[lacnog] Problema accediendo a Yahoo usando IPv6

Tomas Lynch tomas.lynch en gmail.com
Lun Ago 16 10:50:16 -03 2021 

"Cuando sigues sin entender por qué no funciona, siempre es el MTU"
Winston Churchill

On Sat, Aug 14, 2021 at 8:17 PM Alejandro Acosta <
alejandroacostaalamo en gmail.com> wrote:

> (una última acotación:.., en el supuesto que sean problemas de MTU en el
> tunel esperaría que fallaran *muchas* más páginas)
>
> On 14/8/21 8:12 PM, Alejandro Acosta wrote:
> > Hola Jorge,
> >
> >   Que interesante tu caso, lo estuve leyendo desde el comienzo. Creo
> > que era muy importante que indicaras desde el inicio que era un tunel
> > hacia tu tunnel broker. Por cierto, he.net usa 6in4, no 6to4, son dos
> > mecanismos diferentes.
> >
> >   Como varias personas te indicaron muy seguramente el caso es una
> > falla de pMTU en algún sitio, pero ahora viendo que es 6in4 yo no
> > necesariamente le echara la culpa a v6, también podría ser v4 y que
> > los paquetes vayan marcados con el DF encendido.
> >
> >   Problemas de MTU dentro de tuneles (si, en v4) son de años atrás y
> > una búsqueda en google -no la he hecho- te traerá cientos o miles de
> > resultados. En tuneles es normal que por ejemplo pase un ping pero
> > alguien no pueda abrir una página Web (tu caso).
> >
> >   Si quieres seguir probando si es el MTU, puedes bajar el MTU de IPv4
> > -dentro del tunel o en tu LAN- (en cisco con el comando mtu y/o ip
> > mtu, en linux ifconfig <interface> mtu 1480) a algo más chico. 6to4
> > agrega un overhead de 20 bytes, por ellos intenta bajar el MTU (de
> > IPv4) a 1480 o ligeramente menos.
> >
> >   Finalmente, no estoy seguro que lo anterior te resuelva el problema
> > pero tampoco me extrañaría en lo absoluto.
> >
> >   Mil gracias por compartir tu experiencia.
> >
> >
> > Saludos,
> >
> >
> > Alejandro,
> >
> >
> > On 14/8/21 7:23 PM, Jorge Frater B. wrote:
> >> Buenas, después varias pruebas descubrí que el problema sólo se da
> >> usando un
> >> proveedor específicamente, HE, y por ser un túnel 6to4 su MTU es de
> >> 1280.
> >> Así que por el momento lo saqué de la ecuación y todo funciona normal.
> >>
> >> Ante la consulta a HE sobre el asunto, la respuesta admite que es un
> >> problema conocido y que va y viene, e insinúa que es Yahoo el
> >> responsable:
> >>
> >> " Seems Yahoo breaks their pMTU on a semi regular basis as this crops
> >> up,
> >> and then silently works again.  We've never seen an explanation for
> >> it from
> >> them.  There's been no changes on our side to cause this issue, and
> >> consequently, there's also been no changes on our side able to
> >> correct this
> >> issue."
> >>
> >> Gracias por sus aportes, si obtengo nueva información se las comparto.
> >>
> >>
> >>
> >> Saludos,
> >>
> >>
> >> Jorge Frater
> >> Sistemas Fratec S.A.
> >>
> >> -----Mensaje original-----
> >> De: LACNOG <lacnog-bounces en lacnic.net> En nombre de Carlos M. Martinez
> >> Enviado el: jueves, 12 de agosto de 2021 13:46
> >> Para: Latin America and Caribbean Region Network Operators Group
> >> <lacnog en lacnic.net>
> >> CC: Fernando Gont <fernando en gont.com.ar>
> >> Asunto: Re: [lacnog] Problema accediendo a Yahoo usando IPv6
> >>
> >> El blackhole es generalmente producto de un filtrado imprudente de
> >> ICMPv6.
> >> Yo empezaría a ver por ahí. Hoy por hoy es raro que tengas un
> >> problema de
> >> hardware que te limite la MTU.
> >>
> >> Arrancaría revisando toda lista de acceso que tengas que filtre
> >> ICMPv6, y si
> >> tenes firewalls, las reglas de firewall que puedan limitar ICMPv6.
> >>
> >> Lo que tenés que asegurarte es que el pMTU Discovery funcione.
> >>
> >> S2
> >>
> >> Carlos
> >>
> >> On 12 Aug 2021, at 10:43, Jorge Frater B. wrote:
> >>
> >>> Bueno,
> >>>
> >>> Evidentemente si es un MTU Blackhole, porque en un Ubuntu después de:
> >>>
> >>> sudo sysctl -w net.ipv6.conf.enp37s0.mtu=1280 [sudo] password for
> >>> jfrater:
> >>> net.ipv6.conf.enp37s0.mtu = 1280
> >>>
> >>> si funciona.
> >>>
> >>>
> >>> Ahora como se resuelve a nivel de red con miles de nodos? Solo 3
