<div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace">"Cuando sigues sin entender por qué no funciona, siempre es el MTU"</div><div class="gmail_default" style="font-family:monospace,monospace">Winston Churchill</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Aug 14, 2021 at 8:17 PM Alejandro Acosta <<a href="mailto:alejandroacostaalamo@gmail.com">alejandroacostaalamo@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">(una última acotación:.., en el supuesto que sean problemas de MTU en el <br>
tunel esperaría que fallaran *muchas* más páginas)<br>
<br>
On 14/8/21 8:12 PM, Alejandro Acosta wrote:<br>
> Hola Jorge,<br>
><br>
>   Que interesante tu caso, lo estuve leyendo desde el comienzo. Creo <br>
> que era muy importante que indicaras desde el inicio que era un tunel <br>
> hacia tu tunnel broker. Por cierto, <a href="http://he.net" rel="noreferrer" target="_blank">he.net</a> usa 6in4, no 6to4, son dos <br>
> mecanismos diferentes.<br>
><br>
>   Como varias personas te indicaron muy seguramente el caso es una <br>
> falla de pMTU en algún sitio, pero ahora viendo que es 6in4 yo no <br>
> necesariamente le echara la culpa a v6, también podría ser v4 y que <br>
> los paquetes vayan marcados con el DF encendido.<br>
><br>
>   Problemas de MTU dentro de tuneles (si, en v4) son de años atrás y <br>
> una búsqueda en google -no la he hecho- te traerá cientos o miles de <br>
> resultados. En tuneles es normal que por ejemplo pase un ping pero <br>
> alguien no pueda abrir una página Web (tu caso).<br>
><br>
>   Si quieres seguir probando si es el MTU, puedes bajar el MTU de IPv4 <br>
> -dentro del tunel o en tu LAN- (en cisco con el comando mtu y/o ip <br>
> mtu, en linux ifconfig <interface> mtu 1480) a algo más chico. 6to4 <br>
> agrega un overhead de 20 bytes, por ellos intenta bajar el MTU (de <br>
> IPv4) a 1480 o ligeramente menos.<br>
><br>
>   Finalmente, no estoy seguro que lo anterior te resuelva el problema <br>
> pero tampoco me extrañaría en lo absoluto.<br>
><br>
>   Mil gracias por compartir tu experiencia.<br>
><br>
><br>
> Saludos,<br>
><br>
><br>
> Alejandro,<br>
><br>
><br>
> On 14/8/21 7:23 PM, Jorge Frater B. wrote:<br>
>> Buenas, después varias pruebas descubrí que el problema sólo se da <br>
>> usando un<br>
>> proveedor específicamente, HE, y por ser un túnel 6to4 su MTU es de <br>
>> 1280.<br>
>> Así que por el momento lo saqué de la ecuación y todo funciona normal.<br>
>><br>
>> Ante la consulta a HE sobre el asunto, la respuesta admite que es un<br>
>> problema conocido y que va y viene, e insinúa que es Yahoo el <br>
>> responsable:<br>
>><br>
>> " Seems Yahoo breaks their pMTU on a semi regular basis as this crops <br>
>> up,<br>
>> and then silently works again.  We've never seen an explanation for <br>
>> it from<br>
>> them.  There's been no changes on our side to cause this issue, and<br>
>> consequently, there's also been no changes on our side able to <br>
>> correct this<br>
>> issue."<br>
>><br>
>> Gracias por sus aportes, si obtengo nueva información se las comparto.<br>
>><br>
>><br>
>><br>
>> Saludos,<br>
>><br>
>><br>
>> Jorge Frater<br>
>> Sistemas Fratec S.A.<br>
>><br>
>> -----Mensaje original-----<br>
>> De: LACNOG <<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>> En nombre de Carlos M. Martinez<br>
>> Enviado el: jueves, 12 de agosto de 2021 13:46<br>
>> Para: Latin America and Caribbean Region Network Operators Group<br>
>> <<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>><br>
>> CC: Fernando Gont <<a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a>><br>
>> Asunto: Re: [lacnog] Problema accediendo a Yahoo usando IPv6<br>
>><br>
>> El blackhole es generalmente producto de un filtrado imprudente de <br>
>> ICMPv6.<br>
>> Yo empezaría a ver por ahí. Hoy por hoy es raro que tengas un <br>
>> problema de<br>
>> hardware que te limite la MTU.<br>
>><br>
>> Arrancaría revisando toda lista de acceso que tengas que filtre <br>
>> ICMPv6, y si<br>
>> tenes firewalls, las reglas de firewall que puedan limitar ICMPv6.<br>
>><br>
>> Lo que tenés que asegurarte es que el pMTU Discovery funcione.<br>
>><br>
>> S2<br>
>><br>
>> Carlos<br>
>><br>
>> On 12 Aug 2021, at 10:43, Jorge Frater B. wrote:<br>
>><br>
>>> Bueno,<br>
>>><br>
>>> Evidentemente si es un MTU Blackhole, porque en un Ubuntu después de:<br>
>>><br>
>>> sudo sysctl -w net.ipv6.conf.enp37s0.mtu=1280 [sudo] password for<br>
