Quad9 TCP-Ports 443 und 853 nicht erreichbar

oli-h · 2025-01-15T23:27:32+00:00

Sunrise Community - I clienti aiutano gli altri clienti per tutto ciò che riguarda la televisione, Internet, il telefono e il cellulare. Registratevi ora!

oli-h

Ich ergänze noch die Analysesession von gestern: Der Netztraffic, wenn man “curl https://9.9.9.9” via Wingo-Mobile macht, sieht so aus:

Auch hier: Was sieht man:

Die Pakete 1 bis 5 sehen gleich aus (also wie via Sunrise-DOCSIS-Netz)
Aber das bei Sunrise duplizerte ACK-Paket 6 gibt es nicht.
Dafür kommen in den Paketen 6 bis 8 ein korrektes TLS-ServerHello von Quad9
Wenn man genauer hinschaut, dann sieht man, dass das Wingo-Paket 8 in etwa dem Sunrise-Paket 7 entspricht.

im Sunrise-Netz passiert also irgendwie folgendes:

Das erste Datenpaket (Sunrise-Paket 6) wäre der erste Teil vom TLS-ServerHello. Dieses hätte eine Länge von 1448 Bytes (siehe Wingo-Paket 6). Sunrise beschneidet dieses Paket aber auf Länge 0 und damit sieht es für Wireshark wie ein reines “ACK”-Paket aus (aber eben: es hat vermulich mal Daten beinhaltet)
Das nächte Datenpaket, also Wingo-Paket 7 (erneut Länge 1448) fehlt bei Sunrise.
Der TCP-Seq-Counter ist inzwischen bei 1+1448+1448 = 2897
Dieser Seq-Counter “2897” wird im nächsten Paket sichtbar (Sunrise-Paket 7 bzw. Wingo-Paket 8).
Ein Hinweis auf Packet-Loss (Paket 7) bzw. sogar Paketmanipulation (Paket 6) durch Sunrise.

Traceroute zeigt, dass ab dem SwissIX-Node “swissix.as42.pch.net” die beiden Pfade “Sunrise” bzw. “Wingo” in Richtung Quad9 zusammenkommen. Hinter diesem Node laufen die Pakete also denselben Weg. Der Fehler muss also davor liegen - und da gehören alle Nodes der Sunrise (bzw. UPC).

oli-h

Ich hab’ inzwischen auch bei Quad9 ein entsprechendes Ticket eröffnet und eine wirklich interessante Antwort erhalten. Mit deren Erlaubnis darf ich die Stellungnahme von Quad9 hier veröffentlichen:

Unfortunately, the former UPC segment of the Sunrise network has not been fully integrated into the Sunrise network, and this segment is aware of everyone’s routes in Switzerland, but they are not announcing those routes/prefixes to Swiss-IX or CIXP, so we have to through Frankfurt back to you. This is known as an asymmetric route, and causes problems especially with TCP.

It is known. Sunrise have acknowledged the issue. They have told us it would be fixed by end of December, now “January maybe”. There is nothing we can do about this.

Sorry the news is not better. We have been consistently e-mailing their network team for months to fix this.

Da steht also sinngemäss

Sunrise hat das Routing im Internet-Exchange-Node Swiss-IX (ich vermute: in Zürich) nicht im Griff.
Eine der beiden Kommunikationsrichtungen zwischen Ex-UPC-Kunden und Quad9 (ich weiss nicht genau welche, ich vermute aber die von Quad9 zum Ex-UPC-Kunden) wird via Frankfurt geroutet . (obwohl sowohl Quad9 also auch Sunrise am Swiss-IX vertreten sind. Sunrise muss wohl lediglich den anderen mitteilen, dass diese und jene Ziel-IPs bitte direkt zum Sunrise-Router gehen sollten - und nicht via Frankfurt)
Das sind wohl Nachwehen durch die Fusion Sunrise/UPC. Die Netzwerker wollen vermutlich Redundanzen abbauen, beherrschen aber das Metier “Netz” nicht zu 100% (oder es ist ihnen egal, wenn ihre Ex-UPC-Kunden einfach verschiedene Internetdienste nicht nutzen können)
Das Problem ist dem Sunrise-Netzwerkteam also durchaus bekannt.
Der versprochene Termin “Dezember 2024” zur Lösung des Probleme wurde seitens Sunrise nicht gehalten
Das neue Versprechen “Vielleicht Januar” ist auch etwas schwammig

Meine Kundensicht ist: Sunrise sperrt mir die Nutzung von Quad9 DoT/DoH - ggfls. um die eigenen DNS-Server zu bevorzugen. Das verletzt die Netzneutralität.

oli-h

Daniele_Sunrise Ich denke nicht, da ihr das Feherbild bereits länger gemeldet habt

Ich meine das umgekehrt:
Weil Sunrise an diesem Abend des 22. Januar versucht hat, das Problem mit Quad9 zu lösen, deswegen gab es einen grossflächigen Ausfall.

