verwachtte.

Ik neem aan dat jij een mobiel abonnement van KPN hebt en geen wifi verbinding had, klopt dat?

Als jij naar https://ip6only.me gaat dan zie je jouw IPv6 adres?

En als je naar https://ip4.me gaat, zie je dan jouw IPv4 adres?

​@wjb 

Ja. Ik heb een kpn mobiel abonnement en niet via mijn wifi getest, maar via het mobiele netwerk en apn internet. Zie mijn screenshot met 4G symbool en geen wifi. 

Als ik naar de ipv6 website ga zie ik het ipv6 adres 2a02:a420:236:x:x:x:x:x

Als ik naar de ipv4 website ga zie ik een IPv4 adres 77.63 x.x adres.

Dank je voor het vermelden.

Het mobiele netwerk van KPN is dus blijkbaar niet IPv6 only maar ook IPv4 via CGNAT.

Zou je nog één test je willen doen en dat is in Ping & Net een Path MTU discovery naar 1.1.1.1.

Wat is daar de MTU size? Ik verwacht ook 1500.

Dat is in geval van de s21 1500 omdat dit toestel een cap heeft op de interface.

Waar baseer jij dat op?

​@Neville, Zou jij in Ping & Net eens een ping willen doen naar het eigen IPv6 en IPv4 adres dat de Samsung via 4/5G heeft gekregen met een packet size van bijvoorbeeld 2000. Wat is het resultaat?

Zorg er hierbij wel voor dat je Path MTU op Do hebt staan want anders is bij IPv4 packet fragmentation toegestaan en krijg je dus sowieso een "goed" resultaat.

Op onderzoek. De reden waarom bepaalde toestellen wel of geen problemen hebben is of deze een hard ingesteld MTU hebben of op negotiation werken.  Dit heb ik hier eerder aangegeven. Tools als ping & net bieden geen toegevoegde waarde. Je moet feitelijk het toestel rooten en via de terminal uitlezen wat er ingesteld staat

Dat is mijns inziens onzin, Ping & Net maakt gebruik van dezelfde interfaces dus als die bij packet sizes groter dan 1500 bytes (incl. headers) wel tot een goed resultaat komt dan betekent dat dat de MTU size op alle Interfaces waar de ping langskomt dus groter was dan de gebruikte packet size (incl. headers).

Dan zijn we bij deze uitgepraat. 

Als er 1 interface in het traject naar het adres waar je heen pingt zit die 1500 of lager ingesteld staat kom je nooit hoger als die waarde. 

Ook je device is een interface.