Unitymedia Kann keine externen IPs anpingen

[LilaQ]

Hallo zusammen,

mir ist vorhin aufgefallen (relativ spät ehrlich gesagt), dass ich keine externen IPs anpingen kann, ... irgendwie. Meine bisherige Vermutung nach Einkreisen des Problems liegt an der Connect Box.

Getestet wurde auf verschiedenen OS (Windows, OSX, Linux), über sowohl Kabel, als auch WLAN.

Ich habe ein doppeltes NAT bei mir, also Connect Box am Kabel, von dort ein Kabel zum Router, der Router verteilt dann die Kabel an den Rest. Portweiterleitungen, DynDNS etc. funktioniert alles ohne Probleme, nur anscheinend keine ICMP Anfrage ... irgendwie.

Das "irgendwie" ist darin begründet, dass ich bspw. google.com anpingen und auch tracerouten kann, aber meine eigene public IP / DynDNS bspw. nicht, dort bekomme ich immer request timeouts, bzw. sehe nur den ersten hop bis zum Router. Ergo müssten ICMP Anfragen ja doch durchgehen - nur frage ich mich dann warum es nur bei bestimmten IPs / URLs funktioniert. Eine IPv6 habe ich wohl nicht extern, nur eine IPv4 wenn ich mich nicht irre. Achja, dasselbe Phänomen tritt auch bei ping6 auf.

Auf der Connect Box selbst kann ich meine externe IP anpingen, ohne Probleme. Auf dem Router hingegen dasselbe Ergebnis wie an den Rechnern. (Jeweils über das WebInterface, wo ping als Tool angeboten wird)

Probier ich das ganze mit einer VPN, oder über das Mobilfunknetz, klappt es mit dem anpingen / tracerouten problemlos.

Wenn hier jemand noch eine Idee und / oder Erklärung hat, dann wäre ich sehr dankbar, da ich auf die Tools doch schon öfter mal angewiesen bin.

Besten Dank
LilaQ

 

[MartinDJR]

sehe nur den ersten hop bis zum Router.

Sollte die ConnectBox ICMP-Pakete von Außen blocken, wäre dieses Verhalten normal:

Bei einem Traceroute würde die ConnectBox ihr eigenes ICMP-Paket natürlich abschicken, ohne dass es durch die Firewall muss. Die ICMP-Pakete, die von den späteren Routern kommen, würden hingegen in der Firewall hängen bleiben.

Eine IPv6 habe ich wohl nicht extern, nur eine IPv4 ...

Was für einen Vertrag hast du? (Und ggf. seit wann?)

 

[Andreas1969]

Sollte die ConnectBox ICMP-Pakete von Außen blocken, wäre dieses Verhalten normal

Ich hab zwar keine Connectbox mehr, aber ich meine, das wäre damals so gewesen, daß die die ICMP Pakete von aussen blockt.

 

[MartinP_Do]

... daß die die ICMP Pakete von aussen blockt.

Nur zum Besten der Kunden, und nicht um zu verbergen, welche "exotischen" Routings dazu führen, dass das Internet sich trotz Vertrag >= 100 MBit/s "lahm" anfühlt ...

 

[tq1199]

... ich bspw. google.com anpingen und auch tracerouten kann, ...

.... Auf dem Router hingegen dasselbe Ergebnis wie an den Rechnern. (Jeweils über das WebInterface, wo ping als Tool angeboten wird)

Probier ich das ganze ... über das Mobilfunknetz, klappt es mit dem anpingen / tracerouten problemlos.

Der Titel deines Threads ist falsch. Das einzige was Du lt. deiner Beischreibung nicht pingen kannst, ist die WAN-IP-Adresse (externe/öffentliche IP-Adresse) deiner CB, und das nur von intern (d. h. aus deinem W/LAN) nicht. Nach extern und von extern geht es aber (... siehe google.com und Mobilfunknetz).

 

[LilaQ]

Der Titel deines Threads ist falsch. Das einzige was Du lt. deiner Beischreibung nicht pingen kannst, ist die WAN-IP-Adresse (externe/öffentliche IP-Adresse) deiner CB, und das nur von intern (d. h. aus deinem W/LAN) nicht. Nach extern und von extern geht es aber (... siehe google.com und Mobilfunknetz).

Nein, nein, der Titel ist nicht falsch, es geht nicht nur um meine WAN-Adresse. Ich kann auch diverse andere Hosts, die definitiv online sind, nicht anpingen. Dies fiel mir auf nachdem ich einen Range-Scan per Angry IP Scanner auf unseren Servern der Firma durchgeführt habe, und alle als offline angezeigt wurden.

Was für einen Vertrag hast du? (Und ggf. seit wann?)

Play 2 400, oder wie es sich mittlerweile schimpft. Leistungsmäßig ist alles super, habe einen Durchsatz von bis zu 520 Mbit/s.
Aber es kann doch nicht sein dass man den Kunden die kompletten Tools die per ICMP funktionieren verwehrt?! Da ließe sich ja bspw. keinerlei Pentesting mehr darüber betreiben.

Edit:

Achja, die Firewall auf der CB habe ich testweise mal komplett deaktiviert, hat sich jedoch auch nichts weiter dran geändert.

 

[tq1199]

Nein, nein, der Titel ist nicht falsch, es geht nicht nur um meine WAN-Adresse. Ich kann auch diverse andere Hosts, die definitiv online sind, nicht anpingen. Dies fiel mir auf nachdem ich einen Range-Scan per Angry IP Scanner auf unseren Servern der Firma durchgeführt habe, und alle als offline angezeigt wurden.

