[lacnog] Problema accediendo a Yahoo usando IPv6

Alejandro Acosta alejandroacostaalamo en gmail.com
Sab Ago 14 21:16:47 -03 2021 

(una última acotación:.., en el supuesto que sean problemas de MTU en el 
tunel esperaría que fallaran *muchas* más páginas)

On 14/8/21 8:12 PM, Alejandro Acosta wrote:
> Hola Jorge,
>
>   Que interesante tu caso, lo estuve leyendo desde el comienzo. Creo 
> que era muy importante que indicaras desde el inicio que era un tunel 
> hacia tu tunnel broker. Por cierto, he.net usa 6in4, no 6to4, son dos 
> mecanismos diferentes.
>
>   Como varias personas te indicaron muy seguramente el caso es una 
> falla de pMTU en algún sitio, pero ahora viendo que es 6in4 yo no 
> necesariamente le echara la culpa a v6, también podría ser v4 y que 
> los paquetes vayan marcados con el DF encendido.
>
>   Problemas de MTU dentro de tuneles (si, en v4) son de años atrás y 
> una búsqueda en google -no la he hecho- te traerá cientos o miles de 
> resultados. En tuneles es normal que por ejemplo pase un ping pero 
> alguien no pueda abrir una página Web (tu caso).
>
>   Si quieres seguir probando si es el MTU, puedes bajar el MTU de IPv4 
> -dentro del tunel o en tu LAN- (en cisco con el comando mtu y/o ip 
> mtu, en linux ifconfig <interface> mtu 1480) a algo más chico. 6to4 
> agrega un overhead de 20 bytes, por ellos intenta bajar el MTU (de 
> IPv4) a 1480 o ligeramente menos.
>
>   Finalmente, no estoy seguro que lo anterior te resuelva el problema 
> pero tampoco me extrañaría en lo absoluto.
>
>   Mil gracias por compartir tu experiencia.
>
>
> Saludos,
>
>
> Alejandro,
>
>
> On 14/8/21 7:23 PM, Jorge Frater B. wrote:
>> Buenas, después varias pruebas descubrí que el problema sólo se da 
>> usando un
>> proveedor específicamente, HE, y por ser un túnel 6to4 su MTU es de 
>> 1280.
>> Así que por el momento lo saqué de la ecuación y todo funciona normal.
>>
>> Ante la consulta a HE sobre el asunto, la respuesta admite que es un
>> problema conocido y que va y viene, e insinúa que es Yahoo el 
>> responsable:
>>
>> " Seems Yahoo breaks their pMTU on a semi regular basis as this crops 
>> up,
>> and then silently works again.  We've never seen an explanation for 
>> it from
>> them.  There's been no changes on our side to cause this issue, and
>> consequently, there's also been no changes on our side able to 
>> correct this
>> issue."
>>
>> Gracias por sus aportes, si obtengo nueva información se las comparto.
>>
>>
>>
>> Saludos,
>>
>>
>> Jorge Frater
>> Sistemas Fratec S.A.
>>
>> -----Mensaje original-----
>> De: LACNOG <lacnog-bounces en lacnic.net> En nombre de Carlos M. Martinez
>> Enviado el: jueves, 12 de agosto de 2021 13:46
>> Para: Latin America and Caribbean Region Network Operators Group
>> <lacnog en lacnic.net>
>> CC: Fernando Gont <fernando en gont.com.ar>
>> Asunto: Re: [lacnog] Problema accediendo a Yahoo usando IPv6
>>
>> El blackhole es generalmente producto de un filtrado imprudente de 
>> ICMPv6.
>> Yo empezaría a ver por ahí. Hoy por hoy es raro que tengas un 
>> problema de
>> hardware que te limite la MTU.
>>
>> Arrancaría revisando toda lista de acceso que tengas que filtre 
>> ICMPv6, y si
>> tenes firewalls, las reglas de firewall que puedan limitar ICMPv6.
>>
>> Lo que tenés que asegurarte es que el pMTU Discovery funcione.
>>
>> S2
>>
>> Carlos
>>
>> On 12 Aug 2021, at 10:43, Jorge Frater B. wrote:
>>
>>> Bueno,
>>>
>>> Evidentemente si es un MTU Blackhole, porque en un Ubuntu después de:
>>>
>>> sudo sysctl -w net.ipv6.conf.enp37s0.mtu=1280 [sudo] password for
>>> jfrater:
>>> net.ipv6.conf.enp37s0.mtu = 1280
>>>
>>> si funciona.
>>>
>>>
>>> Ahora como se resuelve a nivel de red con miles de nodos? Solo 3
>>> routers tienen contacto con el exterior en 3 edificios independientes,
>>> hay algo que se pueda hacer en ellos? Cual es el origen del problema?
>>>
>>> Hay algo en la captura del intento fallido que pueda revelar una
>>> solución?
>>> La tengo y la puedo compartir empieza normal y luego repite esto una y
>>> otra
>>> vez:
>>>
>>> 07:11:15.610120 IP6 2800:640:d:3:ee5d:41d6:646f:720c.44700 >
>>> 2001:4998:58:304::2000.443: Flags [.], ack 1, win 507, options
>>> [nop,nop,TS val 2494726335 ecr 68196948,nop,nop,sack 1 {2857:4751}],
>>> length 0
>>>          0x0000:  6007 7343 002c 0640 2800 0640 000d 0003
>>> `.sC.,.@(.. en ....
>>>          0x0010:  ee5d 41d6 646f 720c 2001 4998 0058 0304
>>> .]A.dor...I..X..
>>>          0x0020:  0000 0000 0000 2000 ae9c 01bb 8024 d25d
>>> .............$.]
>>>          0x0030:  5d29 cc0a b010 01fb c227 0000 0101 080a
>>> ]).......'......
>>>          0x0040:  94b2 80bf 0410 9a54 0101 050a 5d29 d732
>>> .......T....]).2
>>>          0x0050:  5d29 de98 ])..
>>> 07:11:15.696788 IP6 2001:4998:58:304::2000.443 >
>>> 2800:640:d:3:ee5d:41d6:646f:720c.44700: Flags [.], ack 518, win 232,
>>> options [nop,nop,TS val 68217200 ecr 2494706172], length 0
>>>          0x0000:  6000 0000 0020 062e 2001 4998 0058 0304
>>> `.........I..X..
>>>          0x0010:  0000 0000 0000 2000 2800 0640 000d 0003
>>> ........(.. en ....
>>>          0x0020:  ee5d 41d6 646f 720c 01bb ae9c 5d29 de98
>>> .]A.dor.....])..
>>>          0x0030:  8024 d25e 8010 00e8 c113 0000 0101 080a
>>> .$.^............
>>>          0x0040:  0410 e970 94b2 31fc ...p..1.
>>>
>>>
>>>
>>> Saludos,
>>>
>>>
>>> Jorge Frater
>>> Sistemas Fratec S.A.
>>>
>>> -----Mensaje original-----
>>> De: Fernando Gont <fernando en gont.com.ar> Enviado el: jueves, 12 de
>>> agosto de 2021 01:35
>>> Para: Latin America and Caribbean Region Network Operators Group
>>> <lacnog en lacnic.net>; Jorge Frater B. <jfrater en fratec.com>
>>> Asunto: Re: [lacnog] Problema accediendo a Yahoo usando IPv6
>>>
>>> On 5/8/21 16:07, Jorge Frater B. wrote:
>>>> Buenas,
>>>>
>>>> Quizás alguien haya pasado por algo así y pueda echar una luz a este
>>> asunto.
>>>> Desde hace un tiempo para acá (no sé cuánto exactamente, semanas o
>>>> meses) no me despliega la página de login de Yahoo usando IPv6 desde
>>>> mi
>>> red.
>>>> Cabe mencionar que la página de inicio funciona bien y que yo sepa es
>>>> la única página v6 que no sirve.
>>> Podes postear (y pasarnso el URL de una captura), o bien pasar por aca
>>> el output en teto de la misma.
>>>
>>> Por ej:
>>>
>>> # tcpdump -i INTERFAZ -n -s 5000 -x -X host IPDELHOST
>>>
>>>
>>> Ajeno a eso, como menciona Carlos puede ser un MTU blackhole.
>>>
>>> Pra ver si es eso, o bien setea artificialmente el MTU de tu interfaz
>>> de red a 1280 bytes. Por ej., si estas en un Linux, hace:
>>>
>>> # sysctl -w net.ipv6.conf.INTERFAZ.mtu=1280
>>>
>>> Si haciendo eso te funciona bien, definitivamente es un MTU blackhole.
>>>
>>> Slds,
>>> -- 
>>> Fernando Gont
>>> e-mail: fernando en gont.com.ar || fgont en si6networks.com PGP Fingerprint:
>>> 7809
>>> 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
>>>
>>>
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

Más información sobre la lista de distribución LACNOG