Unitymedia Neue Routingerscheinungen

[Edding]

korrekt...

hab mich aber oben falsch ausgedrückt, es ist richtig das Versuche mit Port 80 und 443, zu 9.9.9.9 nicht durchgeht.
Lediglich zu 1.1.1.1 sollten alle drei durchgehen.

Das geht aber halt nur bei dem IPV6 DNS Eintrag. (one.one.one.one / 2606:4700:4700::1001 und 2606:4700:4700::1111)
Namensauflösung klappt

pi@rpi:~ $ host one.one.one.one
one.one.one.one has address 1.1.1.1
one.one.one.one has address 1.0.0.1
one.one.one.one has IPv6 address 2606:4700:4700::1111
one.one.one.one has IPv6 address 2606:4700:4700::1001

tracert -6 one.one.one.one
Routenverfolgung zu one.one.one.one [2606:4700:4700::1001]
über maximal 30 Hops: 1 <1 ms <1 ms <1 ms 2a02:XXX:XXX:XXXX::1 2 13 ms 21 ms 8 ms 2a02:XXX:XXX:X::1 3 10 ms 8 ms 11 ms 1413g-mx960-02-ae10-2410.dui.unity-media.net [2a02:XXX:X:XXX::1] 4 14 ms 11 ms 14 ms 13noc-mx960-01.krp.unity-media.net [2a02:XXX::X:1] 5 14 ms 13 ms 14 ms de-fra04d-rc1-lo0-0.v6.aorta.net [2001:730:2d00::5474:8015] 6 13 ms 12 ms 11 ms one.one.one.one [2606:4700:4700::1001]

tracert 1.1.1.1
Routenverfolgung zu one.one.one.one [1.1.1.1]
über maximal 30 Hops: 1 <1 ms <1 ms <1 ms unifi.local [10.10.1.1] 2 * * * Zeitüberschreitung der Anforderung. 3 * * * Zeitüberschreitung der Anforderung. 4 * * * Zeitüberschreitung der Anforderung. 5 * * * Zeitüberschreitung der Anforderung. 6 * * * Zeitüberschreitung der Anforderung. 7 *

Was für eine Hardware setzt du in deinem netzwerk ein ?
Könnte sein das du ein DS-LITE anschluss hast und das können die Unifis afaik nicht.

 

[Althir81]

Hey, nein hab Dual Stack.

mit einer 6591 im Bridgemodus dahinter eine UDM Pro mit AP‘s

z.b. zu Google’s DNS Server klappt alles. Ping, tracert, Port check (53) sowohl über ipv4 als auch ipv6.

Mit namensauflösung und auch ohne, mit direkter addresse.

Baue ich per WireGuard einen VPN zur Firma auf. Geht die Anfragen an Cloudflare an diesem Client.

 

[Althir81]

Für mich ist in meiner Region das Routing von VF, irgendwie fürn „popo“ Bzw. defekt.

über ipv6 klappt inzwischen der 2606:4700:4700::1111 und ::1001

somit ist das ipv4 routing irgendwie defekt

 

[Edding]

Hey, nein hab Dual Stack.

mit einer 6591 im Bridgemodus dahinter eine UDM Pro mit AP‘s

z.b. zu Google’s DNS Server klappt alles. Ping, tracert, Port check (53) sowohl über ipv4 als auch ipv6.

Mit namensauflösung und auch ohne, mit direkter addresse.

Baue ich per WireGuard einen VPN zur Firma auf. Geht die Anfragen an Cloudflare an diesem Client.

Haste das mal überprüft in der Fritzbox ? die stellen einem auch gerne mal wieder auf DS-LITE um
prüfe auch mal ob du in deiner unifi überhaupt eine öffentliche v4 adresse noch hast

 

[Althir81]

Haste das mal überprüft in der Fritzbox ? die stellen einem auch gerne mal wieder auf DS-LITE um
prüfe auch mal ob du in deiner unifi überhaupt eine öffentliche v4 adresse noch hast

Nein, bin weiterhin mit DUAL Stack unterwegs, es funktionieren ja Anfragen an andere DNS Server wie von Google oder QUAD9 (IPv4 und IPv6) lediglich Cloudflare über IPv4 nicht.