Wie gesagt: Hier geht es nicht. Ich habe es inzwischen noch an einem zweiten Ex-UPC-Anschluss getestet –> ebenfalls kein TCP mit 9.9.9.9 möglich.
Zudem sind da ja noch die Aussage von Quad9 selbst, dass sie das Routing-Problem mit euch bereits kennen.

oli-h Stellungnahme von Quad9

Und dann noch die Nachricht hier im Thread

Daniele_Sunrise wurde unsererseits der Fehler erkannt und ist per gestern Abend nicht mehr vorhanden. Heute / morgen erfolgen weitere Tests

Also leider keine Lösung seitens Sunrise.
In 6 Monaten baut die Swisscom hier dann FTTH. In 10 Monaten kann ich dann Fiber7 buchen. Die haben das Routing dann hoffentlich (und vermutlich) im Griff

GrandDixence

Die Netzwerktechnikern von Sunrise werden ihre guten Gründe haben, weshalb sie per BGP ein asymmetrisches Routing propagieren.
https://de.wikipedia.org/wiki/Border_Gateway_Protocol

Das dieses asymmetrische Routing in Kombination mit dem Netzwerkprotokoll TCP nicht funktioniert, ist klar ersichtlich am fehlenden SERVER_HELLO.

Es gibt genügend Webseiten, wo man sich das ganze BGP-Zeugs anzeigen lassen kann, ich verstehe zu wenig von BGP, um das nachvollziehen zu können.

Aus Performancegründen sollten die DNS-Servern vom Internetanschlussanbieter (ISP) verwendet werden.
https://community.sunrise.ch/d/4397-diagnose-tool-der-connect-box-sagt-ihr-heim-netzwerk-hat-derzeit-einige-probl/2

Aus Verfügbarkeitsgründen ist der Einsatz von einem DNS-Server im Heimnetzwerk zu empfehlen, welcher bei einem Ausfall der DNS-Servern vom Internetanschlussanbieter (ISP) automatisch auf eine eigenständige (rekursive) Namensauflösung umschaltet. Unbound unterstützt diese “Rückfallebene” der Namensauflösung mit dem Konfigurationsparameter “forward-first: yes”

   forward-first: <yes or no>
          If  a forwarded query is met with a SERVFAIL error, and this op‐
          tion is enabled, unbound will fall back to normal recursive res‐
          olution for this query as if no query forwarding had been speci‐
          fied.  The default is "no".

Und aus Sicherheitsgründen sollte ein DNSSEC-validierender DNS-Server im Heimnetzwerk eingesetzt werden. Wichtige Hinweise zu DNSSEC gibt es unter:
https://community.sunrise.ch/d/36906-dns-probleme

Mit einem eigenständig, rekursiv arbeitenden DNS-Server im Heimnetzwerk ist die Netzneutralität jederzeit gewährleistet.

Ein eigener DNS-Server für das Heimnetzwerk kann man auf einem Mini-Rechner wie dem Raspberry Pi 4 betreiben. Siehe dazu:
https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfaser-neuer-router-t17926.html#p101750

oli-h

GrandDixence Aus Performancegründen sollten die DNS-Servern vom Internetanschlussanbieter (ISP) verwendet werden

Und aus Gründen der Privacy sollten diese gerade nicht verwendet werden.

oli-h

GrandDixence Mit einem eigenständig, rekursiv arbeitenden DNS-Server im Heimnetzwerk ist die Netzneutralität jederzeit gewährleistet

Das hat ja mit der Netzneutralität nix zu tun. Und die Performance bei einem eigenen recursive-Resolver dürfte eher schlecht sein.
Aber DoT/DoH springen genau da in die Bresche: sie machen die (rekursive) Namensauflösung bzw. haben sie bereits gemacht. Damit können sie eine DNS-Anfrage in der Regel sehr zügig beantworten.
Bei OTT-Betreibern wie Google (8.8.8.8, 8.8.4.4) oder Cloudflare (1.1.1.1) dürfte die Wahrscheinlichkeit, dass ein von mir angefragter Domainname bereits in deren Cache ist, bei fast 100% liegen. Sunrise mit ihren wenigen Millionen Nutzen dürften bei ihrem DNS-Resolver keine so hohe Trefferwahrscheinlichkeit haben.

oli-h

GrandDixence Ein eigener DNS-Server für das Heimnetzwerk kann man […] betreiben

Ich weiss - das tue ich ja.

GrandDixence

oli-h

Und aus Gründen der Privacy sollten diese gerade nicht verwendet werden.

