Re: [Freifunk_info] Geblocktes IPv6 zu VPN01

11 Apr 2018

      Sollte seit heute Mittag oder so wieder gehen. $Jemand hat die Route
mit /48 statt /52 in die Telekom-Datenhalde eingetragen, damit war sie
nicht genauer als unsere Route, und da das Gerät bei jedem Boot die
Config neu bekommt, war sie beim letzten Update wieder weg... Mal
wieder wurde versprochen, das in der zentralen Datenhalde zu
korrigieren - ich würde schätzen, wir reden in ungefähr einem Jahr
wieder über dieses Thema.
Carsten
Am Mon, 9 Apr 2018 21:55:33 +0200
schrieb Carsten Weber via Freifunk_info
freifunk_info@freifunk-vogtland.net:
...
Momentane Arbeitshypothese, der letzte Pfost... ääääh Mitarbeiter der
Telekom, der auf dem Gerät gearbeitet hat (vor ziemlich genau einem
Jahr, als die Route schon mal plötzlich gefehlt hat), hat vergessen,
die Konfiguration zu speichern, und am 29.3. gabs einen Reboot wegen
Update. Ist aber scheinbar ein Problem, die Route einfach wieder
hinzuzufügen, ich werde morgen nochmal dazu angerufen. Wie im
schlechten Witzfilm...
Carsten
Am Fri, 6 Apr 2018 19:12:47 +0200
schrieb Carsten Weber via Freifunk_info
freifunk_info@freifunk-vogtland.net:
...
Hi,
da hat offenbar die Telekom ungefragt auf ihrem lasthop Router mit
zwei linken Daumen an der Routingtabelle geschraubt, der Traffic
folgt der ungenaueren Route zu unserem eigenen Router. Ich mach
Montag ein Ticket auf, mal sehen, wie lange es diesmal dauert...
Carsten
Am Thu, 05 Apr 2018 10:10:53 +0200
schrieb Sven Eckelmann via Freifunk_info
freifunk_info@freifunk-vogtland.net:
...
Hi,
gerade wurde festgestellt, dass eingehende IPv6-Verbindungen zu 
2003:49:a051:9000::1337(/64) nicht bei VPN01 herausfallen
(getestet mit tcpdump). Beim traceroute ist zu sehen, dass
scheinbar irgendwas nach 2003:0:8700:c800::1 nicht antwortet. Es
ist aber jetzt nicht ersichtlich, ob 2003:0:8700:c800::1 die
Pakete wirklich korrekt an den Nexthop weitergibt.
$ traceroute -6 vpn01.freifunk-vogtland.net
traceroute to vpn01.freifunk-vogtland.net

(2003:49:a051:9000::1337), 30 hops max, 80 byte packets 1
2a01:4f8:141:3341:78:46:248:233 (2a01:4f8:141:3341:78:46:248:233)
0.140 ms  0.115 ms  0.096 ms 2  2a01:4f8::a:14:b
(2a01:4f8::a:14:b) 0.427 ms  0.409 ms  0.388 ms 3
core22.fsn1.hetzner.com (2a01:4f8:0:3::1f1)  0.354 ms  0.331 ms
core21.fsn1.hetzner.com (2a01:4f8:0:3::1ed)  0.300 ms 4
core1.fra.hetzner.com (2a01:4f8:0:3::b1)  5.214 ms  5.197 ms
5.172 ms 5 et-0-0-47.cr10-fra2.ip6.gtt.net
(2001:668:0:3::2000:1421)  5.146 ms 5.116 ms  5.091 ms 6
2001:668:0:2:ffff:0:5995:876d (2001:668:0:2:ffff:0:5995:876d)
5.197 ms 2001:668:0:2:ffff:0:5995:8779
(2001:668:0:2:ffff:0:5995:8779)  6.653 ms
2001:668:0:2:ffff:0:5995:8769 (2001:668:0:2:ffff:0:5995:8769)
5.254 ms 7  2003:0:1308:800e::1 (2003:0:1308:800e::1)  9.487 ms *

