phill93
Goto Top

Routingprobleme bei der Telekom?

Hallo,

knoble gerade hier an einem Problem:

VDSL 50 Anschluss der Telekom über Fritzbox 7490 kommt nicht zu allen IP Addressen:

8.8.8.8 geht

1.1.1.1 geht nicht

ein Tracert zeigt timeouts ab dem Ersten Telekom Gateway an.

bildschirmfoto 2019-04-25 um 23.35.14

Hat jemand ein ähnliches Problem?

Content-ID: 444293

Url: https://administrator.de/forum/routingprobleme-bei-der-telekom-444293.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

LordGurke
LordGurke 25.04.2019 aktualisiert um 23:48:04 Uhr
Goto Top
Kann das von hier (Wuppertal) nicht nachvollziehen, aus anderen Netzen auch nicht.

tracert1111


NACHTRAG:
Das scheint auch generell bei der Telekom keine echte Störung zu sein, zumindest dieser Karte nach zu urteilen

atlas-1111-map
Lochkartenstanzer
Lochkartenstanzer 26.04.2019 aktualisiert um 08:21:21 Uhr
Goto Top
Hier ist beides o.k.

lks

PS: PLZ 749xx Vorwahl 0726x
98823
98823 26.04.2019 um 08:18:13 Uhr
Goto Top
Hallo,

auch bei mir kein Problem.
canlot
canlot 26.04.2019 um 08:33:20 Uhr
Goto Top
Ich schließe mich meinen Vorrednern an.
117471
117471 26.04.2019 um 08:35:45 Uhr
Goto Top
Hallo,

die Aufgabe eines Routers ist, Datenpakete weiterzuleiten und nicht, irgendwelche PING-Requests zu beantworten.

Es gibt diverse Szenarien, in denen die ICMP-Anfragen tatsächlich verworfen werden.

Gruß,
Jörg
lcer00
lcer00 26.04.2019 um 08:39:54 Uhr
Goto Top
Hallo,

sowas hatte ich schon zweimal:

bei einem Business-Telekom-Anschluss mit fester IP (die von der Telekom per DHCP vergeben wird) wurde die Verbindung hergestellt, aber das Ping lief nur bis zum ersten Telekom-Server.

Das Problem war ein "Einwahlserver" der Telekom, der irgendetwas fehlerhaft verteilte. Der normale Telekom-Support war völlig überfordert (man erklärte mir bsplw dass eine feste IP kein DHCP niemals nicht hat) - irgendwer im second level hatte dann aber was gehört von einem Serverproblem und nach einer Weile war das Problem behoben. Das scheint Anschlüsse ohne feste IP nicht zu betreffen.


Abhilfe: nicht bei sich selbst den Fehler suchen, Störungsmeldung, der Telekom sagen dass diese ganzen Lämpchen am Router lustig blinken und wenn die dann Sagen, dass nur Fritzbox & TelekomRouter supportet werden freundlich darauf insistieren, dass wenn der Ping bis ins Telekomnetz gelangt - der Fehler bei der Telekom liegen muss.


Grüße


lcer
VGem-e
VGem-e 26.04.2019 um 08:41:17 Uhr
Goto Top
Moin,

auch hier (Südbayern) z.Zt. keine solchen Probleme...

Schönes WE
117471
117471 26.04.2019 um 08:44:17 Uhr
Goto Top
Hallo,

Zitat von @lcer00:

nur Fritzbox & TelekomRouter

Stand das in Grimms Märchen?

Bei meinen Kunden gehen die sogar auf den LANCOM wenn ich das will. Es hängt immer davon ab, wie viel Kompetenz man vermittelt face-smile

Gruß,
Jörg
lcer00
lcer00 26.04.2019 um 08:55:28 Uhr
Goto Top
Hallo,
Zitat von @117471:

Hallo,

Zitat von @lcer00:

nur Fritzbox & TelekomRouter

Stand das in Grimms Märchen?

Nein, aber der Support neigt zum Märchenerzählen. face-smile
Wie gesagt, mir ist es nicht nur erst einmal passiert, dass der freundliche Mitarbeiter mich fragte, ob die grüne Lampe am Router blinkt, nachdem ich ihm gesagt hatte, dass der Router eine IP am WAN erhält und ich bis ins Telekom-netz pingen kann. Aber vielleicht liegt das auch immer daran, welchem Support-Center man zugeordnet wird.

Grüße

lcer
chgorges
chgorges 26.04.2019 um 10:30:46 Uhr
Goto Top
Ich schließe mich dem TE an, wobei es bei mir ganz speziell und kein unbekanntes Problem ist:

Mein Magenta Giga-Anschluss läuft abends und nachts in die Peering-Streitigkeiten von Hetzner und der Telekom rein. Heißt, dass ich nur morgends und tagsüber eine stabile und unterbrechungsfreie Verbindung zu Hetzner habe.

