Vraag

IPv4 TCP connecties krijgen soms ICMP prohibited of no route to host

  • 13 augustus 2020
  • 16 reacties
  • 466 keer bekeken

Sinds afgelopen Vrijdag (07-08-2020) ervaar ik problemen met IPv4 op mijn DS-Lite verbinding in Venlo.

IPv6 werkt probleemloos waardoor sites/diensten zoals Tweakers, NOS, Facebook, Gmail, Youtube prima werken.

Het opzetten van IPv4 connecties gaat echter niet goed. Dit ervaar ik op meerdere devices:\

  • Apple iPhone
  • Apple iPad
  • Apple iMac
  • Linux laptop (Ubuntu 18.04)
  • Apple MacBook Air

Op de terminal van mijn iMac of Linux laptop kan ik redelijk snel zien wat er gebeurd:

 

Computers-iMac:~ wido$ curl -I -4 nos.nl

curl: (7) Failed to connect to nos.nl port 80: Connection refused

Computers-iMac:~ wido$ curl -I -4 nos.nl

curl: (7) Failed to connect to nos.nl port 80: Connection refused

Computers-iMac:~ wido$ curl -I -4 nos.nl

HTTP/1.1 301 Moved Permanently

Server: nginx/1.19.0

Date: Thu, 13 Aug 2020 08:38:05 GMT

Content-Type: text/html

Content-Length: 169

Connection: keep-alive

Location: https://nos.nl/

X-Instance-Name: nos1gwb.omroep.nl

X-Clacks-Overhead: GNU Terry Pratchett

X-Content-Type-Options: nosniff

Computers-iMac:~ wido$ curl -I -4 nos.nl

HTTP/1.1 301 Moved Permanently

Server: nginx/1.19.0

Date: Thu, 13 Aug 2020 08:38:06 GMT

Content-Type: text/html

Content-Length: 169

Connection: keep-alive

Location: https://nos.nl/

X-Instance-Name: nos1lwb.omroep.nl

X-Clacks-Overhead: GNU Terry Pratchett

X-Content-Type-Options: nosniff

Computers-iMac:~ wido$ curl -I -4 nos.nl

curl: (7) Failed to connect to nos.nl port 80: Connection refused

Computers-iMac:~ wido$

Nu zou je kunnen zeggen, dit ligt aan de NOS servers, maar het komt naar random websites voor als je de verbinding over IPv4 forceert:

Computers-iMac:~ wido$ curl -I -4 ziggo.nl

curl: (7) Failed to connect to ziggo.nl port 80: Connection refused

Computers-iMac:~ wido$ curl -I -4 ziggo.nl

curl: (7) Failed to connect to ziggo.nl port 80: Connection refused

Computers-iMac:~ wido$ curl -I -4 ziggo.nl

HTTP/1.1 301 Moved Permanently

Date: Thu, 13 Aug 2020 08:42:44 GMT

Server: Apache

Location: https://www.ziggo.nl/

Cache-Control: max-age=300

Expires: Thu, 13 Aug 2020 08:47:44 GMT

Content-Type: text/html; charset=iso-8859-1

Computers-iMac:~ wido$

Ik ben daarna met Wireshark gaan kijken en zie dat er ICMP berichten terug komen van *192.0.0.1* met daar in:

  • ICMP Admin Prohibited
  • ICMP No Route to Host

Het resultaat is dat IPv4-only diensten niet of nauwelijks werken. Maar ook diverse devices kunnen hier niet goed mee overweg. Zo denkt mijn Smart  TV met LG WebOS dat er geen internet verbinding is, omdat deze enkel over IPv4 controleert.

Netflix werkt hierdoor ook maar half, want de App zegt continue geen internet te hebben.

 

Dit lijkt er heel erg op dat er een CGNAT router aan kant van Ziggo geen nieuwe sessies kan opzetten of dat er een rate limiter ergens bezig is.

 

De helpdesk komt niet verder dan mijn modem willen resetten, maar daar zit het probleem niet. De ICMP berichten die ik hier boven beschrijf komen van een router van Ziggo en daar zit het probleem.


Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

16 Reacties

Dit lijkt overigens sterk hier op: https://community.ziggo.nl/internetverbinding-102/err-connection-refused-op-specifieke-websites-38481

08:55:48.090633 IP 192.168.178.2.49038 > 209.84.3.123.80: Flags [S], seq 380260942, win 64240, options [mss 1460,sackOK,TS val 1812575137 ecr 0,nop,wscale 7], length 0

08:55:48.108982 IP 192.0.0.1 > 192.168.178.2: ICMP host 209.84.3.123 unreachable - admin prohibited filter, length 36

08:55:48.109645 IP 192.168.178.2.32958 > 8.247.8.202.80: Flags [S], seq 825088449, win 64240, options [mss 1460,sackOK,TS val 2859326045 ecr 0,nop,wscale 7], length 0

08:55:48.136321 IP 192.0.0.1 > 192.168.178.2: ICMP host 8.247.8.202 unreachable - admin prohibited filter, length 36

08:55:48.137024 IP 192.168.178.2.40858 > 8.12.214.233.80: Flags [S], seq 3123369073, win 64240, options [mss 1460,sackOK,TS val 3542363775 ecr 0,nop,wscale 7], length 0

08:55:48.151386 IP 192.0.0.1 > 192.168.178.2: ICMP host 8.12.214.233 unreachable - admin prohibited filter, length 36

08:55:49.125770 IP 192.168.178.2.49044 > 209.84.3.123.80: Flags [S], seq 2985866599, win 64240, options [mss 1460,sackOK,TS val 1812576172 ecr 0,nop,wscale 7], length 0

08:55:49.146160 IP 192.0.0.1 > 192.168.178.2: ICMP host 209.84.3.123 unreachable - admin prohibited filter, length 36

08:55:49.146753 IP 192.168.178.2.32964 > 8.247.8.202.80: Flags [S], seq 1408987840, win 64240, options [mss 1460,sackOK,TS val 2859327082 ecr 0,nop,wscale 7], length 0

 

Hier boven nog de output van tcpdump op een Linux machine. Je ziet hier dus de ‘admin prohibited’ terug komen.

Helder. Die “admin prohibited” meldingen wijzen m.i. op een firewall(achtig) iets wat in de weg zit. Het feit dat dit van 192.0.0.1 afkomstig is geeft aan dat dit uit het Ziggo netwerk komt. @hanh kun jij eens een mod aan de jas trekken? Dit mag wel even uitgeplozen.

Oh jee. Het CGNAT is ziekjes. Your wish is my command. In dit geval.:wink:

Het is handig ff te weten welk CGNAT IPv4 adres thans actief is.
Simpel vast te stellen met:
https://www.whatismyip.com/

Wellicht staat dit hierboven ook al, maar gemak dient de mens.

 

Thnx :grin:  Ben benieuwd wat hier uit komt.

Mijn CGNAT IPv4 adres is nu: 213.127.66.224

Deze was 24 uur geleden nog wat anders, maar ik weet niet welke het toen was.

Ik wil nogmaals benadrukken dat mijn internet gewoon halfbakken werkt. Het is niet een leuk dingetje wat ik wil doen.

IPv4 werkt gewoon niet.

Oh jee. Het CGNAT is ziekjes. Your wish is my command. In dit geval.:wink:

Het is handig ff te weten welk CGNAT IPv4 adres thans actief is.
Simpel vast te stellen met:
https://www.whatismyip.com/

Wellicht staat dit hierboven ook al, maar gemak dient de mens.

 


Nog om aan te geven. Ik kan 192.0.0.1 pingen met een latency van 16ms (bekabeld). Dit lijkt mij de CGNAT router of een ander tunnel endpoint in het Ziggo netwerk te zijn.

Een traceroute valt direct dood na 192.168.178.1 (Connect Box). Dus het lijkt mij een router van Ziggo.

Ook nu om 22:37 heb ik 50% van de tijd geen IPv4 connecties.

Ha, @widodh Denk niet dat ik je issue niet zou hebben gemeld op de achtergrond.

Je hebt specialistische hulp nodig. Er zal zeker contact nodig zijn met network engineers, waarvoor door een Mod als tussenpersoon op grond van eigen expertise een Case moet worden aangemaakt.
Dit is nu eenmaal geen alledaags probleem.

Een Mod met weekenddienst kan hier geen of minder ervaring mee hebben, waardoor snellere response uitblijft. Ik verwacht maandag een bericht.

Zodra ik iets meer zou weten over de voortgang, laat ik je dit weten.
Uiteraard hou ik dit Topic in de gaten.
Al was het maar uit nieuwsgierigheid wat hier precies aan de hand is en hoe de oplossing er uit zal gaan zien.:wink:

Let op. Ik moet eerlijk zijn. Een overstap van DS-Lite naar een IPv4 profiel is een snelle workaround. Dat is eenvoudig vandaag te regelen via een Ziggo servicemedewerker (telefonisch of Chat).
Het nadeel is dat dit probleemgeval verloren gaat. De impact ervan kan breder zijn en meer klanten treffen. Dat maakt wat meer onderzoek waardevol.
Ik laat het aan jouw oordeel over wat je met deze wetenschap wilt doen.

Teug naar IPv4-only is voor mij geen oplossing. IPv6 gebruik ik juist heel veel voor mijn werk.

