Deutsche GigaNetz: seltsames problem mit Citrix über VPN

belegdol

Hallo,

bei uns läuft seit Sonntag - endlich nach fast drei Jahren - Glasfaser von der Deutschen GigaNetz. Bis auf eine Sache ist alles top: wenn ich über VPN mit meinem Arbeitgeber verbunden bin und über Citrix mich mit einem Ubuntu System verbinde, friert die Citrix Session nach wenigen Sekunden ein. Windows Citrix Systeme sind davon nicht betroffen.

Wenn ich mich dann mit dem Vodafone WLAN verbinde, fängt die Session an wieder zu reagieren. Wenn ich dann zurück auf DGN WLAN wechsele, friert die in wenigen Sekunden wieder ein.

Das ist alles bisschen seltsam. Wieso ist nur ein Citrix Remote Desktop betroffen? Macht Citrix Server auf Linux was anders als auf Windows? Und wieso tritt das Problem erst nach ein paar Sekunden auf?

Hat jemand etwas ähnliches gesehen? Große Hoffnung dass es gelöst wird habe ich nicht, es sind schlicht extrem viele Elemente die Ursache sein können.

frank_m

Möglicherweise ein MTU/MSS Problem, vielleicht in Kombination mit IPv4/IPv6. Welche IP-Bereiche werden auf den jeweiligen Verbindungen genutzt? Hast du Einfluss auf die MTU der VPN-Verbindung? Dann würde ich die einfach mal 20 oder 50 Byte nach unten korrigieren.

belegdol

Wir nutzen Checkpoint VPN. Die angezeigten IP Adressen von Client und von dem Gateway ändern sich in dem VPN Client nicht.

MTU Einstellungen habe ich leider nicht gefunden. Es gibt ein Profil, ich kann diesen aber nicht ändern.

belegdol

Kann es auch an der MTU Größe von dem Citrix Server liegen? Ich habe das hier gefunden:

Adaptive transport | Linux Virtual Delivery Agent 2311

Es würde zumindest erklären, wieso nur die Citrix Verbindung abbricht und nicht die gesamte VPN Session.

frank_m

Zitat von belegdol

Die angezeigten IP Adressen von Client und von dem Gateway ändern sich in dem VPN Client nicht.

Es ging auch um die zugrunde liegende Internetverbindung. Wenn da die Pakete nicht mehr reinpassen, müssen sie plötzlich fragmentiert werden, und es kann sein, dass Citrix das nicht mag. Und IPv6 hat nun mal 20 Byte Header mehr, als IPv4.

belegdol

Ich schaue morgen wegen den IP Adressen. Vodafone sowie DGN nutzen beide DSLite.

Elemir

Zitat von belegdol

Das ist alles bisschen seltsam. Wieso ist nur ein Citrix Remote Desktop betroffen? Macht Citrix Server auf Linux was anders als auf Windows?

Eine ganze Menge, leider ja.

Aus meiner Erfahrung mit Citrix auf Ubuntu: teste mal eine ältere oder neuere Version des Citrix-Clients.

Da ich aber dieselbe Kombination nutze, Citrix auf Ubuntu und mein Schwiegervater DGN hat, kann ich da beim nächsten Besuch mal einen Test machen, wie sich das bei uns verhält. Kann aber ein paar Wochen gehen, falls Du bis dahin keine Lösung hast.

Ist natürlich dann kein Kriterium, weil da zu viele Parameter hineinspielen.

belegdol

Zitat von Elemir

Eine ganze Menge, leider ja.
Aus meiner Erfahrung mit Citrix auf Ubuntu: teste mal eine ältere oder neuere Version des Citrix-Clients.

Ich kann es versuchen - mal schauen wie experimentfreudig unsere IT Abteilung wird.

Zitat von Elemir

Da ich aber dieselbe Kombination nutze, Citrix auf Ubuntu und mein Schwiegervater DGN hat, kann ich da beim nächsten Besuch mal einen Test machen, wie sich das bei uns verhält. Kann aber ein paar Wochen gehen, falls Du bis dahin keine Lösung hast.
Ist natürlich dann kein Kriterium, weil da zu viele Parameter hineinspielen.

Es wäre auf jeden Fall ein interessantes Datenpunkt

Elemir

Zitat von belegdol

Ich kann es versuchen - mal schauen wie experimentfreudig unsere IT Abteilung wird.

