GRE-10MBit/s-Limit bei OVH

Ich weiß nicht, was ich davon halten soll, aber vielleicht ist der Artikel im hier diskutierten Kontext interessant.

Nein, ist er nicht. Das schrieb ich im Nicht-Duesseldorf-spezifischen Thread (im Eulenfunk) schon.
In diesem sollte es lediglich darum gehen, die lokalen Nutzenden von ffdus über das Problem zu informieren.

1 „Gefällt mir“

Auch auf unserem Gateway bei OVH läuft wieder alles in gewohnter Geschwindigkeit.
Ein Speedtest zeigte 110 MBit/s im Download an einem 120er UM Anschluss.

Hier eine Meldung desbezüglich mit Bezug auf OVH:

The hosting provider OVH continues to face massive DDoS attacks launched by a botnet composed at least of 150000 IoT devices.

(via Fefes Blog)

Könnt Ihr die Nicht-Düsseldorf-Bezüglichen Diskussionen bitte wahlweise im Eulenfunk-Thread oder im FFRL-GRE-Thread führen.
(Die meisten Freifunknutzenden in Düsseldorf wird es eher weniger interessieren. Wahlweise weil sie nie betroffen waren oder weil das Problem gelöst ist.)

OVH scheint gerade heftige DDoS-Probleme zu haben durch massive Attacken, sagt
.

Falls es nochmal zu Drosselungen kommt, ist das wohl der Hintergrund.

1 „Gefällt mir“

Gerade?
Das war aber doch schon vor 10 Tagen, zumindest wenn ich den Tweet von Octave Klaba richtig erinnere.

Geht ja auch aus seinem Link, den er davor gepostet hat, hervor, weshalb ich den Beitrag auch nicht ganz verstehe.

Oh, stimmt, ich hatte noch keinen Kaffee intuss. Sorry.

Auf die Gefahr hin, dass es vom Thema wegführt:
Da gibt es also etwas, bei dem es sich „lohnt“ es kaputt zu machen. (hier: unliebsame Webantebote von ‚Geschäftsgegnern‘)
Dafür wird ein großer Aufwand getrieben (hier: Botnetz aus exploiteten Webcams gebaut)

Bei den Dutzenden von Möglichkeiten, ein Freifunknetz zu dossen; zumal zu sehr geringen Kosten und wenig Chance auf Entdeckung oder gar langfristige Sperrung:

Man kann eigentlich nicht hoffen, dass wir im Freifunk -mit der bestehenden hier üblichen Infrastruktur- mal an ernsthafte politische oder gewerbliche GegnerInnen geraten.
(Bei dem was wir in der Geflüchtetenhilfe tun kann ich nur vermuten, dass die besorgten BürgerInnen wenig „Fähigkeiten am Gerät“ besitzen. Und irgendwelchen ‚staatlichen Akteuren‘ bereiten wir offensichtlich auch wenig Schmerzen. Sonst wären unsere Netze vermutlich schon längt ‚zufällig‘ gestört. Denn wir wissen ja: „the cyber is very important!“)

Will sagen: Wir werden früher oder später nicht drum herum kommen, auch unsere Infrastruktur zu härten.

5 „Gefällt mir“

Da mag jetzt der ein oder andere Gedanke nicht falsch sein, aber je richtiger, desto weniger würde ich es hier oder sonstwo schreiben. Mann muss ja die Leute mit wenig Fähigkeiten am Gerät nicht noch auf Ideen bringen :wink:

2 „Gefällt mir“

Offenes Netz und Hochsicherheitstrakt paßt halt nicht zusammen. Und ich brauche keine große Schulung, um durch Netzkopplung zweier »Domainen« jene zu beeinträchtigen. Wir zumindest filtern vorab nicht, d. h. jeder aufgesetzte Knoten hat sofort »VPN-Berechtigung« — jeder nur meschenden Knoten hat ja auch direkten Netzzugang. Netzstabilität steht und fällt somit auch mit den Fähigkeiten der lokalen Admins, solche Fehler a) zu erkennen und b) jene Knoten aus dem Netz auszuschließen. Dazu wären HowTos durchaus hilfreich, und auch, daß man diese im Bedarfsfall ergooglen kann — daß es der »Gegenseite« damit leicht gemacht wird, ist der Preis der Freiheit. Mit »GRE-10MBit/s-Limit bei OVH« hat das aber nichts mehr zu tun: split.