 

[Edding]

Nein, bin weiterhin mit DUAL Stack unterwegs, es funktionieren ja Anfragen an andere DNS Server wie von Google oder QUAD9 (IPv4 und IPv6) lediglich Cloudflare über IPv4 nicht.

poste bitte noch mal traceroutes zu 8.8.8.8 und 9.9.9.9

 

[Althir81]

tracert 8.8.8.8
Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops: 1 <1 ms <1 ms <1 ms unifi.local [10.10.1.1] 2 * * * Zeitüberschreitung der Anforderung. 3 17 ms 10 ms 7 ms de-aha01a-cr01-te-1-2-0-1410.aha.unity-media.net [81.XXX.XXX.XXX] 4 13 ms 18 ms 16 ms de-krp01a-rd01-ae-0-0.aorta.net [84.116.196.5] 5 12 ms 22 ms 11 ms de-fra04d-rc1-ae-49-0.aorta.net [84.116.196.46] 6 * * * Zeitüberschreitung der Anforderung. 7 18 ms 16 ms 15 ms 74.125.32.52 8 17 ms 16 ms 15 ms 108.170.236.173 9 17 ms 17 ms 14 ms 142.250.234.19
10 14 ms 16 ms 15 ms dns.google [8.8.8.8]

tracert 9.9.9.9
Routenverfolgung zu dns9.quad9.net [9.9.9.9]
über maximal 30 Hops: 1 <1 ms <1 ms <1 ms unifi.local [10.10.1.1] 2 * * * Zeitüberschreitung der Anforderung. 3 11 ms 8 ms 7 ms de-aha01a-cr01-te-1-2-0-1410.aha.unity-media.net [81.XXX.XXX.XXX] 4 14 ms 12 ms 13 ms de-krp01a-rd01-ae-0-0.aorta.net [84.116.196.5] 5 12 ms 15 ms 19 ms de-fra04d-rc1-ae-49-0.aorta.net [84.116.196.46] 6 15 ms 13 ms 14 ms 84.116.190.94 7 25 ms 16 ms 13 ms ipv4.de-cix.fra.de.as42.pch.net [80.81.194.42] 8 11 ms 12 ms 13 ms dns9.quad9.net [9.9.9.9]

gern...

um es zu verdeutlichen, folgende Anfragen funktionieren.

pi@rpi:~ $ nc -4 -zv 8.8.8.8 53
Connection to 8.8.8.8 53 port [tcp/domain] succeeded!
pi@rpi:~ $ nc -4 -zv 9.9.9.9 53
Connection to 9.9.9.9 53 port [tcp/domain] succeeded!
pi@rpi:~ $ nc -6 -zv one.one.one.one 53
Connection to one.one.one.one 53 port [tcp/domain] succeeded!
pi@rpi:~ $ nc -6 -zv 2001:4860:4860::8888 53
Connection to 2001:4860:4860::8888 53 port [tcp/domain] succeeded!
pi@rpi:~ $ nc -6 -zv 2620:fe::fe 53
Connection to 2620:fe::fe 53 port [tcp/domain] succeeded!

nc -4 -zv 1.1.1.1 53 und
nc -4 -zv 1.0.0.1 53 laufen nicht durch, bleibt einfach schwarz bis ich abbreche ... (5 mins, länger hab ich noch nicht gewartet)

 

[tq1199]

nc -4 -zv 1.1.1.1 53 und
nc -4 -zv 1.0.0.1 53 laufen nicht durch, bleibt einfach schwarz bis ich abbreche ... (5 mins, länger hab ich noch nicht gewartet)

So lange musst Du nicht warten. Mit nc kannst Du auch ein timeout setzen (z. B. mit "-w"):

:~$ nc -4 -zv -w 10 1.0.0.1 54
nc: connect to 1.0.0.1 port 54 (tcp) timed out: Operation now in progress

nc 3975 YY 3u IPv4 30668 0t0 TCP 192.168.178.22:59972->1.0.0.1:54 (SYN_SENT)

 

[Althir81]

So lange musst Du nicht warten. Mit nc kannst Du auch ein timeout setzen (z. B. mit "-w"):

