Projekt

Allgemein

Profil

Bug #25

Kabel Deutschland Probleme

Von Rubo77 User vor fast 6 Jahren hinzugefügt. Vor mehr als 5 Jahren aktualisiert.

Status:
Erledigt
Priorität:
Normal
Zugewiesen an:
Beginn:
2014-11-28
Abgabedatum:
% erledigt:

100%

Geschätzter Aufwand:

Beschreibung

Kabel Deutschland hält sich hier nicht an die RFC für ICMP.

Wenn mein Router ein UDP-Paket größer als 1370 Byte empfangen soll, dann filtert der Hitron Router das Paket und sendet an den Absender die Fehler-Nachricht Typ 3 (Destination Unreachable) Subtyp 13 (Communication administratively prohibited)
Dies ist nicht korrekt, richtig wäre Typ 3 Subtyp 4 (Fragmentation required, and DF flag set)

Siehe https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol

Wenn der korrekte Nachrichtentyp gesendet würde, dann würde mein angeschlossener Router auch korrekt arbeiten

https://www.kunden-kabeldeutschland.de/questions/wie-kann-ich-verhindern-dass-udp-pakete-mit-einer-mtu-1370-rausgefiltert-werden?page=1#anchor_answer_232539

Workaround

https://wiki.freifunk.in-kiel.de/wiki/Freifunk_an_einem_Kabel_Deutschland_Anschluss

Historie

#1

Von Daniel Ehlers vor fast 6 Jahren aktualisiert

Vllt. sollte man hier mal nicht den Router den du am Router angeschlossen hast hervorheben, sondern darauf hinweisen, dass es sich hierbei nur um das Gerät handelt welches eine VPN Verbindung durch den KD-Router aufbaut.

Das hier nun ein extra Gerät verwendet wird und nicht ein Endbenutzergerät ist hierbei Nebensache.

Das es sich hierbei um ein VPN-Tunnel handelt ist eigentlich ebenfalls irrelevant. Solche Datenströme werden ebenso von Netzwerk-Spielen verwendet, die darunter ebenfalls leiden würden.

#2

Von Ruben Barkow vor fast 6 Jahren aktualisiert

Ich hab das so dort gepostet. Bitte erstellt Ihr dort doch auch einfach ein Kundenkonto, dann könnt ihr im KD forum geneauere Informationen hinzufügen. (oder weiterhin hier posten, was ich dort posten soll... geht auch)

#3

Von Wilfried Klaebe vor fast 6 Jahren aktualisiert

Daniel Ehlers schrieb:

Das es sich hierbei um ein VPN-Tunnel handelt ist eigentlich ebenfalls irrelevant. Solche Datenströme werden ebenso von Netzwerk-Spielen verwendet, die darunter ebenfalls leiden würden.

rubo, schreib doch bei Gelegenheit im Forum folgendes:

"Nochmal kurz, knapp, technisch: Der von KD gestellte hitron-Router versorgt ein LAN mit IPv4 und und IPv6. In diesem LAN befindet sich ein Gerät, welches UDP-in-IPv4-Pakete mit einem Gerät im Internet austauschen will, sendend und empfangend. Sobald ein Paket größer als 1370 Octets ist, kommt es bei der Gegenstelle nicht an, sondern dem Absender wird (von wem? Die Quell-Adresse der ICMP-Meldungen an das Gerät im Internet ist die des hitron-Routers, aber das heißt nicht, dass der hitron-Router die auch tatsächlich sendet) mit einer ICMP-Fehlermeldung Typ 3 Subtyp 13 ('admin prohibited') geantwortet. Dies kann nur bei absichtlicher Konfiguration passieren. Wenn aus technischen Gründen größere Pakete nicht möglich sind, muss stattdessen mit Typ 3 Subtyp 4 ('fragmentation required, and DF flag set') geantwortet werden. Umstellen des hitron-Routers auf Bridge-Mode kann hierfür nicht sinnvoll sein, da durchaus mehrere Geräte in einem solchen LAN sein können, die solche Kommunikation betreiben wollen. Diese Geräte müssen übrigens keine Router sein, es können genausogut Notebooks oder andere nicht-Router-Geräte sein."