Ach so, das Linux ist auch von der Firma und Du kannst das nicht beeinflussen. Das ist schlecht. Bei mir habe ich den Citrix-Client auf eigenem Rechner, da die Firma nur Windows bereitstellt.

belegdol

Genau. Es sieht wie folgt aus:

Firmenlaptop -> Heim-WLAN -> Check Point VPN -> Firmennetz -> Citrix Client -> Ubuntu Citrix Server von der Firma.

Elemir

Ups, habe nicht gesehen, das der Citrix-Server Ubuntu ist - ich war geistig bei einen Ubuntu-Client zu einem Citrix-Server mit Windows. Sorry, dann bin ich wohl nicht hilfreich.

So herum wie Du das hast, haben wir es nicht. Aber meine Erfahrungen mit Citrix und Ubuntu auf dem Client sind eher weniger gut, da wird das auf dem Server nicht so anders sein. Man merkt, dass das Windows-Software ist, die nur für Linux hingefrickelt wurde.

Was wir als VPN nutzen wüsste ich gar nicht, das sehe ich im Citrix nicht direkt, da das alles im Browser und dann im Citrix-Client läuft.

Bei Firmenlaptops mit Windows läuft das auch über Checkpoint.

Citrix an sich (auch mit Windows an beiden Seiten) hat bei uns allerdings Probleme mit IPv4 und CGNAT, wenn die öffentliche IPv4 des CGNAT ständig wechselt, da Default wohl UDP bzw EDT over UDP ist und das CGNAT-Gateway dann möglicherweise die UDP-Verbindungen nicht sauber trackt oder zu kurz offen hält. Die werden auf TCP umgestellt, dann geht es. Das ist mir allerdings bei DGN bei kurzen Tests nicht aufgefallen, das trifft bei uns bisher Kollegen mit TV-Kabel von Vodafone und Windows zu Windows. Aber könnte bei Euch ja ein möglicher Unterschied in der Konfiguration sein und bei DGN zutreffen.

Die genauen Hintergründe kenne ich nicht, ich weiß es nur ungefähr so von Kollegen, die betroffen waren.

Falls Ihr IPv4 nutzt: für 2,90 monatlich gibt es eine öffentliche IPv4 statt CGNAT, eventuell könnte das helfen.

Erklärt dann aber nicht, warum es bei Dir mit Vodafone geht.

belegdol

Laut Leistungsbeschreibung wird bei DGN IPv4 über DS-Lite und nicht über CGNAT realisiert. Das wäre zumindest in der Theorie das gleiche wie bei Vodafone Kabel. Das mit dem öffentlichen IPv4 habe ich mir auch überlegt. Für ein Monat habe ich noch das alte Router. Wenn es bis dahin immer noch nicht klappt, ist es ein Versuch wert. Wenn nicht kann man es hoffentlich dann direkt wieder kündigen.

Je nach wie sehr alles gesperrt ist, kann ich vielleicht schauen, ob sich der Linux Server über EDT oder TCP verbindet. EDT MTU Discovery könnte evtl. das Problem sein, frank_m hat MTU Größe im Verdacht.

frank_m

Ja, irgendwas rund um die Paketgrößen. Neben reinen Einstellungen kommen auch Probleme rund um die Path MTU Discovery infrage, die durch das ICMP Rate Limiting vieler Router ausgelöst werden. Dagegen könnte MSS Clamping helfen.

Elemir

Zitat von belegdol

Laut Leistungsbeschreibung wird bei DGN IPv4 über DS-Lite und nicht über CGNAT realisiert.

Ja stimmt, Ich wusste nur nicht, wie ich konkret das NATting auf Providerseite sonst hätte bezeichnen sollen. DS-Lite ist ja mehr als nur NAT, und das Problem ist ja bei DS-Lite und CGNAT gleich.

Zitat von belegdol

Das wäre zumindest in der Theorie das gleiche wie bei Vodafone Kabel.

Ja, genau daher ist das von mir auch ziemliche Spekulation, weil das damit nicht zusammenpasst.

Allerdings könnten Einstellungen, wie lange die Information über UDP-Pakete im NAT-Router verbleiben, unterschiedlich sein.

Ist aber hochspekulativ.