Kurioserweise haben andere Telekom-Anschlüsse in der näheren Umgebung keine Probleme um die Uhrzeit.

Router ist ein Speedport Smart 3, wenn ich das nächste Mal eine Zyxel VPN100 in der Hand habe, teste ich damit, wobei ich nicht denke, dass es am Routermodell liegt.
LordGurke
LordGurke 26.04.2019 um 15:11:58 Uhr
Goto Top
Zitat von @117471:
die Aufgabe eines Routers ist, Datenpakete weiterzuleiten und nicht, irgendwelche PING-Requests zu beantworten.

Das gilt dann aber nur für einzelne Hops (wie bei mir Hop 3), die Pakete werden dann aber definitiv weiter geroutet und das Ziel sollte irgendwann antworten.

Außerdem gehe ich davon aus, dass der TO überhaupt erst Traceroutes und Pings gemacht hat, weil auch die DNS-Anfragen nicht mehr beantwortet wurden - das lässt sich mit "Router antworten manchmal nicht aif Ping" schlecht erklären face-wink
mayho33
mayho33 26.04.2019 um 17:08:04 Uhr
Goto Top
Zitat von @lcer00:

Hallo,
Zitat von @117471:

Hallo,

Zitat von @lcer00:

nur Fritzbox & TelekomRouter

Stand das in Grimms Märchen?

Nein, aber der Support neigt zum Märchenerzählen. face-smile
Wie gesagt, mir ist es nicht nur erst einmal passiert, dass der freundliche Mitarbeiter mich fragte, ob die grüne Lampe am Router blinkt, nachdem ich ihm gesagt hatte, dass der Router eine IP am WAN erhält und ich bis ins Telekom-netz pingen kann. Aber vielleicht liegt das auch immer daran, welchem Support-Center man zugeordnet wird.

Grüße

lcer

Support-Center (aus internen Quellen) gibt es zumindest in Österreich nur eines. Ich muss die Jungs und Mädels dort außerdem ein klein wenig verteidigen, weil ich ein paar persönlich kenne: Die sind die ersten an der Front. 1st-Level, extrem viele System zu bedienen, hohe Fluktuation, die haben auch nur den Blick bis kurz hinters FrontEnd.
Jeder 1st-Level-Mitarbeiter der mehr Einblick/Know-How hat, schaut, dass er möglichst schnell aufsteigen kann oder wechselt den Bereich / das Unternehmen. Nicht nur, weil die Bezahlung dort eher schlecht ist, sondern auch weil die Kunden immer gleich einen Wunderwutzi erwarten. Zerrt ganz leicht an den Nerven.
Du bist einer der sich offensichtlich auskennt, von 100ten die täglich anrufen, die 0 Plan von der Materie haben und mit "Es geht nicht" glauben sie hätten eine volle Fehlerbeschreibung abgegeben.

Also vielleicht etwas cool bleiben. Die tun was sie können. Zumindest die, die ich kenne.
peter-
peter- 27.04.2019 aktualisiert um 01:59:52 Uhr
Goto Top
Hallo zusammen,

vielleicht ist dieser Hinweis hilfreich:


Apr 26, 2019
Cloudflare 1.1.1.1 resolver availability issue
Resolved - 1.1.1.1 was partially unavailable because of an erroneous BGP blackhole configuration update by an ISP that was propagated by a
Tier 1 provider. Note that our users who were using other IP addresses like 1.0.0.1 still could use the service. The error has been resolved and
1.1.1.1 has resumed normal operation.
Apr 26, 17:36 UTC

zu finden unter

https://www.cloudflarestatus.com/#past-incidents
LordGurke
LordGurke 27.04.2019 um 02:28:36 Uhr
Goto Top
Blackholing würde tatsächlich zum Phänomen passen, dass die Pakete ab dem ersten Telekom-Hop verworfen werden.
Interessanterweise kann ich diese Blackhole-Route in unseren Logs finden. Normalerweise protokollieren wir alle empfangenen Blackhole-Routen - diese haben wir aber weder von der DTAG und sonst auch niemandem erhalten. Das spricht dagegen, dass die DTAG selbst diese Blackhole-Route erzeugt hat.
Da die DTAG keine Blackhole-Routen mit einer Präfixlänge < /32 akzeptiert, muss die Blackhole-Route auch spezifisch die 1.1.1.1/32 betroffen haben.
Zudem verifiziert die Telekom die empfangenen Routen zumindest gegen ROA und normalerweise müssen fremde ASN auch explizit autorisiert werden, um Blackhole-Routen für Cloudflare weiterzuleiten.