#4

Von Ruben Barkow vor fast 6 Jahren aktualisiert

  • Zugewiesen an wurde auf Daniel Ehlers gesetzt

Die haben nun geantwortet (siehe verlinkter thread auf der KD seite) und die brauchen nun einen Wireshark Trace zwischen dem Hitron Router und seinem Gateway.

Können wir das irgenwo erstelen? Dann brauchen die die Kundennr und Anschrift des Anschlusses, die ich da in einer privaten Nachricht senden kann.

#5

Von Thorsten Panknin vor fast 6 Jahren aktualisiert

Wie in meiner Mail eben geschrieben, gebe ich meine Kundennummer gern da an und warte, dass die "Steffi" mich dort für eine private nachricht freischaltet. Den Infoaustausch nehme ich selbst vor inklusive meiner Adresse.

Wie ich (unter Linux) eine Wireshark Trace durchführe, weiß ich nicht. Daniel, kannst du ds remote auf gilda machen?

Vielen Dank schonmal für eure Mühe! Wenn ich da als laie irgendwie helfen kann, sagt mir bitte Bescheid.

#6

Von Daniel Ehlers vor fast 6 Jahren aktualisiert

Wireshark bekommen wir da wohl nicht zum laufen, mir ist auch gerade nicht klar an welcher Stelle ruben da Traffic mitschneiden möchte.
Die einzigen Stellen, welche wir dahin bekommen sind auf Gilda und auf VPN0. Die interessante Stelle ist wohl zwischen KD-Box und KD.

Evtl. sollte man erwähnen, das wir aktuell aufgrund der Beobachtungen die MTU auf dem Pfad auf funktionierendes nach unten korregiert haben. Wenn die nachfragen könnte man das sicher auf einem zweiten Kanal auch nochmal hoch drehen.

#8

Von Ruben Barkow vor mehr als 5 Jahren aktualisiert

  • Zugewiesen an wurde von Daniel Ehlers zu Hendrik Lüth geändert

Wir haben dies auf der FfnordCon2015.1 ausgiebig besprochen und herauskristallisiert, dass die beste Lösung ist, beim nächsten Firmware update auf Port 11280 eine extra fastd Instanz mit 1280 als MTU laufen zu lassen.

Bitte eine neue Firmware erstellen mit 1280 MTU

#9

Von Hendrik Lüth vor mehr als 5 Jahren aktualisiert

Die Firmware kann aber auch erst ausgerollt werden, wenn die Gateways eine zweite fastd-instanz haben. Die muss dann auch erstmal in puppet eingegliedert werden und auch geupdatet werden. Ich vermute mal, dass wir damit dann ein zwischen release machen werden, da gluon 2015.1 auf der WCW released werden soll und die Firewall erstmal Priorität hat. Ich würde vorschlagen, dass man die neuen fastd Instanzen gleich mit dem update der ipv prefixe für public v6 ausrollt. Ich sehe es nicht als zeitlich möglich das ganze vor der WCW und vor dem rewrite der Firewall zu realisieren. So Ultra dringend ist es ja nicht (^_~)

#10

Von Ruben Barkow vor mehr als 5 Jahren aktualisiert

Hab das vorgestern schon committed, bitte mal testen ob noch was fehlt:

https://github.com/ffnord/ffnord-puppet-gateway/pull/116

#11

Von Ruben Barkow vor mehr als 5 Jahren aktualisiert

  • Beschreibung aktualisiert (diff)
#12

Von Hendrik Lüth vor mehr als 5 Jahren aktualisiert

  • Status wurde von Neu zu Erledigt geändert
  • % erledigt wurde von 0 zu 100 geändert

Auch abrufbar als: Atom PDF