> >>> routers tienen contacto con el exterior en 3 edificios independientes,
> >>> hay algo que se pueda hacer en ellos? Cual es el origen del problema?
> >>>
> >>> Hay algo en la captura del intento fallido que pueda revelar una
> >>> solución?
> >>> La tengo y la puedo compartir empieza normal y luego repite esto una y
> >>> otra
> >>> vez:
> >>>
> >>> 07:11:15.610120 IP6 2800:640:d:3:ee5d:41d6:646f:720c.44700 >
> >>> 2001:4998:58:304::2000.443: Flags [.], ack 1, win 507, options
> >>> [nop,nop,TS val 2494726335 ecr 68196948,nop,nop,sack 1 {2857:4751}],
> >>> length 0
> >>>          0x0000:  6007 7343 002c 0640 2800 0640 000d 0003
> >>> `.sC.,.@(.. en ....
> >>>          0x0010:  ee5d 41d6 646f 720c 2001 4998 0058 0304
> >>> .]A.dor...I..X..
> >>>          0x0020:  0000 0000 0000 2000 ae9c 01bb 8024 d25d
> >>> .............$.]
> >>>          0x0030:  5d29 cc0a b010 01fb c227 0000 0101 080a
> >>> ]).......'......
> >>>          0x0040:  94b2 80bf 0410 9a54 0101 050a 5d29 d732
> >>> .......T....]).2
> >>>          0x0050:  5d29 de98 ])..
> >>> 07:11:15.696788 IP6 2001:4998:58:304::2000.443 >
> >>> 2800:640:d:3:ee5d:41d6:646f:720c.44700: Flags [.], ack 518, win 232,
> >>> options [nop,nop,TS val 68217200 ecr 2494706172], length 0
> >>>          0x0000:  6000 0000 0020 062e 2001 4998 0058 0304
> >>> `.........I..X..
> >>>          0x0010:  0000 0000 0000 2000 2800 0640 000d 0003
> >>> ........(.. en ....
> >>>          0x0020:  ee5d 41d6 646f 720c 01bb ae9c 5d29 de98
> >>> .]A.dor.....])..
> >>>          0x0030:  8024 d25e 8010 00e8 c113 0000 0101 080a
> >>> .$.^............
> >>>          0x0040:  0410 e970 94b2 31fc ...p..1.
> >>>
> >>>
> >>>
> >>> Saludos,
> >>>
> >>>
> >>> Jorge Frater
> >>> Sistemas Fratec S.A.
> >>>
> >>> -----Mensaje original-----
> >>> De: Fernando Gont <fernando en gont.com.ar> Enviado el: jueves, 12 de
> >>> agosto de 2021 01:35
> >>> Para: Latin America and Caribbean Region Network Operators Group
> >>> <lacnog en lacnic.net>; Jorge Frater B. <jfrater en fratec.com>
> >>> Asunto: Re: [lacnog] Problema accediendo a Yahoo usando IPv6
> >>>
> >>> On 5/8/21 16:07, Jorge Frater B. wrote:
> >>>> Buenas,
> >>>>
> >>>> Quizás alguien haya pasado por algo así y pueda echar una luz a este
> >>> asunto.
> >>>> Desde hace un tiempo para acá (no sé cuánto exactamente, semanas o
> >>>> meses) no me despliega la página de login de Yahoo usando IPv6 desde
> >>>> mi
> >>> red.
> >>>> Cabe mencionar que la página de inicio funciona bien y que yo sepa es
> >>>> la única página v6 que no sirve.
> >>> Podes postear (y pasarnso el URL de una captura), o bien pasar por aca
> >>> el output en teto de la misma.
> >>>
> >>> Por ej:
> >>>
> >>> # tcpdump -i INTERFAZ -n -s 5000 -x -X host IPDELHOST
> >>>
> >>>
> >>> Ajeno a eso, como menciona Carlos puede ser un MTU blackhole.
> >>>
> >>> Pra ver si es eso, o bien setea artificialmente el MTU de tu interfaz
> >>> de red a 1280 bytes. Por ej., si estas en un Linux, hace:
> >>>
> >>> # sysctl -w net.ipv6.conf.INTERFAZ.mtu=1280
> >>>
> >>> Si haciendo eso te funciona bien, definitivamente es un MTU blackhole.
> >>>
> >>> Slds,
> >>> --
> >>> Fernando Gont
> >>> e-mail: fernando en gont.com.ar || fgont en si6networks.com PGP Fingerprint:
> >>> 7809
> >>> 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
> >>>
> >>>
> >>>
> >>> _______________________________________________
> >>> LACNOG mailing list
> >>> LACNOG en lacnic.net
> >>> https://mail.lacnic.net/mailman/listinfo/lacnog
> >>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >> _______________________________________________
> >> LACNOG mailing list
> >> LACNOG en lacnic.net
> >> https://mail.lacnic.net/mailman/listinfo/lacnog
> >> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>
> >> _______________________________________________
> >> LACNOG mailing list
> >> LACNOG en lacnic.net
> >> https://mail.lacnic.net/mailman/listinfo/lacnog
> >> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20210816/2ddfc5e9/attachment.htm>

Más información sobre la lista de distribución LACNOG