[freifunk-public] Netzausfall? Fehler: 'Diese Webseite ist nicht erreichbar'

[Ralf Jung]

Hi Marc,

> wir haben in anderen Netzen ähnliche Probleme, bei denen uns aufgefallen
> ist, dass IPSec Pakete fragmentiert wurden.
> 
> Bei uns lag es daran, dass einzelne Provider seit neuestem zu DDoS
> Zwecken den Traffic durch GRE Tunnel zu einem Drittanbieter umleiten,
> der den Traffic analysiert und forwarded.
> 
> Keiner unsere Router/Softwarelösungen hat die MTU richtig erkannt und
> somit 1500/1492 angenommen, da es von keiner Node ein entsprechendes
> Feedback gab, aber die VLANs in denen unser Traffic lief nochmal in GRE
> eingepackt wurden.
> 
> Vielleicht leidet ihr auch unter so etwas?

Wir haben die MTU immer statisch gesetzt -- Clients bekommen per DHCP/RA
die minimale MTU mitgeteilt (1280, das ist innerhalb aller Tunnel), auf
dem Server setzen wir sie von Hand auf 1406 (1492 - Tunneloverhead; das
ist glaube ich innerhalb von l2tp aber außerhalb von Batman).  Das ist
der fastd-Overhead, der da zu Grunde liegt; l2tp hat kleinere Header und
daher sollten wir da noch Luft nach oben haben.  Durch das Update vom
Tunneldigger wurde eine automatische MTU-Ermittlung aktiviert, die aber
offenbar inkorrekte Ergebnisse geliefert hat.

Ich habe ehrlich gesagt ziemlich aufgegeben, was die MTU angeht.  Ich
habe nichtmal gute Methoden, um das zu testen, und was genau Batman mit
der MTU macht weiß ich auch nicht.

Viele Grüße,
Ralf

> 
> Viele Grüße,
> Marc
> 
> On 01.11.17 12:11, Ralf Jung via freifunk-public wrote:
>> Die gute Nachricht:  Dank eines Hinweises auf <http://test-ipv6.com/>
>> habe ich jetzt eine starke Vermutung, was das Problem sein könnte.
>>
>> Die schlechte Nachricht: Es handelt sich um ein MTU-Problem... der neue
>> tunneldigger hat eine MTU-Autoerkennung, und die scheint nicht gut zu
>> funktionieren.
>>
>> Viele Grüße,
>> Ralf
>>
>> On 01.11.2017 09:29, Ralf Jung via freifunk-public wrote:
>>> Hallo nochmal,
>>>
>>> okay, ich glaube ich kann das Problem nachvollziehen.  GW3 ist
>>> schnarchlangsam.  Ich hatte neulich schon den Eindruck, dass die
>>> Traffickurve da sehr flach ist, sprich, dass wir Ratelimiting auf 50
>>> MBit/s im Uplink haben.  Aber aktuell sieht die Geschwindigkeit auf dem
>>> Server selbst gut aus:
>>>
>>>> Testing download speed........................................
>>>> Download: 206.84 Mbit/s
>>>> Testing upload speed..................................................
>>>> Upload: 81.42 Mbit/s
>>> Die Verbindung zum FFRL sieht auch gut aus.  Kann eigentlich nur sein,
>>> dass aktuell irgendwie die Verbindung zwischen der Telekom und OVH
>>> überlastet ist?
>>>
>>> Ich schalte GW3 mal vorübergehend ab.
>>>
>>> Viele Grüße,
>>> Ralf
>>>
>>> On 01.11.2017 09:14, Ralf Jung via freifunk-public wrote:
>>>> Hi,
>>>>
>>>>> kann es sein das das Freifunknetzwerk derzeit gestört ist?
>>>>> Sowohl bei mir zu Hause als auch hier unterwegs und auf Arbeit ist kein
>>>>> Netzwerkzugriff im Freifunk-Netzwerk möglich.
>>>> Seltsam.  Mein Knoten daheimn scheint prima zu funktionieren, und die
>>>> Gateways schieben gerade >120 MBit/s Traffic durch die Gegend:
>>>> <https://mgmt.saar.freifunk.net/grafana/dashboard/file/traffic.json?refresh=5m&orgId=1&panelId=5&fullscreen&var-gw=All>
>>>> Also, ganz tot kann das Netz nicht sein.
>>>>
>>>>> Die Geräte verbinden sich mit dem Router, WLAN-Kennung wird ausgesendet.
>>>>> Nur kann man derzeit keinerlei Seiten oder Dienste im Internet aufrufen.
>>>>>
>>>>> Der Fehler tritt hier seit mindestens gestern Abend auf.
>>>>> Der Fehler tritt hier bei mir mit verschiedensten Endgeräten
>>>>> (verschiedene Handys und Tablets) auf.
>>>>> Beim Aufrufen kommt nach langer Wartezeit ein Timeout '/Diese Webseite
>>>>> ist nicht erreichbar/',
>>>>> '/Bitte überprüfen Sie ihre Internetverbindung./'.
>>>>> Ein Routerneustart hilft nicht (hatte ich mehrfach versucht).
>>>>>
>>>>> Im Grafana steht bei unserem Offloader z. B. '/Kein Upllink/' obwohl er
>>>>> mit dem '/gw3.saar.freifunk.net/' über VPN verbunden ist.
>>>>> https://mgmt.saar.freifunk.net/hopglass/#!v:m;n:f4f26d5f03fc
>>>> Auf GW1 + GW3 testen wir aktuell einen neuen Tunneldigger.  Vielleicht
>>>> hat das was mit der Sache zu tun.  Allerdings macht GW3 >15 MBit/s
>>>> Traffic, irgendwas muss also klappen.
>>>>
>>>> Aktuell scheint es aber wieder zu gehen?  Ich kann deinen Knoten
>>>> zumindest von hier anpingen.
>>>>
>>>>> Traffic geht wenn man die Grafiken ansieht offenbar immer nur
>>>>> kurzzeitig, dann bricht es offenbar zusammen.
>>>>> Gestern hatte ich zeitweise auch den Eindruck, das das Netz geht,
>>>>> allerdings in gefühlt, Modemgeschwindigkeit, Seitenladen brach ständg
>>>>> ab, so das eine Sinnvolle Nutzung nicht mehr möglich war. Möglicherweise
>>>>> waren dies auch gecachte Daten.
>>>> Ich arbeite aktuell an einem Fix für
>>>> <https://github.com/wlanslovenija/tunneldigger/issues/57>.  Ich
>>>> versuche, den Einfluss der Entwicklung auf das Netz minimal zu halten,
>>>> aber manche Dinge kann ich nur mit vielen Clients testen -- daher kann
>>>> es immer mal wieder dazu kommen, dass manche Knoten neu verbinden, und
>>>> dass der Verbindungsaufbau etwas länger dauert als sonst.  Aber so
>>>> schlimm, wie du das beschrieben hast, sollte es nicht werden.
>>>>
>>>> Geht es denn jetzt wieder?  Sieht auf der Statistik so aus.  Hat sich
>>>> auf deiner Seite irgendwas geändert?  Allerdings hat calo-one-welcome
>>>> wohl keine direkten Uplink aktuell, sondern nur Mesh via calo-Bauhof.
>>>>
>>>>> Kann jemand den Fehler nachvollziehen?
>>>>> Oder ist das bei uns ein lokales Problem?
>>>> Das würde mich auch interessieren :)
>>>>
>>>> Viele Grüße,
>>>> Ralf
>>>>
> 
> 
> 
>