ffdo
/
wiki


			
				
					
						
						
							123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138
							---
format: markdown
title: aktuelle NetzwerkprobleMeme
...

# MTU Problem

## Symptom

Auf manchen clients im FF-DO-Netz laden manche Webseiten nicht (zZ status.ffdo.de, github.com, ...).

## Supernode Doku inkonsistent?

[Supernodes/fastd](/Technik/Netzinfrastruktur/Supernodes/fastd) meint:

- MTU im Tunnel ist 1364 entspricht Transport-MTU 1450
- Als Verschlüsselungsmethode wird nur noch "salsa2012+umac" zugelassen. 
  Die MTU ist auf 1280 eingestellt (entspricht Transport-MTU 1366). 

## Mit MTU 1280 kommt https://status.ffdo.de/

~~~
cat /var/lib/dhcp/dhclient.eth0.leases
lease {
  interface "eth0";
  fixed-address 10.233.37.10;
  option subnet-mask 255.255.0.0;
  option routers 10.233.32.1;
  option dhcp-lease-time 600;
  option dhcp-message-type 5;
  option domain-name-servers 10.233.32.1,10.233.16.1;
  option dhcp-server-identifier 10.233.32.1;
  option interface-mtu 1280;
  option ntp-servers 10.233.32.1,10.233.16.1;
  renew 3 2016/03/09 18:32:33;
  rebind 3 2016/03/09 18:37:29;
  expire 3 2016/03/09 18:38:44;
}
~~~

~~~
# ifconfig
eth0      Link encap:Ethernet  Hardware Adresse 00:14:2a:96:62:c1  
          inet Adresse:10.233.37.10  Bcast:10.233.255.255  Maske:255.255.0.0
          inet6-Adresse: 2a03:2260:50:5:c9eb:20f7:dfb5:621b/64 Gültigkeitsbereich:Global
          inet6-Adresse: 2a03:2260:50:5:214:2aff:fe96:62c1/64 Gültigkeitsbereich:Global
          inet6-Adresse: fe80::214:2aff:fe96:62c1/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1280  Metrik:1
          RX-Pakete:82717 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
          TX-Pakete:36500 Fehler:0 Verloren:0 Überläufe:0 Träger:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX-Bytes:60328360 (60.3 MB)  TX-Bytes:3482617 (3.4 MB)
~~~

## Mit MTU 1500 kommt https://status.ffdo.de/ nicht:-(

~~~
# ifconfig eth0 mtu 1500
# ifconfig eth0
eth0      Link encap:Ethernet  Hardware Adresse 00:14:2a:96:62:c1  
          inet Adresse:10.233.37.10  Bcast:10.233.255.255  Maske:255.255.0.0
          inet6-Adresse: 2a03:2260:50:5:c9eb:20f7:dfb5:621b/64 Gültigkeitsbereich:Global
          inet6-Adresse: 2a03:2260:50:5:214:2aff:fe96:62c1/64 Gültigkeitsbereich:Global
          inet6-Adresse: fe80::214:2aff:fe96:62c1/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX-Pakete:130812 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
          TX-Pakete:44833 Fehler:0 Verloren:0 Überläufe:0 Träger:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX-Bytes:67857497 (67.8 MB)  TX-Bytes:4381016 (4.3 MB)
~~~

~~~
# tracepath status.ffdo.de
 1?: [LOCALHOST]                                         pmtu 1500
 1:  10.233.32.1                                          87.437ms 
 1:  10.233.32.1                                          75.879ms 
 2:  10.233.16.1                                         155.571ms asymm  1 
 3:  10.233.16.1                                         147.653ms pmtu 1400
 3:  10.0.6.5                                            138.895ms asymm  2 
 4:  100.64.2.62                                         273.430ms asymm  3 
 5:  strato.nikhef.nl-ix.net                             231.958ms asymm  4 
 6:  no reply
 7:  be10-1184.rbx-g1-a9.fr.eu                           150.556ms asymm  8 
 8:  be100-1120.fra-5-a9.de.eu                           111.316ms asymm  9 
 9:  be1-1171.sbg-g2-a9.fr.eu                            186.281ms asymm 10 
10:  vl20.sbg-g2-a75.fr.eu                               177.505ms asymm 12 
11:  be50-7.sbg-4a-a9.fr.eu                              164.236ms asymm 13 
12:  digitmedia.de                                       130.633ms reached
     Resume: pmtu 1400 hops 12 back 11 
~~~

## Wo verschwinden die ICMP Pakete ...

... die für die [pMTUd](https://de.wikipedia.org/wiki/Path_MTU_Discovery) gebraucht werden?

Das Routing von status.ffdo.de zum FFRL sieht zZ (20.3.) so aus:

~~~
tracepath -b 185.66.194.42
  1?: [LOCALHOST]                                         pmtu 1500
  1:  37.187.168.253 (37.187.168.253)                       0.972ms
  1:  37.187.168.253 (37.187.168.253)                       0.929ms
  2:  po116.sbg-g1-a75.fr.eu (188.165.9.75)                 0.291ms
  3:  be1-20.sbg-g1-a9.fr.eu (178.33.103.200)               0.921ms
  4:  be100-1170.fra-1-a9.de.eu (37.187.232.87)             3.458ms
  5:  atuin.rzone.de (80.81.192.110)                        9.160ms
  6:  ae0.0.morla.as6724.net (81.169.144.33)                3.438ms
  7:  xe-0-0-1.core-b30.as6724.net (85.214.0.64)           14.810ms asymm  6
  8:  no reply
~~~

Was mag der RIPE DB Eintrag für den letzten sichtbaren hop bedeuten?:

~~~
% whois -h whois.ripe.net 85.214.0.64
[...]
% Information related to '85.214.0.0/24AS6724'

route:          85.214.0.0/24
descr:          STRATO AG
descr:          prefix only advertised in case of DDoS
origin:         AS6724
mnt-by:         STRATO-RZG-MNT
created:        2014-02-18T16:19:15Z
last-modified:  2014-02-18T16:19:15Z
source:         RIPE
~~~

## Lösungsmöglichkeiten?

- Eruieren, was der obige "DDos prefix" von Strato genau bedeutet.
- "MTU and Fragmentation Issues with In-the-Network Tunneling" [RFC 4459](https://tools.ietf.org/html/rfc4459).

# Techniker ist informiert

<http://www.buzzfeed.com/sebastianfiebrig/techniker-ist-informiert>

![Techniker, you have no power here](https://img.buzzfeed.com/buzzfeed-static/static/2015-02/4/6/enhanced/webdr01/enhanced-buzz-13117-1423048142-8.jpg)