[lacnog] Problema accediendo a Yahoo usando IPv6

Alejandro Acosta alejandroacostaalamo en gmail.com
Sab Ago 14 21:12:01 -03 2021 

Hola Jorge,

   Que interesante tu caso, lo estuve leyendo desde el comienzo. Creo 
que era muy importante que indicaras desde el inicio que era un tunel 
hacia tu tunnel broker. Por cierto, he.net usa 6in4, no 6to4, son dos 
mecanismos diferentes.

   Como varias personas te indicaron muy seguramente el caso es una 
falla de pMTU en algún sitio, pero ahora viendo que es 6in4 yo no 
necesariamente le echara la culpa a v6, también podría ser v4 y que los 
paquetes vayan marcados con el DF encendido.

   Problemas de MTU dentro de tuneles (si, en v4) son de años atrás y 
una búsqueda en google -no la he hecho- te traerá cientos o miles de 
resultados. En tuneles es normal que por ejemplo pase un ping pero 
alguien no pueda abrir una página Web (tu caso).

   Si quieres seguir probando si es el MTU, puedes bajar el MTU de IPv4 
-dentro del tunel o en tu LAN- (en cisco con el comando mtu y/o ip mtu, 
en linux ifconfig <interface> mtu 1480) a algo más chico. 6to4 agrega un 
overhead de 20 bytes, por ellos intenta bajar el MTU (de IPv4) a 1480 o 
ligeramente menos.

   Finalmente, no estoy seguro que lo anterior te resuelva el problema 
pero tampoco me extrañaría en lo absoluto.

   Mil gracias por compartir tu experiencia.


