Paketverluste und instabiles BGP-Routing im O2-Backbone (nachgewiesen via Traceroute)

Paketverluste im O2-Netzwerk nachgewiesen

Ich habe ein Traceroute zum VPN-Server durchgeführt - sowohl über DSL als auch über Mobilfunk. In beiden Fällen zeigt sich:

• Paketverlust bei Hop 10 nach dem O2-Netzwerk

Poste doch mal bitte beide Traceroutes hier.

Zuerst DSL:

 Und hier die Hotspot-Version:

Ah, macuser? Dann nutze doch bitte mtr (z.B. ueber homebrew installierbar):

sudo mtr -ezb4w -c 100 185.48.244.213

und copy und paste das als text und formatier das als code. Du kannst gerne die IP Adressen und DNS-Namen von sensitiven Hops redigieren, aber lass die Zahlen dazu bitte lesbar.

Ach, ja relevanter Packetverlust ist solcher der ab einem Hop (z.B.) anfaengt und in aehnlichem Ausmass ab diesem Hop fuer alle weiteren Hops konstant bleibt, dass ein Hop zwoschen durch nicht antwortet ist nicht unueblich und ist nicht Diagnostisch fuer echte Probleme.

Hier mal mein Lieblingsdokument zum Thema Traceroute/mtr:

https://archive.nanog.org/sites/default/files/10_Roisman_Traceroute.pdf

Hallo Du freundlicher Helfer,
ich würde Deinem Hinweis gerne folgen, aber leider bin ich zum einen Laie (die bisherigen Arbeitsschritte, Lösungsmöglichkeiten und Diagnostiken hat mir eine KI vorgeschlagen und die konnte ich mit “Bordmitteln” ausführen)  und zum anderen ist mir das tiefere EIngreifen in das System oder Fremdinstallationen auf meinem Arbeitsrechner nicht erlaubt. Vielleicht führt mich der bisherige Lösungsansatz komplett auf eine falsche Fährte und O2 ist gar nicht das Problem, aber ich greife nach jedem Strohhalm, bevor ich möglicherweise den Provider wechseln muss, wie es mir unser Systemadministrator geraten hat. Der freundliche Mann vom O2-Service hat als Lösungsansatz einen anderen DSL-Tarif vorgeschlagen, was ich auch nicht wirklich befriedigend fand. By the way, andere Arbeitskollegen haben das gleiche Problem, sind aber bei Congstar bzw, der Telekom. Es ist zum Verzweifeln.
Ich weiß, das bringt Dich jetzt nicht weiter. So wie ich deine Antwort verstehe, sind die Aussetzer, wie ich sie als Laie nennen würde, im Rahmen des Normalen?

Nein, Aussetzer eines Verbindung alle X Minuten sind IMHO nicht im Rahmen des Normalen, sondern ein Problem das es zu loesen gilt.

Aber vielleicht fangen wir mal ganz unten an, bei der DSL Verbindung (ja ich weiss Du hast die Probleme auch ueber Mobilfunk, aber lass uns das kurz kontrollieren).

Da Du eine Fritzbox hast, dann poste doch bitte Screenshot (am besten von einem PC oder Tablett, statt vom Smartphone) von allen Tabs im Bereich:
Internet -> DSL-Informationen
Deiner Fritzbox.

Dabei beachte bitte die folgenden Punkte:
a) Bei Tabs die über mehrere Bildschirmseiten gehen, bitte auch mehrere Screenshots machen und posten
b) Beim Spektrum Tab bitte erst auf den Link "Maximum und Minimum anzeigen" klicken