:~$ nc -4 -zv -w 10 1.0.0.1 54
nc: connect to 1.0.0.1 port 54 (tcp) timed out: Operation now in progress

nc 3975 YY 3u IPv4 30668 0t0 TCP 192.168.178.22:59972->1.0.0.1:54 (SYN_SENT)

ah cool, etwas dazu gelernt

Ergebnis:

nc -4 -zv -w 10 1.0.0.1 53
nc: connect to 1.0.0.1 port 53 (tcp) timed out: Operation now in progress
nc -4 -zv -w 10 1.1.1.1 53
nc: connect to 1.1.1.1 port 53 (tcp) timed out: Operation now in progress

nc -6 -zv one.one.one.one 53
Connection to one.one.one.one 53 port [tcp/domain] succeeded!


PS: Inzwischen hat Vodafone dazu ein Störungsticket eröffnet, ich bin mal gespannt

 

[Althir81]

ah cool, etwas dazu gelernt

Ergebnis:

nc -4 -zv -w 10 1.0.0.1 53
nc: connect to 1.0.0.1 port 53 (tcp) timed out: Operation now in progress
nc -4 -zv -w 10 1.1.1.1 53
nc: connect to 1.1.1.1 port 53 (tcp) timed out: Operation now in progress

nc -6 -zv one.one.one.one 53
Connection to one.one.one.one 53 port [tcp/domain] succeeded!


PS: Inzwischen hat Vodafone dazu ein Störungsticket eröffnet, ich bin mal gespannt

Update: Laut Vodafone liegt kein Problem vor... Weshalb ich nun meine UDM Pro vermutete, und siehe per SSH auf der UDMP geht der Ping zu 1.1.1.1 und 1.0.0.1 durch....
Bin nun mit dem UniFi Support in kontakt...

 

[shm0]

Wie sieht denn die Routing Tabelle für IPv4 aus?

Ah moment...
also udp/tcp Port 53 geht zu 8.8.8.8/9.9.9.9
Aber zu 1.1.1.1 nicht? Aber icmp zu 1.1.1.1 funktioniert?

 

[Althir81]

Wie sieht denn die Routing Tabelle für IPv4 aus?

Ah moment...
also udp/tcp Port 53 geht zu 8.8.8.8/9.9.9.9
Aber zu 1.1.1.1 nicht? Aber icmp zu 1.1.1.1 funktioniert?

Hi,

es war die UDMP, zusammen mit deren Support hab ich den Fehler gefunden. Obwohl deaktiviert, war der GeoIP Filter für Australien auf dem Gateway noch aktiv.
Dann gehört 1.1.1.1 / 1.0.0.1 (IPv4) wohl zu Australien die IPv6 Adressen aber nicht ;-)

Kurzgefasst: Port 53 ging zu IPv6 von allen Clients (alle VLANs) und IPv4 Port 53 ging nur im Terminal direkt auf der UDMP.
Wie auch immer da der GeoIP Filter für Australien zwischen gefunkt hat.

Gruß
Oliver

 

[tq1199]

Dann gehört 1.1.1.1 / 1.0.0.1 (IPv4) wohl zu Australien ...

Ja.

:~$ whois 1.1.1.1 | grep address
address: PO Box 3646
address: South Brisbane, QLD 4101
address: Australia
address: 6 Cordelia St
address: PO Box 3646
address: South Brisbane, QLD 4101
address: Australia
address: PO Box 3646
address: South Brisbane, QLD 4101
address: Australia

 

[maffle]

Und wieder grad weg für 2 Minuten ich liebe es.

 

[articfox]

Die Box hat sich zwar nicht neu verbunden aber ich konnte keine Seiten öffnen.

 

[why_]

Wäre cool wenn die mal sagen würden was die da eigentlich machen.

 

[floh667]

waren 7 minuten ^^
und pünktlich zu groß angelegten wartungsarbeiten wieder https://forum.vodafone.de/t5/Eilmel...-aufgrund-von-Wartungsarbeiten-28/m-p/2730581

ich tippe eifnach, dass da größere regionen schlagartig online kommen (viele tausend modems die vom DHCP plötzlich ne IP einfordern) und das routing einfach lahmgelegt wird.

