ipv6 routing defekt?

Hi @takt @thomasDOTwtf

kann es sein, das es mal wieder ein bissle trouble im Netz mit unserem AS gibt?

Auf v6 erreiche ich Heise nicht.

$ traceroute6 -n www.heise.de
traceroute to www.heise.de (2a02:2e0:3fe:1001:7777:772e:2:85), 30 hops max, 80 byte packets
1 2a03:2260:50:3f03::4 26.682 ms 27.023 ms 27.336 ms
2 2a03:2260:50:1::120 34.965 ms 35.266 ms 35.570 ms
3 2a03:2260:0:2b::1 38.700 ms 38.861 ms 40.943 ms
4 2a01:a700:48ac::1:1 41.032 ms 41.406 ms 45.060 ms
5 2a01:a700:4000::882 45.324 ms 46.319 ms 46.922 ms
6 2001:4ba0:92f3:4::9 48.108 ms 54.033 ms 55.588 ms
7 2001:1900:5:2:2::219 51.373 ms 53.341 ms 53.231 ms
8 2001:1900:5:1::211 53.167 ms 49.740 ms 49.932 ms
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *

Irgendwo hinter Level3 in Frankfurt ist schluss.
Vielleicht k├Ânntet ihr mal danach schauen?

Gru├č
Thomas

Moin,

die Pakete wurden durch einen unserer Upstreams geblackholed.
Ich habe gerade eben unser Prefix Announcement an diesen abgeschaltet.
Seitdem erreichen wir heise.de wieder problemlos.

VG
takt

2 Likes

20zeichen
Besten Dank

1 Like

Hi,

Hatte das gleiche Problem gestern, aber bei mir ist es noch nicht vollst├Ąndig gel├Âst. Ping geht jetzt aber ich bekomme immer noch keine HTTP response von diversen Webseiten (inkl. www.heise.de). Der Android-Browser sagt nach einiger Zeit nur net::ERR_CONNECTION_RESET oder net::ERR_SSL_PROTOCOL_ERROR wenn ich es ├╝ber HTTPS versuche. Manuell ├╝ber telnet kommt keine response wenn ich ein Request hin sende. Wenn ich ein ung├╝ltiges Request sende antwortet immerhin ein NGINX (keine Ahnung ob der von Heise) mit 400 Bad Request.

Hat da jemand ne Ahnung was da los sein k├Ânnte? Ich sitze im ffka.

Gr├╝├če
Michael

Betrifft dies ausschlie├člich IPv4 oder IPv6 oder beides?
Kannst du mal einen tcp traceroute durchf├╝hren und zeigen?

VG
takt

@takt: Scheint IPv4 und v6 zu betreffen. Hier der Output:

neo@mjolnir2:~$ nc -6 www.heise.de 80
GET / HTTP/1.1

HTTP/1.1 400 Bad Request
Server: nginx
Content-Type: text/html
Content-Length: 166
Accept-Ranges: bytes
Date: Wed, 07 Oct 2015 19:02:34 GMT
Age: 0
Connection: keep-alive

<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx</center>
</body>
</html>
^C
neo@mjolnir2:~$ nc -6 www.heise.de 80
GET / HTTP/1.1
HOST: www.heise.de


^C
neo@mjolnir2:~$ nc -4 www.heise.de 80
GET / HTTP/1.1
HOST: www.heise.de


^C
neo@mjolnir2:~$ traceroute www.heise.de
traceroute to www.heise.de (193.99.144.85), 30 hops max, 60 byte packets
 1  10.214.0.3 (10.214.0.3)  45.481 ms  45.487 ms  45.490 ms
 2  192.168.100.26 (192.168.100.26)  47.984 ms  47.995 ms  47.998 ms
 3  100.64.0.242 (100.64.0.242)  62.793 ms  62.797 ms  62.793 ms
 4  ve-843.bbr-dus-02.de.infra.rrbone.net (31.172.10.238)  72.613 ms  72.635 ms  77.547 ms
 5  TenGigE0-0-2-3-3050.bbr-dus-01.de.infra.rrbone.net (31.172.1.182)  81.739 ms  81.744 ms  81.741 ms
 6  89.163.229.245 (89.163.229.245)  83.850 ms  59.190 ms  59.162 ms
 7  ddf-b2-link.telia.net (213.248.81.57)  59.155 ms  60.540 ms  60.416 ms
 8  hbg-bb4-link.telia.net (213.155.135.94)  67.558 ms  71.406 ms hbg-bb4-link.telia.net (62.115.115.51)  75.031 ms
 9  hbg-b1-link.telia.net (213.155.135.85)  75.041 ms hbg-b1-link.telia.net (213.155.135.89)  75.011 ms  75.012 ms
10  80.150.168.161 (80.150.168.161)  80.517 ms  80.517 ms  89.694 ms
11  217.239.52.94 (217.239.52.94)  80.490 ms  83.733 ms  104.509 ms
12  217.243.218.222 (217.243.218.222)  69.133 ms  69.154 ms  66.531 ms
13  82.98.102.17 (82.98.102.17)  66.459 ms  64.427 ms  69.082 ms
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  212.19.61.13 (212.19.61.13)  66.944 ms !X * *

IPv6 scheint ja zu funktionieren.