Des weiteren wäre es gut zu wissen:
a) ob Du oder einer Deiner Nachbarn Powerline/PLC Adapter verwenden (die interferieren oft mit VDSL)
b) wie viele TAE-Dosen bei Dir im Einsatz sind? (Bonus, vielleicht kannst Du ein Photo von der ersten TAE machen, bei dem man sieht welche Adern mit welchen Anschlüssen verbunden sind und welche Farben/Bandcodes diese Adern jeweils haben). Wie eine TAE aussieht findest Du hier: https://de.wikipedia.org/wiki/Telekommunikations-Anschluss-Einheit
c) wie der APL aussieht (auch hier kann ein Photo helfen) (APL: Abschlusspunkt Linientechnik: https://de.wikipedia.org/wiki/Abschlusspunkt_Linientechnik)

 Hier zunächst die Screenshot:

a) ob Du oder einer Deiner Nachbarn Powerline/PLC Adapter verwenden (die interferieren oft mit VDSL)

Ich nicht. Da muss ich erstmal die Nachbarn fragen.

b) wie viele TAE-Dosen bei Dir im Einsatz sind? (Bonus, vielleicht kannst Du ein Photo von der ersten TAE machen, bei dem man sieht welche Adern mit welchen Anschlüssen verbunden sind und welche Farben/Bandcodes diese Adern jeweils haben). Wie eine TAE aussieht findest Du hier: https://de.wikipedia.org/wiki/Telekommunikations-Anschluss-Einheit

Ich habe genau eine im Einsatz, ich schicke ein Foto, aber keine Lust die aufzuschrauben.

c) wie der APL aussieht (auch hier kann ein Photo helfen) (APL: Abschlusspunkt Linientechnik: https://de.wikipedia.org/wiki/Abschlusspunkt_Linientechnik)
 

Anbei Fotos, von den Sachen, die ich gefunden habe. Ist ein Mietshaus, Altbau, alles etws verwirrend hier.

Danke!

Mmmh, das ist ein DSL50/20 Anschluss an langer Leitung der aber Vollsync fuer das entsprechende Profil erreicht und zumindest ueber die 4 Stunden die gezeigt werden keine Anzeichen fuer irgendwelche Stoerungen zeigt. Aber das hatten wir ja auch irgendwie erwartet.

Hast Du neben dem Arbeits-Mac noch andere Computer die Du zum Messen verwenden kannst? Und verwendest Du ein Netzwerkkabel zwischen Fritzbox und Arbeitscomputer oder WLAN?

Ich verwende WLAN. Ich habe hier noch ein MacBook und einen Windows-Laptop rumfliegen. Was soll ich denn damit messen? 

Ah, erster Test waere mal eine Ethernetverbindung zu versuchen, wenn die glatt laeuft, dann ist Dein Problem vielleicht WLAN-abhaengig und dafuer ist O2 ja nicht verantwortlich.

Das Macbook ist Deines? Dann koenntest Du da drauf homebrew installieren und MTR nutzen ;)

https://brew.sh

Da kann ich gleich dazwischengrätschen: Ethernet habe ich ebenfalls erfolglos probiert.

Ich habe mir die Seite von Homebrew mal angeschaut. Das sieht … äh … komplex aus.
Das MacBook ist mein Privates, nutzt ein altes MACOS (Ventura 13.7.8)  wegen der Musiksoftware und ich nutze es ausschliesslcih zum Musikmachen. Wenn ich da etwas verpfusche, käme das einem Supergau gleich.

Die Systemvoraussetzungen von Homebrew sind wie folgt:

• An Apple Silicon CPU or 64-bit Intel CPU 1
• macOS Sonoma (14) (or higher) installed on officially supported hardware

Ich sehe da wenig Chancen. Und by the way, was ist das Spezielle an Homebrew und was bedeutet MTR?

Homebrew erlaubt es einfach Unix Software auf Macs zu installieren und deinstallieren… aber gut moeglich, dass Ventura nicht mehr unterstuetzt wird.

Da kann ich gleich dazwischengrätschen: Ethernet habe ich ebenfalls erfolglos probiert.

OK, wie hast Du diesen Test gemacht, und wie hast Du sichergestellt, dass der Mac nicht doch das WLAN genutzt hat? (Das ist mitunter knifflig vorherzusagen welchen Link ein Mac nutzt wenn gleichzeitig LAN und WLAN bereitstehen).