2 „Gefällt mir“

Um es nochmals zusammenzufassen:

Das Limit bei OVH bestand zunächst (ab ca. 08/2016, genaues Ticket wäre nochzu suchen) auf
„100MBit/s incoming GRE zu einer MAC von einer einzelnen externen IP“.

(Man möge mich korrigieren, wenn das Limit auf ‚zu einer IP‘ gerechnet gewesen sein sollte.)

Dieses Limit wurde am 26.09.2016 gegen 22h auf 10MBit’s reduziert.

Faktisch konnte so ein Node mit den üblichen 6 GRE-Tunneln zu den 3 FFRL-Standorten (BER-A/B, DUS-A/B, FRA-A/B) nur noch maximal 10MBit/s brutto incoming erhalten.
Je nach Glück also 9-27MBit/s netto, je nachdem ob IPv6 und IPv4 getrennt gelaufen sind und wie die preferred Routen standen und die Trafficverteilung 'unabhängig davon.)

Aus dem @pberndro Posting lese ich:
Das Whitelisting was das FFRL-Backbone-Team beim OVH-NOC innerhalb kürzester Zeit erreicht hat, hat die IP-Range des FFRL-Backbones in eie Whiteliste gesetzt, um nun „unlimited“ an die OVH-Standorte (Frankreich, oder auch Canada?) GRE senden zu können.

2 „Gefällt mir“

So richtig.

Ergänzend der link zum OVH Issue: Network & Infrastructure Status - FS#19534 — GRE protocol (tunnel)

Das 100er Limit galt wohl pro IP auf OVH Seite. Ob es möglich ist pro Blech n-mal 100MBit per failover IP zu schubsen habe ich nicht getestet, von einer FO-IP zu n-Zielen ging zumindest in Summe nicht mehr als 100MBit.

Beim 10er Limit ging dann sehr wohl von einer FO-IP zu n-Zielen n-mal 10MBit.

1 „Gefällt mir“

Ich habe das mit OVH nur am Rande mitbekommen. Sind automatisch alle FFRL-Tunnel von der Drosselung ausgenommen oder muss jede Community da nochmal bei OVH anfragen und die IP des gemieteten Servers freischalten lassen?

Alle sind frei, das ganze geht wohl nach FFRL IPs, also müssen die einzelnen Communities nichts tun.

Fortsetzung der Diskussion von [ffdus] Stand der Dinge 10/2016:

Da das keine Frage ist, die mit Düsseldorf/ffdus zu tun hat, habe ich das bereits in diesem „mit verknüpftem Thread antworten“ beantwortet und dort auf den richtigen Thread verwiesen.
Dort habe ich dann auch nochmal eine verständliche Zusammenfassung (aus meiner Sicht) gepostet heute morgen.

Fortsetzung der Diskussion von [ffdus] Stand der Dinge 10/2016:

Da das keine Frage ist, die mit Düsseldorf/ffdus zu tun hat, habe ich das bereits in diesem „mit verknüpftem Thread antworten“ beantwortet und dort auf den richtigen Thread verwiesen.
Dort habe ich dann auch nochmal eine verständliche Zusammenfassung (aus meiner Sicht) gepostet heute morgen.

Fortsetzung der Diskussion von [ffdus] Stand der Dinge 10/2016:

Ist in diesem Thread erläutert:

Hm, laut der Suchfunktion meines Browsers steht dort nichts zu GRE-Tunneln.

Dass die geddost werden, ist mir bekannt.

Ich meinte, was ihr da mit denen vereinbart habt, um die Drosselung von den GRE-Tunnel zu bekommen?