Wir haben für unsere Schule und für unsere 3 Kindergärten einen SAI-Anschluss von Swisscom. In der Schule leiten wir allen Verkehr über die öffentliche IP, weil der SAI-Anschluss für ein Netzwerk in der Grösse von unserem nicht zu gebrauchen ist, aber das ist ein anderes Problem.

Zwischen den Kindergarten SAI-Anschlüssen und unserem Schul-SAI Anschluss bauen wir über einen IPsec Tunnel eine Verbindung auf. Dies funktioniert eigentlich perfekt.

Im Oktober kamen aber zwei der Kindergärten nicht mehr auf Webseiten, obwohl die restlichen Verbindungen, eben z.B. der IPsec Tunnel noch perfekt funktionierten. Die Swisscom hatte also irgendwelche Einstellungen verändert. Eine eröffnete Supportanfrage wurde sehr schnell bearbeitet.

Sehr geehrter Herr Kruesi,
… meldete uns dass beim Kindergarten … die Websites nicht angezeigt werden. Wir haben ein paar Änderungen vorgenommen und möchten Sie bitten zu testen, ob es für Sie nun besser ist?
Besten Dank für Ihre Rückmeldung und freundliche Grüsse

Danach konnten auch wieder Internetseiten in den Kindergärten angesehen werden. Eineinhalb Monate später wollte ich nun von der Schule aus eine Webseite im Kindergarten öffnen (es gab neue Kopierer und nun auch in den Kindergärten solche, die ins Netz eingebunden werden können). Dies funktionierte aber nicht, obwohl alle anderen Zugriffe problemlos durch den IPsec Tunnel übertragen werden. An den Einstellungen sollte es auch nicht liegen, weil ich immer noch einen Kindergarten hatte, bei dem alles funktionierte (und bei dem im Oktober auch kein Problem aufgetreten war und daher auch keine “paar Änderungen” gemacht wurden).

Nach längerem hin und her hat mich dann eine Netzwerkananlyse mit Wireshark auf den richtigen Weg geführt. Scheinbar war eine der “paar Änderungen” am Router der Swisscom das Ändern der MTU. Standardmässig funktioniert eine MTU von 1500 auf dem Wan-Port der Firewall, wie sie auch beim unveränderten Kindergarten weiterhin noch funktioniert. Nach Firmware Up- und auch Downgrades, nach Resets und Neukonfigurationen lag es also nur daran, und ich musste nur die MTU der Wan-Schnittstelle im Kindergarten auf 1400 herunterstellen.

Wir sparen einiges Geld mit dem SAI Angebot der Swisscom, aber weniger Arbeit wäre auch was wert .