MTR ist eine nette interaktive Variante von traceroute die laengere Messungen anstellen kann und daher eher solche Glitche wie bei Dir, bzw. deren Ursache finden kann. 

​@pufferueberlauf0 Hm, also bei

IPv6-Konfigurationsproblem im O2-DNS

"Zusätzlich gibt der O2-DNS-Server sporadisch fehlerhafte IPv6-Adressen zurück - nämlich eine link-local Adresse fe80::207:32ff:fe94:bb22, die nicht routbar ist. Das verzögert den VPN-Aufbau um 60 Sekunden und führt zu Verbindungsabbrüchen. Das passiert sowohl über DSL als auch über Mobilfunk."

musste ich kurz an diesen wilden Fall denken 

DSL IPv6 PD DHCPv6 eventueller Fehler seitens O2 | O₂ Community

Es scheint, als würde O2 seinen Präfix nicht von einer FE80::/8 Adresse verschicken, sondern von einer Adresse, die den Anschein macht als würde sie gerne eine FE80::/8 Adresse sein:

Adresse von der ich die DHCPv6 Antwort bekomme: 0:80fe::f6e4:51ff:fed3:bc71
Adresse von der ich die DHCPv6 Antwort erwartete: fe80::f6e4:51ff:fed3:bc71

​@Herr Hoeren Willkommen in unserer o2 Community, da hast du aber direkt eine harte Nuss mit im Gepäck, ich hoffe die bekommen wir hier geknackt 😄

Hab ich das erst mal soweit richtig verstanden, dass hier nur die VPN Verbindung betroffen ist? Also ohne getunnelte Verbindung könntest du den ganzen Tag fehler und unterbrechungsfrei surfen? 

VG Matze 

musste ich kurz an diesen wilden Fall denken

Wobei es dort um Router Advertisements und/oder DHCPv6 ging und nicht um Antworten von o2 DNS Servern.

Allerdings bin ich mir aufgrund der Diagnostikmethode (mit AI durchgeführt) auch nicht wirklich sicher was da dran sein soll und ob tatsächlich die DNS Servern derartige falsche antworten liefern...

Hallo Allerseits,

ein kurzes Status-Update. Nachdem ich in der Service-Hotline hartnäckig darauf beharrt habe, ein Störungs-Ticket zu eröffnen (Der Level 1-Mitarbeiter meinte allen Ernstes, ein Vertrag mit größerem Datenvolumen würde das Problem lösen), war gestern ein Telekom-Techniker im Auftrag von o2 vor Ort und hat in der Telefondose einige Kabel erneuert, bzw. repariert. Seitdem läuft der VPN-Zugang. Unterbrechungsfrei surfen war immer und jederzeit möglich. 

Nun schwanke ich zwischen Skepsis (wie lange der Zugang nun funktioniert), Lachen (weil der Zugang nun funktioniert) und Weinen (weil ich möglicherweise wochenlang komplett auf der falschen Fährte unterwegs gewesen bin).
Ich danke Euch für Eure Unterstützung und Anteilnahme bei dieser “harten Nuss”.
Falls sich am Status quo etwas ändert, weiss ich nun, wo ich um Hilfe und Rat fragen kann.
Das ist viel wert.

Hallo Zusammen,
so fühlt sich Verzeiflung an. Um ziemlich genau 9:00 Uhr hat sich die Tunnelblickverbindung wieder verabschiedet. Der Telekomtechniker ist umsonst gekommen. Mir sind noch seine Worte im Ohr: “Das ist ein Altbau mit alten Kupferleitungen. Das wird nicht besser. Es kann auch sein, dass jemand ein altes Funktelefon o.ä. in der Nähe benutzt, das könnte auch schon reichen, um die Störung hervorzurufen. Auch ein Umstieg auf die Telekom als Provider wird aus oben genannten Gründen nichts bringen.”