Doordat ik IPv6 heb kan ik wel bij al onze bedrijfsservers, mijn e-mail, deze community en diensten ales YouTube, Google, Netflix, etc.

Sonos/Spotify werken niet en daarnaast ook nog veel IPv4-only diensten.

Wel is mijn modem in 1x gereset. Ik heb een nieuw IPv4 adres en een anders IPv6 adres.

Als ik met mijn browser naar 192.168.178.1 ga krijg ik weer de setup met de taal te kiezen. Vervolgens inloggen kan niet meer omdat ik een verkeerd wachtwoord zou ingeven?

Iets of iemand heeft mijn modem dus gereset en ik kan er nu niet meer in. Wel vreemd dat ook mijn IPv6 subnet ineens veranderd is.

Doordat ik IPv6 heb kan ik wel bij al onze bedrijfsservers, mijn e-mail, deze community en diensten ales YouTube, Google, Netflix, etc.

Ja in jouw speciale geval.
Dit soort Servers zijn Dual Stack. Dwz naast via IPv4 ook via IPv6 te bereiken.
Omdat je IPv6 hebt wordt een IPv6 Connectie gelegd. Dat krijgt de voorkeur. Dat is mooi meegenomen bij het probleem dat je hebt.

Zonder IPv6 bij je thuis zou de Connectie netjes  via IPv4 gaan verlopen. Voor de bedrijfs servers zou er een uitzindering kunnen zijn als die alleen via IPv6 bereikbaar zouden zijn gemaakt. Het kan, maar dat kom je zelden tegen.

Je huidige probleem is dat er via het CGNAT niet een altijd werkende  IPv4 Connectie kan worden gemaakt met Servers die alleen IPv4 ondersteunen.

Als je IPv6 Full Dual Stack op de Connectbox zou hebben, dan kan dit probleem er niet zijn. Het CGNAT speelt alleen een rol voor IPv4 Connecties bij IPv6 DS-Lite,

Wel is mijn modem in 1x gereset. Ik heb een nieuw IPv4 adres en een anders IPv6 adres.

Als ik met mijn browser naar 192.168.178.1 ga krijg ik weer de setup met de taal te kiezen. Vervolgens inloggen kan niet meer omdat ik een verkeerd wachtwoord zou ingeven?

Iets of iemand heeft mijn modem dus gereset en ik kan er nu niet meer in. Wel vreemd dat ook mijn IPv6 subnet ineens veranderd is.

@widodh Merkwaardig. Bedoel je dat er een factory reset heeft plaatsgevonden? Dan moet je toch kunnen inloggen met de credentials die op het modem staan?
Of heeft je modem geen goede configuratie meer? Dat kan natuurlijk ook allerlei rare issues geven..

Misschien is het een teken dat er op de achtergrond van alles gaande is, maar dat is speculatief. Daar kan alleen een mod meer helderheid over geven. Sluit me verder aan bij bovenstaande.

Reputatie 7

Een Mod met weekenddienst kan hier geen of minder ervaring mee hebben, waardoor snellere response uitblijft. Ik verwacht maandag een bericht."

En zo is het precies @widodh. Van dit specialistische onderdeel heb ik weinig kaas gegeten. En zoals Hanh al aangaf, geef ik dit door aan mijn collega's die hier morgen op reageren. 

Ik heb via een andere weg al contact gehad met een network engineer van Ziggo.

 

Mijn profiel is nu om gezet van DS-Lite maar Full Dual Stack. Ik heb nu IPv4 en IPv6 op mijn verbinding.

Mijn problemen zijn nu verholpen. Fijn voor mij, maar ik heb het sterke vermoeden dat er klanten (wellicht enkel regio Venlo) zijn die hier tegenaan lopen en er met de helpdesk ook niet uit komen.

Of de helpdesk komt met de oplossing om IPv6 uit te zetten. Want natuurlijk weer 10 stappen achteruit gaan is.

Reputatie 7

@widodh Fijn om te lezen dat hierop al actie is ondernomen. Werkt alles nu ook volledig naar wens? Anders helpen wij jou hier graag verder. 
Groeten,

Paul 

@widodh Fijn om te lezen dat hierop al actie is ondernomen. Werkt alles nu ook volledig naar wens? Anders helpen wij jou hier graag verder. 
Groeten,

Paul 


Mijn probleem is verholpen ja.

Het blijft wel vervelend dat het ruim een week heeft moeten duren en de helpdesk gewoon niets wilde/kon doen. Ik had gewoon geen werkende verbinding. Een storing dus.

Reputatie 7

@widodh Jammer dat het even geduurd heeft. Maar ik ben blij dat alles nu weer naar wenst werkt. Ik hoor het graag als we je verder nog ergens mee kunnen helpen.
Een hele fijne dag gewenst!

Groeten,

Paul