Zitat von belegdol

Das mit dem öffentlichen IPv4 habe ich mir auch überlegt. Für ein Monat habe ich noch das alte Router. Wenn es bis dahin immer noch nicht klappt, ist es ein Versuch wert. Wenn nicht kann man es hoffentlich dann direkt wieder kündigen.

Das weiß ich leider nicht, da Du ja wie Schwiegervater einen Altvertrag hat. Heute ist es 2,90, bei Altverträgen auf Anfrage kostenlos. Bei Tarifwechseln gelten da die Bedingungen der Altverträge, für die V4 wollen sie trotzdem die 2,90 eines neuen Vertrags.

Zitat von belegdol

Je nach wie sehr alles gesperrt ist, kann ich vielleicht schauen, ob sich der Linux Server über EDT oder TCP verbindet. EDT MTU Discovery könnte evtl. das Problem sein, frank_m hat MTU Größe im Verdacht

Ja auch möglich, bin ich nicht drauf eingegangen, weil warum nochmal wiederholten, und mehr kann ich auch nicht beitragen. Ich wollte nur noch eine zweite alternative Idee/Möglichkeit einbringen, die bei uns schon bei Vodafone zugeschlagen hat. Aber gleiches Problem wie bei Dir: ich kann da bei uns nicht reinschauen, macht eine andere Abteilung, und außerdem fehlt mir das Wissen zu Citrix.

Linux-Desktop geht bei uns nicht über Citrix, sondern über x2go. Bei uns leider nicht direkt von Extern per VPN zu verbinden, sondern nur per x2go-Client von einem Citrix-Windows-Desktop aus. Ist aber keine prinzipielle technische Einschränkung von x2go, sondern von der Firma so gewollt.

belegdol

Mit ctxquery könnte ich bestätigen, dass EDT verwendet wird. ctxreg darf ich leider nicht ausführen.

pufferueberlauf

Zitat von belegdol

dass EDT verwendet wird

Dann duerfte MSS clamping aussichtslos sein, das greift momentan nur bei TCP... und EDT baut auf UDP auf...

Elemir

Habe es am Wochenende testen können, von Citrix-Linux-Client zu einem Citrix-Server mit Windows über DGN.

Verbindung läuft stabil, die ausgehende IP-Adresse für EDT- und UDP-Pakete bleibt gleich, konnte auch keinerlei Verbindungsabbrüche feststellen. Daran liegt es also nicht.

Dann bleibt also etwas, was beim Citrix des Ubuntu-Servers anders konfiguriert ist als beim Citrix des Windows-Servers.

Vielleicht mal clientseitig (auf dem Client oder auf dem Router) einen TCP-Dump mitlaufen lassen

belegdol

Kurzes Zwischenupdate: erste Versuche mit der IT Abteilung haben noch nicht geholfen.

Ich habe jetzt auch DGN angeschrieben falls etwas an der ISP Seite komisch eingestellt sei. Diese Info sieht interessant aus [1]:

Zitat

MTU-Discovery schlägt möglicherweise für Benutzer fehl, die sich über ein DS-Lite-Netzwerk verbinden. Einige Modems ignorieren das DF-Bit bei aktivierter Paketverarbeitung, sodass die MTU-Discovery eine Fragmentierung nicht erkennt.

Vielleicht entfernt Nokia ONT den DF-Bit von den Paketen? Die Frage wäre dann, wieso es mit Windows Servern funktioniert. Mal sehen ob sich DGN meldet und was die sagen. Ich werde es hier auf jeden Fall berichten.

[1] https://docs.citrix.com/en-us/citrix-v…roubleshooting3

frank_m

Hmm. Der ONT ist transparent auf Schicht 2, also eher nein. Aber ich denke, da bist du auf der richtigen Spur, und du solltest die MSS Anleitung befolgen.

belegdol

Heute hat der IT Kollege über MMC auf TCP umgestellt bzw. EDT ausgeschaltet. Ich musste Feierabend machen und somit konnte nicht allzu lange testen, auf den ersten Blick scheint es aber geholfen zu haben.

DGN Kundendienst hat dagegen wieder Thema zum großen Teil verfehlt. Ich hätte vielleicht nicht den Fehler machen sollen und zwei Fragen in einer Email stellen. Ich habe nur die Info bekommen, dass man Dual Stack monatlich kündigen kann.

Wenn TCP kompatibler ist, welche Vorteile bringt EDT sodass der erste Wahl sei?