Tja, da bleiben mir wohl nur folgende Möglichkeiten: wenn unser Systemadmin am 15.11. wieder gesund ist, ihn zu fragen, ob ich das Verbindungsprotokoll von UDP auf TCP ändern kann (soll angeblich stabiler sein), bis zum Herbst 2026 auf einen Glasfaseranschluss zu warten (der wohl dann in unsere Straße kommt) und mich bis dahin vom Homeoffice zu verabschieden.

Oder hat von Euch jemand noch eine Idee?
Würde das Tunnelblick-Log jemandem helfen?
 

​@Herr Hoeren Puuh, das tut mir leid, das scheint wirklich ein tricky Fall zu sein ☹️

so fühlt sich Verzweiflung an. Um ziemlich genau 9:00 Uhr hat sich die Tunnelblickverbindung wieder verabschiedet.

Ohne zu viel über deine Arbeit zu verraten, aber arbeitet deine Firma mit so schwierigen Systemen, dass nach einem Abbruch der Verbindung erst mal nichts mehr geht? Will sich der VPN Client nach Disconnect dann einfach nicht wieder verbinden?

Mir bricht die VPN Verbindung im HO auch hin und wieder weg, dann wähle ich mich einfach wieder ein und starte das ein oder andere Tool wieder. Nervig? Absolut, aber man kann trotzdem (weiter) arbeiten. 

wenn unser Systemadmin am 15.11. wieder gesund ist, ihn zu fragen, ob ich das Verbindungsprotokoll von UDP auf TCP ändern kann (soll angeblich stabiler sein)

Das scheint mir kurzfristig auf jeden Fall die beste und “einfachste” Lösung zu sein. 

Falls du das angehst berichte bitte, was euer Admin zu der Idee gesagt hat. 

VG Matze  

​@Herr Hoeren 

Ich habe von dem ganzen Zeugs so viel Ahnung, wie ein Senkrechtbohrer einen Horizont hat!

Aber wenn Du die Probleme mit der VPN-Verbindung sowohl bei DSL als auch beim Mobilfunk hast, dann frage Euren Sysadmin am 16..11., ob er für Dich den MTU-Wert auf 1480 oder im Zweifel auf 1472 setzen kann. Ich habe da mal was gelesen im Inet.

Und wieder wegduck…

Mir sind noch seine Worte im Ohr: “Das ist ein Altbau mit alten Kupferleitungen. Das wird nicht besser. Es kann auch sein, dass jemand ein altes Funktelefon o.ä. in der Nähe benutzt, das könnte auch schon reichen, um die Störung hervorzurufen. Auch ein Umstieg auf die Telekom als Provider wird aus oben genannten Gründen nichts bringen.”

Wenn das Dein Problem waere, muessten wir das in den DSL Statistiken sehen. Du kannst ja noch mal die aktuelle Screenshots von den Tabs der Fritzbox machen und posten…

Ansonsten waere ein erneuter Test ueber Ethernetkabel hilfreich, mit ausgeschaltetem WLAN.

​@pufferueberlauf0 Was sagen da deine Erfahrungswerte? Wie stehst du dazu? 

wenn unser Systemadmin am 15.11. wieder gesund ist, ihn zu fragen, ob ich das Verbindungsprotokoll von UDP auf TCP ändern kann (soll angeblich stabiler sein)

Das wäre im Zweifelsfall für TE am einfachsten (sofern IT da mitspielt), oder nicht? 

Fuer VPNs ist UDP eigentlich das Protokoll der Wahl, wenn es nicht unterwegs aus irgendwelchen Gruenden massiv gedroppt wird. Der Grund ist einfach, wenn man TCP innerhalb eines TCP-VPNs (oder auch eines unverschluesseleten TCP-Tunnels) verwendet und ein Packet geht verloren, dann versuchen sowohl die aeussere als auch die innere TCP Stack dieses Packet durch Retransmission zu ersetzen und das kann sich hochschaukeln und viel Kapazitaet verbrennen… aber wie gesagt, es gibt Bedingungen unter denen ein TCP Tunnel zuverlaessier funktioniert.

