Jumbo-Frames nur im lokalen Netzwerk

[Johanna K]

Ich habe hier ein NAS per 10GBit/s Ethernet am Mac angebunden. Im Samba-Protokoll bringt die Verwendung von Jumbo-Frames (IP-Blöcke mit bis 9000 Bytes statt 1500 Bytes) teilweise deutlich höhere Geschwindigkeit (bei AFP ist der Unterschied eher vernachlässigbar). Deshalb möchte ich gerne Jumbo-Frames verwenden. Problem: Das VPN, das ich für die Arbeit zwingend brauche, funktioniert mit Jumbo-Frames nicht.

Daher würde ich gerne Jumbo-Frames auf das LAN beschränken (woanders ergeben sie ohnehin wenig Sinn). Kann man dies so konfigurieren, dass Jumbo-Frames z. B. auf einen bestimmten IP-Adressbereich eingeschränkt werden?

Eine Alternative wäre, ich habe am Switch und an der Docking-Station noch einen herkömmlichen 1GBit-Anschluss übrig, und unbenutze Ethernetkabel liegen hier auch rum. Dann könnte ich eine zweite Verbindung zum Switch legen, hätte eine zweite IP-Adresse am Mac und müsste den Netzwerkverkehr so routen, dass der Verkehr in das VPN über diese zweite Verbindung geleitet wird. Ist das machbar?

 

[TSMusik]

Daher würde ich gerne Jumbo-Frames auf das LAN beschränken

Sind sie automatisch, da deine Internet-Verbindung wohl kaum Jumbo-Frames unterstützt.

Die MTU liegt z.B. bei PPPoE (DSL) unter 1492B d.h. mehr passt ab dem DSL-Router eh nicht in ein Frame.

Was für ein VPN ist das denn und von wo wird es aufgebaut? Klingt für mich eher nach einem Config-Problem beim VPN. Evtl. könnte man dort die MTU runtersetzen.

 

[Johanna K]

Dann ist das Problem wohl, dass der VPN-Adressbereich nicht als Internet sondern als LAN erkannt wird. Man müsste die Jumbo-Frames also auf einen Teil des LAN-Adressbereiches beschränken oder Mac OS/X mitteilen, dass gewisse Adressen kein LAN sind.

Benutzt wird der alte Shrew-Soft Client. Der hat einen Vorteil: Er funktioniert mit dem Firmen-LAN. Zumindest bei Standard-Framegröße.
Die MTU ist dort bereits auf 1380 Bytes gesetzt. Andere Werte beheben das Problem nicht.

 

[TSMusik]

Man müsste die Jumbo-Frames also auf einen Teil des LAN-Adressbereiches beschränken

Ethernet (Frames) arbeitet eine Ebene tiefer als IP (Pakete) d.h. da lässt sich nichts auf einen IP-Adressbereich beschränken. Du könntest also nur ein separates, Jumbo-Frame-fähiges LAN aufziehen, in das du dann dein NAS und den Mac packst, wenn du separieren möchtest.

 

[Johanna K]

Also die Alternative, den Verkehr über zwei verschiedene Adapter routen?

 

[Johanna K]

Falls es mal jemanden interessiert:

Gefunden habe ich jetzt eine Lösung über den Switch (Mikrotik mit Router OS). Im Switch kann ich für jeden Port einzeln einstellen, wie groß die maximale Paketgröße sein darf.

Der Mac hängt jetzt mit zwei Kabeln (und damit zwei IP-Adressen) am Switch. In den Systemeinstellungen liegt der 10GbE-Port vor dem "langsamen" Gigabit-Port, so dass erst einmal aller Netzverker über 10GbE geht. In den Systemeinstellungen sind Jumbo-Frames ausgewählt (diese Einstellung gilt automatisch für alle Ports).

Im Switch sind beim 10GbE-Port Jumpo-Frames konfiguriert, der andere Port ist auf 1500 Bytes beschränkt.

Sobald die Verbindung zum VPN gestartet ist, wird mit dem Kommando
sudo route change -net <ip> -mtu 1500 -interface <interface>
alles, was ins VPN geht, über den Gigabit-Anschluss (also den zweiten Port) geroutet.
Dabei ist <ip> die von außen sichtbare Adresse des VPN (nicht der interne vom VPN genutzte Bereich), <interface> ist der Schnittstellenname, der mit ifconfig ermittelt werden kann. (Die Angabe -mtu 1500 ist vermutlich unnötig, denn ohne die Konfiguration im Switch bringt sie nichts.)
Dieses Kommando muss jedesmal per Hand gestartet werden (als Datei genügt ein Doppelklick), dies in ein Manko meiner Lösung.
Damit man für sudo nicht immer das Passwort neu eintippen muss, kann man noch in die Datei /etc/sudoers die Zeile
<user> ALL=(root) NOPASSWD: /sbin/route
einfügen. <user> ist dabei der Name des Mac-Nutzers, der sich ins VPN einwählt.