 

[why_]

waren 7 minuten ^^
und pünktlich zu groß angelegten wartungsarbeiten wieder https://forum.vodafone.de/t5/Eilmeldungen/Kabel-Ankündigung-Ausfall-aufgrund-von-Wartungsarbeiten-28/m-p/2730581

Die sind für morgen angekündigt bzw. auch nur Regional

ich tippe eifnach, dass da größere regionen schlagartig online kommen (viele tausend modems die vom DHCP plötzlich ne IP einfordern) und das routing einfach lahmgelegt wird.

das kann ausgeschlossen werden

 

[maffle]

Die sind für morgen angekündigt bzw. auch nur Regional

Wo ist das morgen? Und wieso sollte das ausgeschlossen sein. Ist die selbe Begründung die ich oben schon mal hatte, dass es zu einem "ddos" Effekt kommt bzw eine Kaskade oder neustarts von wichtigen Routern im Netz

 

[why_]

Wo ist das morgen? Und wieso sollte das ausgeschlossen sein. Ist die selbe Begründung die ich oben schon mal hatte, dass es zu einem "ddos" Effekt kommt bzw eine Kaskade oder neustarts von wichtigen Routern im Netz

Ok die unkonkreten sind einfach 4 Tage am Stück aber die konkreten sind für mittlerweile heute Mittag.


Das Wartungsarbeiten an der DOCSIS Infrastruktur nichts mit dem Kernnetz zu tun hat ist aufbaubedingt, da wo schon nichts funktioniert sind die routen so stark aggregiert das da einfach ganze Subnetze abgebildet sind und das ist dem Router ziemlich egal ob da jetzt ein DHCP irgendwo zig ebenen entfernt IPs verteilt oder nicht.

Wenn du bei dir im LAN 100k IPv6 Adressen auf einen schlag verteilst juckt das dein Segment ja auch nicht, es bekommt davon ja nichtmal was mit.

 

[floh667]

und das sind allesamt große städte. wenn die schlagartig online gehen, dann legt das sicherlich das routing lahm. bisher waren diese nächtlichen aussetzer immer dann, wenn solche großflächigen nächtlichen wartungsarbeiten in anschlussregionen stattfanden. Kann mir durchaus vorstellen, dass es nen ddos effekt hat wie maffle das schon sagte

 

[why_]

und das sind allesamt große städte. wenn die schlagartig online gehen, dann legt das sicherlich das routing lahm. bisher waren diese nächtlichen aussetzer immer dann, wenn solche großflächigen nächtlichen wartungsarbeiten in anschlussregionen stattfanden

Wie gesagt ich halte das für komplett Ausgeschlossen, solange Vodafone die Info nicht rausgibt werden wir es aber eh nie erfahren.

 

[maffle]

Ich bleib bei meiner Theorie, dass da irgendwo was neugestartet wird im Kernnetz, irgend ein Config-Server oder wie auch immer, der damit zu tun hat. Vielleicht muss der rebooted werden wenn ein neuer lokaler DOCSIS Server ans Netz geht.

Gibt es irgend ne Info wie lange diese "Wartungsarbeiten" die mit dem Problem zutun haben noch andauern? Das geht ja jetzt schon über Monate so. Irgendwann muss das ja abgeschlossen sein. Wartungsarbeiten gibt es immer, aber der Umbau des UM Netzes muss ja irgendwann fertig sein.

 

[floh667]

Wie gesagt ich halte das für komplett Ausgeschlossen, solange Vodafone die Info nicht rausgibt werden wir es aber eh nie erfahren.

es hat aber jedenfalls etwas mit diesen großflächigen wartungen zu tun, da es immer dann passiert wenn diese auch stattfinden.

 

[why_]

es hat aber jedenfalls etwas mit diesen großflächigen wartungen zu tun, da es immer dann passiert wenn diese auch stattfinden.

Dem Stimme ich soweit zu das Vodafone wohl das angekündigte Wartungsfenster auch für arbeiten am Backbone nutzt, da von den Backbone arbeiten auch die Glasfaser Enterprise Leitungen betroffen sind würde mich interessieren ob die Kunden davon mehr Informationen erhalten haben als wir DOCSIS Pöbel.