Naja, dann hast Du bis jetzt dein "Problem" nicht richtig beschrieben. Um welche Hosts geht es? Wo befinden sich die Hosts? Von wo aus versuchst Du dieses Hosts zu pingen? Aus dem LAN oder aus dem Internet, mit deren interner oder externer IP-Adresse?

 

[LilaQ]

Ich meinte schon externe IP Adressen, Adressen die beispielsweise per VPN anpingbar sind oder per Web-Ping. IP-Adressen, die für mich lokal per ping wieder timeouten. Bei manchen geh es ja (google.de, etc), aber ich will nicht in Zukunft mich immer fragen müssen, ob der host jetzt wirklich down ist, oder ob einfach nur mein set-up hier wieder quark macht.

Hab gestern zum testen diverse IPs ausprobiert, um das ganze zu testen, wild aus belegten IP-Ranges rausgenommen, immer wieder dasselbe Phänomen. Kann später aber gerne mal Beispiele raussuchen, die Logs sind noch offen.

 

[tq1199]

Kann später aber gerne mal Beispiele raussuchen, ...

Ja, poste mal die Beispiele.

 

[karlheupel]

Habe ein ähnliches Problem:

Iracing.com
PING 34.224.104.8 (34.224.104.8): 64 data bytes

--- 34.224.104.8 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss

Sony.com
PING 54.144.253.202 (54.144.253.202): 64 data bytes

--- 54.144.253.202 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss


dagegen:
amazon.com oder auch google.com
PING 54.239.28.85 (54.239.28.85): 64 data bytes
72 bytes from 54.239.28.85: seq=0 ttl=232 time=163.157 ms
72 bytes from 54.239.28.85: seq=1 ttl=232 time=162.404 ms
72 bytes from 54.239.28.85: seq=2 ttl=232 time=162.733 ms

--- 54.239.28.85 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 162.404/162.764/163.157 ms


Sowohl iracing.com al auch sony.com sind aber up and running. Im browser komme ich drauf.
Iracing.com liefert mir in game bei guter latency aber relativ schlechte Verbindungsqualität mit Package loss

 

[Nachtwesen]

Das ist völlig normal. Nicht jeder Server antwortet auf Pings, das kann der Admin so einstellen. Hier gibt es absolut kein Problem.

 

[addicted]

@Nachtwesen hat in jedem Fall recht, nicht jeder Server antwortet auf ICMP-Pings. Mit einem ordentlichen Traceroute-Tool kannst Du z.B. auch TCP-Pakete auf Port 80/443 senden, dann würdest Du bei den anderen auch etwas sehen:

mtr -c5 -rnw -TP 80 iracing.com

Der Webserver für iracing.com liegt übrigens in der Amazon-Cloud, daher ist amazon.com tatsächlich kein schlechter Vergleich.
Aber: Eigentlich willst Du ja wissen, weshalb/ob die Verbindung zu den Gameservern schlecht ist. Dazu müsstest Du erst einmal herausfinden, wo die laufen. Also IP-Adressen von diesen Servern.
Es ist natürlich naheliegend, dass die beim gleichen Hoster zu finden sind, also kann man natürlich erstmal die Webseite als Ersatz nehmen, wenn man gar keine andere Handhabe hat, die IP-Adressen zu ermitteln.




Eine Sache ist mir auch noch aufgefallen:

PING 54.239.28.85 (54.239.28.85): 64 data bytes
72 bytes from 54.239.28.85: seq=0 ttl=232 time=163.157 ms
72 bytes from 54.239.28.85: seq=1 ttl=232 time=162.404 ms
72 bytes from 54.239.28.85: seq=2 ttl=232 time=162.733 ms
--- 54.239.28.85 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 162.404/162.764/163.157 ms

Das kommt mir komisch vor. Wenn ich diese IP anpinge, sehe ich 50ms weniger Latenz, obwohl ich 3 Hops mehr habe (ttl=229).
Da ich aber kein Kabelkunde bin, habe ich ein ganz anderes Routing. Vielleicht kann Nachtwesen (oder jemand anders) für diese IP mal testen, ob die Latenz wirklich so aussehen muss.

 

[lupus]

Pinging 54.239.28.85 with 32 bytes of data:
Reply from 54.239.28.85: bytes=32 time=159ms TTL=231
Reply from 54.239.28.85: bytes=32 time=161ms TTL=231
Reply from 54.239.28.85: bytes=32 time=175ms TTL=231
Reply from 54.239.28.85: bytes=32 time=157ms TTL=231

Scheint wohl echt so hoch zu sein. Jedenfalls nix zum zocken dieser Server dann im Kabel

 

[Dragon]

Wenn das eine IP von Amazon.com ist, könnte es sich um Anycast mit verschiedenen US-Standorten handeln. Das kann man dann schlecht vergleichen.

 

[addicted]

@Dragon
Das stimmt. Das Routing (und damit mögliche Fehlerbereiche für Packetloss) sollte sich aber für viele Kunden desselben ISP nicht markant unterscheiden.
Natürlich wäre es sinnvoll, die tatsächlichen Gameserver zu testen. Ich zweifle aber daran, dass der TE diese ermitteln können wird.

 

[boba]

Die 52.93.28.86 liegt in den USA. Das ergibt allein durch die lange Leitung eine Latenz von mindestens 100 ms. An der Ostküste sind es mindestens 100 ms mehr als bei europäischen Servern, an der Westküste entsprechend nochmal 30-50 ms mehr. Das passt also schon mit den 150-170 ms. Deshalb sollte man als Gamer möglichst europäische Server wählen, wenn es um action-orientierte PvP-Spiele geht. Auf US Servern hat man als Europäer wegen der Latenz grundsätzlich immer einen Nachteil, das sich um nichts in der Welt verbessern lässt außer mit einer Verlegung des Wohnortes in die USA.