Jetzt bin ich total hibbelig und will wissen, WER diese Blackhole-Route dort eingeworfen hat...
Phill93
Phill93 27.04.2019 um 23:39:44 Uhr
Goto Top
Hallo,

das Problem existiert weiterhin. Die Telekom hat keine Lust das Problem zu beheben und schiebt es auf die Kunden Hardware.
Zumindest geht das Telefon wieder seit ich auf dem Router IPv6 eingeschaltet habe.

Die 1.1.1.1 war nur ein Beispiel. Wenn ein Anschluss bei mir nicht geht ist meine Übliche Vorgangsweise Ping zu:
  • 8.8.8.8
  • 1.1.1.1
  • google.com

Damit erschlägt man schon 90 Prozent der Probleme an einem 0815 Anschluss.
117471
117471 28.04.2019 um 11:08:33 Uhr
Goto Top
Hallo,

Zitat von @Phill93:

Wenn ein Anschluss bei mir nicht geht ist meine Übliche Vorgangsweise Ping zu:
  • 8.8.8.8
  • 1.1.1.1
  • google.com

Und warum pingst Du dorthin?

Damit löst Du sicherlich keine Probleme und Du gewinnst auch keine Erkenntnisse aus den Ping-Anfragen.

Genau so gut könntest Du dein Hintergrundbild ändern.

Gruß,
Jörg
Phill93
Phill93 28.04.2019 um 11:31:20 Uhr
Goto Top
Ping zu 8.8.8.8, 1.1.1.1: IPv4 ins Internet funktioniert
Ping zu google.com: DNS funktioniert.

Das Funktioniert unter jedem Betriebsystem gleich und das kann selbst ein Laie wenn ich ihm das über Telefon durchgebe. So kann man schon mal einschätzen wo man weitersuchen muss.

Je nach Ergebniss kommen dann komplexere Dinge (für Laien) wie ein Ping zum Gateway, etc.

Gruß

Phill93
LordGurke
LordGurke 28.04.2019 um 15:20:59 Uhr
Goto Top
Mal ganz profan deine Verbindung getrennt und neu aufgebaut, um eine neue IP zu erhalten?

Dass dein Traceroute nach dem ersten DTAG-Hop abbricht, muss nicht zwingend ein ausgehendes Problem sein, es kann auch ein Routingproblem von der DTAG zu dir sein.
Insbesondere, wenn du im Moment eine IP hast, die mit 46.x.x.x beginnt, kann es schlicht sein, dass sie das jetzt woanders einsetzen und dein Anschluss die Verbindungstrennung nicht mitbekommen hat.
Lochkartenstanzer
Lochkartenstanzer 28.04.2019 aktualisiert um 17:00:37 Uhr
Goto Top
Zitat von @LordGurke:

Mal ganz profan deine Verbindung getrennt und neu aufgebaut, um eine neue IP zu erhalten?

Dass dein Traceroute nach dem ersten DTAG-Hop abbricht, muss nicht zwingend ein ausgehendes Problem sein, es kann auch ein Routingproblem von der DTAG zu dir sein.
Insbesondere, wenn du im Moment eine IP hast, die mit 46.x.x.x beginnt, kann es schlicht sein, dass sie das jetzt woanders einsetzen und dein Anschluss die Verbindungstrennung nicht mitbekommen hat.

Wenn er zu google tracen kann aber zu cloudfare nicht, so ist das ein ausgehndes Routingproblem bei der DTAG, denn sonst sollte der trace auch zu google nicht gehen, wenn es nur die Rückroute zu ihm wäre.

lks
LordGurke
LordGurke 28.04.2019 aktualisiert um 17:37:15 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Wenn er zu google tracen kann aber zu cloudfare nicht, so ist das ein ausgehndes Routingproblem bei der DTAG, denn sonst sollte der trace auch zu google nicht gehen, wenn es nur die Rückroute zu ihm wäre.

Das wäre dann richtig, wenn man davon ausgeht, dass es nur wenige Routingwege gäbe.
Da bei der DTAG aber tatsächlich nach dem ersten Hop eine recht große Anzahl unterschiedlicher Router auftaucht, ist es möglich, dass durch unterschiedliche Gewichtungen von Routen und eventueller Aggregation (das wissen wir alles nicht, wie es bei der DTAG in der Routingtabelle aussieht) zu fehlerhaftem Routing in Richtung des TO kommt.