>>> jfrater:<br>
>>> net.ipv6.conf.enp37s0.mtu = 1280<br>
>>><br>
>>> si funciona.<br>
>>><br>
>>><br>
>>> Ahora como se resuelve a nivel de red con miles de nodos? Solo 3<br>
>>> routers tienen contacto con el exterior en 3 edificios independientes,<br>
>>> hay algo que se pueda hacer en ellos? Cual es el origen del problema?<br>
>>><br>
>>> Hay algo en la captura del intento fallido que pueda revelar una<br>
>>> solución?<br>
>>> La tengo y la puedo compartir empieza normal y luego repite esto una y<br>
>>> otra<br>
>>> vez:<br>
>>><br>
>>> 07:11:15.610120 IP6 2800:640:d:3:ee5d:41d6:646f:720c.44700 ><br>
>>> 2001:4998:58:304::2000.443: Flags [.], ack 1, win 507, options<br>
>>> [nop,nop,TS val 2494726335 ecr 68196948,nop,nop,sack 1 {2857:4751}],<br>
>>> length 0<br>
>>>          0x0000:  6007 7343 002c 0640 2800 0640 000d 0003<br>
>>> `.sC.,.@(..@....<br>
>>>          0x0010:  ee5d 41d6 646f 720c 2001 4998 0058 0304<br>
>>> .]A.dor...I..X..<br>
>>>          0x0020:  0000 0000 0000 2000 ae9c 01bb 8024 d25d<br>
>>> .............$.]<br>
>>>          0x0030:  5d29 cc0a b010 01fb c227 0000 0101 080a<br>
>>> ]).......'......<br>
>>>          0x0040:  94b2 80bf 0410 9a54 0101 050a 5d29 d732<br>
>>> .......T....]).2<br>
>>>          0x0050:  5d29 de98 ])..<br>
>>> 07:11:15.696788 IP6 2001:4998:58:304::2000.443 ><br>
>>> 2800:640:d:3:ee5d:41d6:646f:720c.44700: Flags [.], ack 518, win 232,<br>
>>> options [nop,nop,TS val 68217200 ecr 2494706172], length 0<br>
>>>          0x0000:  6000 0000 0020 062e 2001 4998 0058 0304<br>
>>> `.........I..X..<br>
>>>          0x0010:  0000 0000 0000 2000 2800 0640 000d 0003<br>
>>> ........(..@....<br>
>>>          0x0020:  ee5d 41d6 646f 720c 01bb ae9c 5d29 de98<br>
>>> .]A.dor.....])..<br>
>>>          0x0030:  8024 d25e 8010 00e8 c113 0000 0101 080a<br>
>>> .$.^............<br>
>>>          0x0040:  0410 e970 94b2 31fc ...p..1.<br>
>>><br>
>>><br>
>>><br>
>>> Saludos,<br>
>>><br>
>>><br>
>>> Jorge Frater<br>
>>> Sistemas Fratec S.A.<br>
>>><br>
>>> -----Mensaje original-----<br>
>>> De: Fernando Gont <<a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a>> Enviado el: jueves, 12 de<br>
>>> agosto de 2021 01:35<br>
>>> Para: Latin America and Caribbean Region Network Operators Group<br>
>>> <<a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a>>; Jorge Frater B. <<a href="mailto:jfrater@fratec.com" target="_blank">jfrater@fratec.com</a>><br>
>>> Asunto: Re: [lacnog] Problema accediendo a Yahoo usando IPv6<br>
>>><br>
>>> On 5/8/21 16:07, Jorge Frater B. wrote:<br>
>>>> Buenas,<br>
>>>><br>
>>>> Quizás alguien haya pasado por algo así y pueda echar una luz a este<br>
>>> asunto.<br>
>>>> Desde hace un tiempo para acá (no sé cuánto exactamente, semanas o<br>
>>>> meses) no me despliega la página de login de Yahoo usando IPv6 desde<br>
>>>> mi<br>
>>> red.<br>
>>>> Cabe mencionar que la página de inicio funciona bien y que yo sepa es<br>
>>>> la única página v6 que no sirve.<br>
>>> Podes postear (y pasarnso el URL de una captura), o bien pasar por aca<br>
>>> el output en teto de la misma.<br>
>>><br>
>>> Por ej:<br>
>>><br>
>>> # tcpdump -i INTERFAZ -n -s 5000 -x -X host IPDELHOST<br>
>>><br>
>>><br>
>>> Ajeno a eso, como menciona Carlos puede ser un MTU blackhole.<br>
>>><br>
>>> Pra ver si es eso, o bien setea artificialmente el MTU de tu interfaz<br>
>>> de red a 1280 bytes. Por ej., si estas en un Linux, hace:<br>
>>><br>
>>> # sysctl -w net.ipv6.conf.INTERFAZ.mtu=1280<br>
>>><br>
>>> Si haciendo eso te funciona bien, definitivamente es un MTU blackhole.<br>
>>><br>
>>> Slds,<br>
>>> -- <br>
>>> Fernando Gont<br>
>>> e-mail: <a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a> || <a href="mailto:fgont@si6networks.com" target="_blank">fgont@si6networks.com</a> PGP Fingerprint:<br>
>>> 7809<br>
>>> 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1<br>
>>><br>
>>><br>
>>><br>
>>> _______________________________________________<br>
>>> LACNOG mailing list<br>
>>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
>>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
>>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
>> _______________________________________________<br>
>> LACNOG mailing list<br>
>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
>><br>
>> _______________________________________________<br>
>> LACNOG mailing list<br>
>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>