8  2003:0:8700:c800::1 (2003:0:8700:c800::1)  13.172 ms  13.153

ms 13.128 ms 9  * * * 10  * * * 11  * * * 12  * * * 13  * * * 14

15  * * * 16  * * * 17  * * *

18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Interessanterweise ist 2003:49:a051::8888(/52) ist davon nicht
betroffen. Hier ist wichtig zu wissen, dass das Subnetz
2003:49:a051:9000::/64 frei ueber 2003:49:a051::8888 geroutet
werden sollte. Das scheint in einem Geraet vor 2003:49:a051::8888
aber anders eingestellt worden zu sein. Hier zum Vergleich ein
traceroute zu 2003:49:a051::8888
$ traceroute 2003:49:a051::8888
traceroute to 2003:49:a051::8888 (2003:49:a051::8888), 30 hops

max, 80 byte packets 1  2a01:4f8:141:3341:78:46:248:233
(2a01:4f8:141:3341:78:46:248:233)  0.193 ms  0.150 ms  0.114 ms 2
2a01:4f8::a:14:b (2a01:4f8::a:14:b)  2.021 ms  1.945 ms  1.902 ms
3 core22.fsn1.hetzner.com (2a01:4f8:0:3::1f1)  0.607 ms  0.567 ms
0.524 ms 4  core1.fra.hetzner.com (2a01:4f8:0:3::b1)  5.259 ms
5.216 ms  5.173 ms 5  et-0-0-47.cr10-fra2.ip6.gtt.net
(2001:668:0:3::2000:1421)  5.131 ms  5.087 ms  5.044 ms 6
xe-0-0-0.cr1-fra2.ip6.gtt.net (2001:668:0:2::1:41)  8.186 ms
xe-3-1-2.cr1-fra2.ip6.gtt.net (2001:668:0:2::1:2dd1)  5.378 ms
2001:668:0:2:ffff:0:5995:8771 (2001:668:0:2:ffff:0:5995:8771)
5.336 ms 7  2003:0:1308:800e::1 (2003:0:1308:800e::1)  6.815 ms *

8 2003:0:8700:c800::1 (2003:0:8700:c800::1)  13.146 ms  13.126

ms 13.096 ms 9  2003:49:a051::8888 (2003:49:a051::8888)  13.892 ms
13.517 ms  13.481 ms
Von diesem Problem ist ebenfalls der Firmware-Server betroffen
(welches sich im 2003:49:a051::8888 Subnet befindet):
$ traceroute 2003:49:a051:9000::42
traceroute to 2003:49:a051:9000::42 (2003:49:a051:9000::42),

30 hops max, 80 byte packets 1  2a01:4f8:141:3341:78:46:248:233
(2a01:4f8:141:3341:78:46:248:233)  0.326 ms  0.292 ms  0.263 ms 2
2a01:4f8::a:14:b (2a01:4f8::a:14:b)  0.527 ms  0.502 ms  0.718 ms
3 core21.fsn1.hetzner.com (2a01:4f8:0:3::1ed)  0.433 ms
core22.fsn1.hetzner.com (2a01:4f8:0:3::1f1)  0.415 ms  0.390 ms 4
core1.fra.hetzner.com (2a01:4f8:0:3::da)  5.270 ms
core1.fra.hetzner.com (2a01:4f8:0:3::b1)  5.277 ms
core1.fra.hetzner.com (2a01:4f8:0:3::da)  5.236 ms 5
et-0-0-47.cr10-fra2.ip6.gtt.net (2001:668:0:3::2000:1421)  5.450
ms 5.424 ms  5.394 ms 6  2001:668:0:2:ffff:0:5995:8779
(2001:668:0:2:ffff:0:5995:8779)  5.117 ms
xe-0-0-0.cr1-fra2.ip6.gtt.net (2001:668:0:2::1:41)  5.315 ms
2001:668:0:2:ffff:0:5995:8779 (2001:668:0:2:ffff:0:5995:8779)
5.281 ms 7  2003:0:1308:800e::1 (2003:0:1308:800e::1)  7.537 ms *

8 2003:0:8700:c800::1 (2003:0:8700:c800::1)  13.787 ms  13.768

ms 13.738 ms 9  * * * 10  * * * 11  * * * 12  * * * 13  * * * 14

15  * * * 16  * * * 17  * * *

18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *

Das kann man auch gut sehen wenn man probiert von VPN01 direkt
einen traceroute zu machen:
$ ip route get 2a01:4f8:141:3341:78:46:248:236 from

2003:49:a051:9000::1337 2a01:4f8:141:3341:78:46:248:236 from
2003:49:a051:9000::1337 via 2003:49:a051::1 dev eth1 src
2003:49:a051::8888 metric 1024  pref medium $ traceroute
2a01:4f8:141:3341:78:46:248:236 -s 2003:49:a051:9000::1337
traceroute to 2a01:4f8:141:3341:78:46:248:236
(2a01:4f8:141:3341:78:46:248:236), 30 hops max, 80 byte packets 1