Hier waere ein traceroute von Herrn Hoeren zu seinem AG interessant um mal zu sehen welche AS/Netze dazwischen haengen, die naechste Frage waere dann, wo gehen die Pakete verloren. Aber normale Traceroutes zeigen das nicht, daher meine Frage nach MTR Resultaten… was am vernagelten Notebook vom AG scheitert.

ob er für Dich den MTU-Wert auf 1480 oder im Zweifel auf 1472 setzen kann

Weiss ich nicht so. Ich denke schon dass hier den Overhead für PPPoE berücksichtigt wurde, im endeffekt ist ja dort die MTU bei 1492. Allerdings müssen sich aus meiner Sicht manche Arbeitgeber auch mal trauen für gute ITler auch gutes Geld zu bezahlen, vielleicht ist das bei Herr Hoeren nicht der Fall, sieht man auch ab und zu.

Je nach dem welchen Overhead man berücksichtigen will, muss man entsprechend weiter die MTU verkleinern, aber das ist dann eben abhängig von den genutzten Technologien auf dem Weg von der Quelle zum Ziel (wenn z.B. auf dem weg eine Route mit einer MTU von sagen wir mal frei erfunden 1300, dann kann man natürlich die Pakete nicht unfragmentiert durch diese Route senden, und ich denke darauf zielst du auch hinaus bez. der MTU Reduktion)

Das lässt sich übrigens auch mit ICMP ermitteln, man darf nur nicht vergessen dass der ICMP Overhead 8 Byte sind und nicht 20 wie bei TCP ;)

Kurz Offtopic: Ich musste im Übrigen in 30 Jahren Internet noch nie was am MTU Wert schrauben. Persönliche nutze ich da immer die Standardwerte und bisher war da nie ein manuelles eingreifen von Nöten.

Ich musste im Übrigen in 30 Jahren Internet noch nie was am MTU Wert schrauben.

Ich finde nicht dass es offtopic ist, und es ist auch richtig so. Viele denken man muss da was ändern, man verspricht sich da verschiedenes, sei es Performancegewinn, oder irgendwie “schnelleres Internet” oder dass das anpassen davon irgendwelche Probleme (die natürlich nur selten etwas mit der MTU zu tun haben) beheben soll… naja MTU kann man schon anpassen, so ist es nicht, aber man sollte auch genau wissen warum und wofür :D

Andes gesagt, um ein Problem zu beheben, muss man ihn auch erstmal (richtig) verstehen.

Um ziemlich genau 9:00 Uhr hat sich die Tunnelblickverbindung wieder verabschiedet

Es ist womöglich nicht ausgeschlossen dass diese in der Vergangenheit aus 2 Gründen abriss und es jetzt nur noch einer ist.

@Allgemein

Ich nehme die Anspielung auf den MTU-Wert jetzt mal persönlich… oder auch nicht!

;)

Auch ich habe noch nie am MTU-Wert (der sollte standardmäßig bei 1500 liegen) herumgespielt. Aber es kursieren Gerüchte, wonach ein niedrigerer MTU-Wert die Probleme beseitigt. Sei es, bei speziellen VPN-Verbindungen, oder bei den Einstellungen bei Spielekonsolen, wo man scheinbar häufig aus einer sog. Lobby gekickt wird.

Der TE schrieb, dass er sowohl bei DSL als AUCH bei einer Mobilfunkverbindung die Probleme hat. Wären die Probleme NUR bei einer Festnetzverbindung aufgetreten, hätte ich mich stickum gehalten!

Auch ich kann mir nicht vorstellen, dass diese Lösung das Gelbe vom Ei ist, zumal mit einem niedrigen MTU-Wert auch die maximale Downloadgeschwindigkeit sinkt. (Mir ist der Download wichtiger!)

;)

https://www.google.com/search?client=firefox-b-d&q=vpn+mtu