Beispiele:

~# traceroute -I -q 1 -A 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  62.155.244.139 (62.155.244.139) [AS3320]  18.649 ms
 2  217.0.198.14 (217.0.198.14) [AS3320]  26.078 ms            <----
 3  80.150.170.30 (80.150.170.30) [AS3320]  27.557 ms
 4  108.170.251.193 (108.170.251.193) [AS15169]  23.780 ms
 5  108.170.233.37 (108.170.233.37) [AS15169]  23.515 ms
 6  google-public-dns-a.google.com (8.8.8.8) [AS15169]  23.968 ms

~# traceroute -I -q 1 -A administrator.de.
traceroute to administrator.de. (82.149.225.19), 30 hops max, 60 byte packets
 1  62.155.244.139 (62.155.244.139) [AS3320]  18.203 ms
 2  217.239.48.166 (217.239.48.166) [AS3320]  23.156 ms       <---
 3  194.25.211.99 (194.25.211.99) [AS3320]  23.603 ms
 4  ae0-3003.er1.fra1.aixit.net (83.141.5.106) [AS29551]  23.580 ms
 5  www.administrator.de (82.149.225.19) [AS29551]  23.793 ms


~# traceroute -I -q 1 -A 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
 1  62.155.244.139 (62.155.244.139) [AS3320]  18.557 ms
 2  d-ed5-i.D.DE.NET.DTAG.DE (217.5.71.50) [AS3320]  19.809 ms    <----
 3  *
 4  ae-2-3203.edge5.Dusseldorf1.Level3.net (4.69.136.250) [AS3356]  38.356 ms
 5  212.162.30.242 (212.162.30.242) [AS3356/AS9057]  26.165 ms
 6  one.one.one.one (1.1.1.1) [AS13335]  25.068 ms


Wenn bei der DTAG intern mit OSPF oder (deutlich wahrscheinlicher) IS-IS gearbeitet wird, würden normalerweise alle /32-Routen der einzelnen PPPoE-Sessions in die Routingtabellen aller Router gespült. Dann müssten aber alle Router bei der DTAG zig Millionen Routen halten, was aus naheliegenden Gründen vermieden wird.
Stattdessen wird man das Netz in viele kleine Zonen unterteilen, bei denen innerhalb der Zonen zwar eine tatsächlich vollständige Routingtabelle existiert, aber außerhalb der Zonen nur aggregierte Routen weitergegeben werden.
Hat der TO nun also eine Adresse, welche nicht mehr zu ihm geroutet wird, hängt es davon ab ob seine Pakete diese kleine Zone verlassen (dann fehlt die Rückroute) oder nicht (dann ist die Route da).
Diese Zonen sind nicht unbedingt geographisch zu sehen sondern eher darauf ausgelegt, wie schnell die Pakete an die Backbone-Router der Telekom gehen (die vermutlich nur die aggregierten internen Routen enthalten).
Jenachdem, wie innerhalb dieser Router dann die Routen gewichtet werden, kommt entweder noch eine Verbindung zustande - oder eben nicht.

Das ist alles rein spekulativ, ich gehe aber einfach mal davon aus, dass die Telekom nicht alles grundsätzlich anders macht als andere Provider, deren internes Routing ich sehen durfte face-wink


Der TO kann ja seine eigene IP mal hierüber von verschiedenen Standorten innerhalb der DTAG versuchen zu erreichen:
https://f-lga1.f.de.net.dtag.de/index.php?pageid=traceroute

Die Traceroutes erfolgen per UDP, was ein bisschen doof ist, falls eine Firewall da sitzt, die UDP einfach verschluckt - mit FritzBoxen funktioniert das aber in der Regel problemlos.


Kurzum:
Ja, es kann natürlich auch am ausgehenden Routing liegen. Aber das wäre recht deutlich auf den ATLAS-Messungen aufgefallen.
Wäre das ausgehende Routing gestört, beträfe dies eine höhere Anzahl Anschlüsse und es hätte wenigstens einen bei der ATLAS-Messung geben müssen, der die 1.1.1.1 nicht erreichen konnte.
Umgekehrt fällt eine möglicherweise fehlerhaft geroutete IP-Adresse eines einzelnen Anschlusses bei sowas schlicht nicht auf.

Die angesprochenen IP-Adressen beginnend mit 46.x.x.x habe ich deshalb erwähnt, weil diese zumindest teilweise als "Migration"-Pool ausgewiesen sind. Diese erhält man nur über einen recht kurzen Zeitraum, dann wird normalerweise eines Nachts die Verbindung durch die Telekom getrennt und danach erhält man wieder "normale" IP-Adressen.
Falls diese Trennung aus irgendeinem Grund bei dem Anschluss nicht geklappt hat und die Telekom dieses Migrations-Netz inzwischen woanders routet, wäre das zumindest eine plausible Erklärung dafür.