VLAN MTU Problem mit Docker

    Moin zusammen,


    seit Donnerstag verhält sich ein VLAN in Verbindung mit Docker bei mir sehr merkwürdig. Aufgefallen ist, dass ein interner Dienst aus einem Docker-Container nicht mehr per HTTPS erreichbar war.


    Ein Check per curl (im Container) lieferte folgendes Ergebnis:


    Code
    > root@11308c2bd455:/# curl https://intern.XXX.de -vvv
*   Trying 10.100.29.200:443...
* TCP_NODELAY set
* Connected to lp-dev.de (10.100.29.200) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):

    An der Stelle hängt curl dann mehrere Minuten, bis die Verbindung in einem Timeout endet. Nach einigem Debuggen und etwas Recherche kam ich auf MTU als mögliche Ursache. Kaum habe ich den MTU-Wert für die Docker-Netze auf 1400 gesenkt lief alles wieder wie gewohnt!


    Das Seltsame daran: es gab in den Tagen vor Donnerstag (und natürlich auch am Donnerstag selbst) keine Updates oder sonstige Änderungen! Interessanterweise hat der HTTPS-Request vom Hostsystem aus aber die ganze Zeit funktioniert.


    Kennt jemand die Problematik? Mangels zweitem VLAN (und auch Zeit...) kann ich gerade nicht viel Testen...


    Viele Grüße

    Tobi

    Ein generelles VLAN-Problem sollte es jedenfalls nicht sein. Ich schicke mehrmals pro Minute HTTPS-Request mit der Standard-MTU durchs VLAN. Allerdings ohne Docker.


    Kannst Du die MTU als Ursache auch bei einfachen ICMP-Paketen bestätigen? Oder tritt es nur bei anderen Protokollen auf?

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Ja, ich konnte das MTU-Problem per ping im Container nachstellen. Auf dem Host allerdings nicht - es scheint also wirklich irgendwie am Zusammenspiel zwischen Docker und VLAN zu liegen. Externe Dienste (direkt über die öffentliche NIC des VPS) waren problemlos erreichbar...