Saludos,


Alejandro,


On 14/8/21 7:23 PM, Jorge Frater B. wrote:
> Buenas, después varias pruebas descubrí que el problema sólo se da usando un
> proveedor específicamente, HE, y por ser un túnel 6to4 su MTU es de 1280.
> Así que por el momento lo saqué de la ecuación y todo funciona normal.
>
> Ante la consulta a HE sobre el asunto, la respuesta admite que es un
> problema conocido y que va y viene, e insinúa que es Yahoo el responsable:
>
> " Seems Yahoo breaks their pMTU on a semi regular basis as this crops up,
> and then silently works again.  We've never seen an explanation for it from
> them.  There's been no changes on our side to cause this issue, and
> consequently, there's also been no changes on our side able to correct this
> issue."
>
> Gracias por sus aportes, si obtengo nueva información se las comparto.
>
>
>
> Saludos,
>
>
> Jorge Frater
> Sistemas Fratec S.A.
>
> -----Mensaje original-----
> De: LACNOG <lacnog-bounces en lacnic.net> En nombre de Carlos M. Martinez
> Enviado el: jueves, 12 de agosto de 2021 13:46
> Para: Latin America and Caribbean Region Network Operators Group
> <lacnog en lacnic.net>
> CC: Fernando Gont <fernando en gont.com.ar>
> Asunto: Re: [lacnog] Problema accediendo a Yahoo usando IPv6
>
> El blackhole es generalmente producto de un filtrado imprudente de ICMPv6.
> Yo empezaría a ver por ahí. Hoy por hoy es raro que tengas un problema de
> hardware que te limite la MTU.
>
> Arrancaría revisando toda lista de acceso que tengas que filtre ICMPv6, y si
> tenes firewalls, las reglas de firewall que puedan limitar ICMPv6.
>
> Lo que tenés que asegurarte es que el pMTU Discovery funcione.
>
> S2
>
> Carlos
>
> On 12 Aug 2021, at 10:43, Jorge Frater B. wrote:
>
>> Bueno,
>>
>> Evidentemente si es un MTU Blackhole, porque en un Ubuntu después de:
>>
>> sudo sysctl -w net.ipv6.conf.enp37s0.mtu=1280 [sudo] password for
>> jfrater:
>> net.ipv6.conf.enp37s0.mtu = 1280
>>
>> si funciona.
>>
>>
>> Ahora como se resuelve a nivel de red con miles de nodos? Solo 3
>> routers tienen contacto con el exterior en 3 edificios independientes,
>> hay algo que se pueda hacer en ellos? Cual es el origen del problema?
>>
>> Hay algo en la captura del intento fallido que pueda revelar una
>> solución?
>> La tengo y la puedo compartir empieza normal y luego repite esto una y
>> otra
>> vez:
>>
>> 07:11:15.610120 IP6 2800:640:d:3:ee5d:41d6:646f:720c.44700 >
>> 2001:4998:58:304::2000.443: Flags [.], ack 1, win 507, options
>> [nop,nop,TS val 2494726335 ecr 68196948,nop,nop,sack 1 {2857:4751}],
>> length 0
>>          0x0000:  6007 7343 002c 0640 2800 0640 000d 0003
>> `.sC.,.@(.. en ....
>>          0x0010:  ee5d 41d6 646f 720c 2001 4998 0058 0304
>> .]A.dor...I..X..
>>          0x0020:  0000 0000 0000 2000 ae9c 01bb 8024 d25d
>> .............$.]
>>          0x0030:  5d29 cc0a b010 01fb c227 0000 0101 080a
>> ]).......'......
>>          0x0040:  94b2 80bf 0410 9a54 0101 050a 5d29 d732
>> .......T....]).2
>>          0x0050:  5d29 de98                                ])..
>> 07:11:15.696788 IP6 2001:4998:58:304::2000.443 >
>> 2800:640:d:3:ee5d:41d6:646f:720c.44700: Flags [.], ack 518, win 232,
>> options [nop,nop,TS val 68217200 ecr 2494706172], length 0
>>          0x0000:  6000 0000 0020 062e 2001 4998 0058 0304
>> `.........I..X..
>>          0x0010:  0000 0000 0000 2000 2800 0640 000d 0003
>> ........(.. en ....
>>          0x0020:  ee5d 41d6 646f 720c 01bb ae9c 5d29 de98
>> .]A.dor.....])..
>>          0x0030:  8024 d25e 8010 00e8 c113 0000 0101 080a
>> .$.^............
>>          0x0040:  0410 e970 94b2 31fc                      ...p..1.
>>
>>
>>
>> Saludos,
>>
>>
>> Jorge Frater
>> Sistemas Fratec S.A.
>>
>> -----Mensaje original-----
>> De: Fernando Gont <fernando en gont.com.ar> Enviado el: jueves, 12 de
>> agosto de 2021 01:35
>> Para: Latin America and Caribbean Region Network Operators Group
>> <lacnog en lacnic.net>; Jorge Frater B. <jfrater en fratec.com>
>> Asunto: Re: [lacnog] Problema accediendo a Yahoo usando IPv6
>>
>> On 5/8/21 16:07, Jorge Frater B. wrote:
>>> Buenas,
>>>
>>> Quizás alguien haya pasado por algo así y pueda echar una luz a este
>> asunto.
>>> Desde hace un tiempo para acá (no sé cuánto exactamente, semanas o
>>> meses) no me despliega la página de login de Yahoo usando IPv6 desde
>>> mi
>> red.
>>> Cabe mencionar que la página de inicio funciona bien y que yo sepa es
>>> la única página v6 que no sirve.
>> Podes postear (y pasarnso el URL de una captura), o bien pasar por aca
>> el output en teto de la misma.
>>
>> Por ej:
>>
>> # tcpdump -i INTERFAZ -n -s 5000 -x -X host IPDELHOST
>>
>>
>> Ajeno a eso, como menciona Carlos puede ser un MTU blackhole.
>>
>> Pra ver si es eso, o bien setea artificialmente el MTU de tu interfaz
>> de red a 1280 bytes. Por ej., si estas en un Linux, hace:
>>
>> # sysctl -w net.ipv6.conf.INTERFAZ.mtu=1280
>>
>> Si haciendo eso te funciona bien, definitivamente es un MTU blackhole.
>>
>> Slds,
>> --
>> Fernando Gont
>> e-mail: fernando en gont.com.ar || fgont en si6networks.com PGP Fingerprint:
>> 7809
>> 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

Más información sobre la lista de distribución LACNOG