2  * * * 3  * * * 4  * * *

5  * * *
 6  * * *
 7  * * *
 8  * * *
$ ping -c 5 2003:49:a051::1 -I 2003:49:a051:9000::1337
PING 2003:49:a051::1(2003:49:a051::1) from

2003:49:a051:9000::1337 : 56 data bytes 
    --- 2003:49:a051::1 ping statistics ---
    5 packets transmitted, 0 received, 100% packet loss, time
4090ms
$ ip route get 2a01:4f8:141:3341:78:46:248:236 from

2003:49:a051::8888 $ traceroute 2a01:4f8:141:3341:78:46:248:236 -s
2003:49:a051::8888 traceroute to 2a01:4f8:141:3341:78:46:248:236
(2a01:4f8:141:3341:78:46:248:236), 30 hops max, 80 byte packets 1
2003:49:a051::1 (2003:49:a051::1)  1.483 ms  1.290 ms  1.449 ms 2
2003:0:8700:c800::1 (2003:0:8700:c800::1)  1.577 ms  1.564 ms
1.549 ms 3  2003:0:1307:400e::1 (2003:0:1307:400e::1)  9.530 ms
9.555 ms 9.547 ms 4  2003:0:1307:400e::2 (2003:0:1307:400e::2)
9.529 ms 9.474 ms  9.494 ms 5  2a01:4a0:1338:3::2
(2a01:4a0:1338:3::2)  9.396 ms  9.376 ms  9.329 ms 6
core1.fra.hetzner.com (2a01:4f8:0:3::1) 8.863 ms  8.209 ms  8.020
ms 7  core21.fsn1.hetzner.com (2a01:4f8:0:3::d9)  13.097 ms
13.151 ms  13.191 ms 8 ex9k2.dc5.fsn1.hetzner.com
(2a01:4f8:0:3::1f2)  13.300 ms ex9k2.dc15.fsn1.hetzner.com
(2a01:4f8:0:3::1ee)  12.688 ms ex9k2.dc5.fsn1.hetzner.com
(2a01:4f8:0:3::1f2)  13.322 ms 9 2a01:4f8:141:3341:176:9:3:86
(2a01:4f8:141:3341:176:9:3:86)  12.515 ms  12.500 ms  12.593 ms
10  open-mesh.org (2a01:4f8:141:3341:78:46:248:236)  13.018 ms
12.997 ms  12.981 ms $ ping -c 5 2003:49:a051::1 -I
2003:49:a051::8888 PING 2003:49:a051::1(2003:49:a051::1) from
2003:49:a051::8888 : 56 data bytes 64 bytes from 2003:49:a051::1:
icmp_seq=1 ttl=255 time=0.501 ms 64 bytes from 2003:49:a051::1:
icmp_seq=2 ttl=255 time=0.486 ms 64 bytes from 2003:49:a051::1:
icmp_seq=3 ttl=255 time=0.397 ms 64 bytes from 2003:49:a051::1:
icmp_seq=4 ttl=255 time=0.878 ms 64 bytes from 2003:49:a051::1:
icmp_seq=5 ttl=255 time=0.413 ms --- 2003:49:a051::1 ping
statistics --- 5 packets transmitted, 5 received, 0% packet loss,
time 4089ms rtt min/avg/max/mdev = 0.397/0.535/0.878/0.176 ms
So sieht es momentan fuer mich aus
============================

================================= | pkt: dst 2003:49:a051::/52 |
| pkt: dst 2003:49:a051:9000::/64 | ============================
=================================
                  +                         +
                  |                         |
    +---------------------------------------------------------+
    | router:     |   2003:0:8700:c800::1   |                 |
    +---------------------------------------------------------+
                  |                         |
                  |                         |
                  |                         |
              ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
             {    |    unendliche Weiten    |   }
              ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                  |                         |
                  |                         |
                  |                         |
                  v                         |
    +-------------------------+             |
    | host: vpn01             |             |      ~~~~~~~~~~
    | 2003:49:a051::8888      |             +---> { Nirvana? }
    | 2003:49:a051:9000::1337 |                    ~~~~~~~~~~
    +-------------------------+
Gruesse,
   Sven

2025

2024

2023

2022

2021

2020

2019

2018

2017

2016

Re: [Freifunk_info] Geblocktes IPv6 zu VPN01