Von der Supernode albufer0 funktioniert es soweit auch:

root@albufer0 ~ # nc -s 185.66.194.9 heise.de 80

GET / HTTP/1.1

HTTP/1.1 400 Bad Request
Date: Wed, 07 Oct 2015 20:03:53 GMT
Server: Apache
X-Cobbler: servo65.heise.de
X-Pect: The Spanish Inquisition
X-Clacks-Overhead: GNU Terry Pratchett

Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
</body></html>

Der traceroute dazu:

root@albufer0 ~ # traceroute -T -s 185.66.194.9 heise.de
traceroute to heise.de (193.99.144.80), 30 hops max, 60 byte packets
 1  192.168.100.26 (192.168.100.26)  0.667 ms  0.719 ms  0.779 ms
 2  100.64.0.242 (100.64.0.242)  17.909 ms  17.945 ms  18.084 ms
 3  ve-843.bbr-dus-02.de.infra.rrbone.net (31.172.10.238)  27.441 ms  27.624 ms  27.713 ms
 4  TenGigE0-0-2-3-3050.bbr-dus-01.de.infra.rrbone.net (31.172.1.182)  28.266 ms  28.489 ms  28.455 ms
 5  89.163.229.245 (89.163.229.245)  27.842 ms  27.993 ms  27.749 ms
 6  ddf-b2-link.telia.net (213.248.81.57)  27.458 ms  27.694 ms  27.533 ms
 7  hbg-bb4-link.telia.net (213.155.135.94)  33.744 ms  32.341 ms  32.348 ms
 8  hbg-b1-link.telia.net (213.155.135.89)  32.273 ms  32.989 ms hbg-b1-link.telia.net (80.91.249.201)  33.209 ms
 9  80.150.168.161 (80.150.168.161)  38.557 ms  38.590 ms  38.391 ms
10  217.239.52.114 (217.239.52.114)  35.855 ms  35.478 ms  35.564 ms
11  217.243.218.222 (217.243.218.222)  32.805 ms  30.217 ms  30.343 ms
12  82.98.102.17 (82.98.102.17)  30.390 ms  32.549 ms  32.471 ms
13  212.19.61.13 (212.19.61.13)  32.389 ms  29.403 ms  29.612 ms
14  redirector.heise.de (193.99.144.80)  29.668 ms  30.239 ms  30.351 ms

Ich sch├Ątze das Problem liegt irgendwo im Albufer. @synpusep sollte sich das vielleicht mal ansehen!?

VG
takt

Momentan bricht uns in Aachen das IPv6 und IPv4 Routing ├╝ber alle vier Supernodes zu allen drei Exit Nodes immer wieder f├╝r einige Minuten komplett weg.

Es kommt einiges an Bird Ank├╝ndigungen rein.

@takt: heise.de ohne www funktioniert bei mir auch. Das ist nur nicht so hilfreich weil man von dem nur einen Redirect auf www.heise.de bekommt wo der eigentliche Content liegt. Schau also bitte mal nach ob www.heise.de auch tut.

Also ich kenn mich da ja nicht so super aus wenn es um gro├če Netzwerke geht, aber wie h├Ąngt das ├╝berhaupt mit dem Routing zusammen? IP-Pakete scheinen ja grunds├Ątzlich anzukommen (ping tut, netcat schafft es eine TCP-Verbindung aufzubauen). An welcher Stelle kann es ├╝berhaupt so kaputt gehen, dass Webseiten die von meinem normalen Netzzugang funktionieren auf HTTP-Ebene kaputt sind wenn ich ├╝ber Freifunk darauf zugreife? Gibt es da irgendwelche transparenten Proxies oder so?

Wir haben bei manchen IPv6-Verbindungen Probleme, wenn man sie ├╝bers Mesh aufruft. Sprich: heise.de oder packages.debian.org laden nicht - l├Ądt man diese Seiten dagegen direkt auf dem Gateway, der mit FFRL peert, funktionierts ohne Probleme.
Und irgendwie bin ich gerade ├╝berfragt, wodrann das liegen k├Ânnte.
Als MTU kommt bei uns zwischen Routern und Supernodes 1312 zum Einsatz, ebenso zwischen den Supernodes. Die Tunnel zu FFRL laufen auf 1400.

vg

Hi Bjoern,
ich denke ihr habt definitiv ein MTU-Problem.
Wir (albufer) fahren folgende Framesizes:
supernode-ffrl: 1476
fastd: 1406
Den Clients geben wir mit dhcpd und radvd eine MTU von 1378 mit.
Die 28 byte braucht batman, sonst faengt er an zu fragmentieren.
Und diese Fragmentierung scheint irgendwie in einigen Versionen kaputt zu sein.

Bei eurem Setup muesstet ihr den Clients 1284 mitgeben.
Probierts mal aus.
BTW: 1280 ist aber auch schon die kleinstmoegliche MTU fuer IPv6, ihr seit da schon recht nah dran.

gr

Hmm, nehmen jene dieses Geschenk auch an? In lokalen Tests haben nur Linux-Laptops dies akzeptiert; Android- wie Windows-Smarthphones und -Tablets haben diese DHCP-Option stumpf ignoriert :frowning:

@synpusep

Danke f├╝r deine Hinweise!

supernode-ffrl ist euer Tunnelinterface zu FFRL?

ja, mit supernodeÔÇôffrl meine ich den GRE Tunnel zu den backbone kisten.

Nur zur Info: Bei mir sind die Probleme mittlerweile weitgehend behoben ohne dass ich selbst was an meiner Konfiguration ge├Ąndert habe. Danach habe ich die Beta eingespielt, das funktioniert auch fast immer ohne Probleme.

Das Problem scheint nicht der Fragmentierungs Code von Batman zu sein.

Leider h├Ârt die Spur mit dem Hinweis auf OpenWrt dort auf.