Ist eine ähnliche, gleich sinnlose Diskussion wie unter:
https://community.sunrise.ch/d/41888-sms-bekommen-ich-braeuchte-ein-neues-handy
zum Thema “Custom-ROM” auf dem Mobiltelefon. Diese Diskussion werde ich nicht weiter führen, weil ich sie als “Zeitverschwendung” erachte. Kurzfassung:

Wenn der Internetanschlussanbieter (ISP) respektive Mobilfunknetzwerkbetreiber sowieso alle (verschlüsselten) Kommunikationen an diesem Internetanschluss sieht und abhorchen kann, bringt eine Verschlüsselung der Namensauflösung (DNS) keinen nennenswerten, besseren Datenschutz (Privacy).

Alles was mit Wireshark an diesem LAN-Port vom EuroDOCSIS-Kabelmodem aufgezeichnet werden kann, kann auch der ISP aufzeichnen und abhorchen (wenn er von sich aus will oder wegen den Behörden/Geheimdiensten muss).

Einzige Ausnahme: Encrypted Client Hello (ECH). Aber der Einsatz von diesem “Encrypted Client Hello (ECH)” wird früher oder später von den Behörden per Gesetz unterbunden. Russland geht da vor:
https://www.heise.de/news/Blockade-durch-Zensurbehoerde-Russland-zensiert-Cloudflare-Websites-10010100.html

Wenn ein Geheimdienst die mit HTTPS verschlüsselte Kommunikation abhorchen will, so nistet er sich halt bei den grossen CDN’s ein.
https://www.cdnplanet.com/tools/cdnfinder/

oli-h

@GrandDixence : fertig mit der Diskussion “welchen DNS sollst Du nehmen”.

Es geht hier im Thread um “TCP mit 9.9.9.9 Port 443 und Port 853 geht nicht”. Scheissegal, dass es sich hierbei um einen DNS-Dienst handelt.

oli-h

Bin gerade auf einen Thread vom November 2023 (also vor 14 Monaten) gestossen: https://community.sunrise.ch/d/33264-hohe-latenz-zu-quad9-dns.

Nochmal zum Mitlesen: 14 Monate

oli-h

Übrigens: Auch manche DoH-Server von Apple laufen über diese Route, die Sunrise nich im Griff hat.

curl https://doh.dns.apple.com

Dieser bleibt eben wie 9.9.9.9 manchmal hängen. Etwas genauer betrachtet:

╰─$ dig doh.dns.apple.com ;; ANSWER SECTION:
doh.dns.apple.com. 195 IN CNAME doh.dns.apple.com.v.aaplimg.com.
doh.dns.apple.com.v.aaplimg.com. 46 IN A 17.253.56.113
doh.dns.apple.com.v.aaplimg.com. 46 IN A 17.253.56.117
doh.dns.apple.com.v.aaplimg.com. 46 IN A 17.253.56.241
doh.dns.apple.com.v.aaplimg.com. 46 IN A 17.253.14.241
doh.dns.apple.com.v.aaplimg.com. 46 IN A 64.78.201.1
doh.dns.apple.com.v.aaplimg.com. 46 IN A 64.78.200.1

Wenn zufällig einer der beiden IPs “64.78.xx.xx” gewählt wird, dann kommt es vor, dass der TCP-Connect ebenso hängenbleibt wie beim 9.9.9.9

Gemäss Swiss-IX Looking-Glass laufen die Pakete gleich: Zum Provider PCH. Vergleiche https://lg.swissix.ch/search?q=64.78.201 mit https://lg.swissix.ch/search?q=9.9.9

Interessanterweise scheint Sunrise als einiziger der grossen Schweizer ISPs nicht am SwissIX vertreten zu sein.
Meine IP (77.59.xx.xx) gehört zum AS6730 (siehe https://bgp.tools/prefix/77.58.0.0/15).
Im SwissIX-Looking-Glass taucht dieses AS nicht auf: https://lg.swissix.ch/routeservers/rs1_zrh_ipv4?q=AS6730

--> WTF

oli-h

@Sunrise_Team

Irgendwelche Neuigkeiten?

Spätestens ab dem 31. Januar 2025, 23:59 Uhr darf Sunrise meine TCP-Verbindung nicht mehr stören bzw. verunmöglichen - hier insbesondere mit IP 9.9.9.9 und den Ports 443 und 853.

Vorsorglich kündige ich die Einreichung eines Schlichtungsbegehren bei der ombudscom an.

pato

oli-h Hast du denn schon telefonisch ein Ticket beim Sunrise Support geöffnet? Sonst wird wohl gar nichts passieren.
Ich gehe hier mal ganz banal von einer technischen Einschränkung aus. Vermutlich ist irgend eine Verbindung überlastet (gewesen) und deshalb das Routing umgestellt und nicht optimal.

Daniele_Sunrise

oli-h Gemäss gestriger Rückmelung wurde unsererseits der Fehler erkannt und ist per gestern Abend nicht mehr vorhanden. Heute / morgen erfolgen weitere Tests.

Wie sieht es bei dir aus? Geht es bei dir wieder?

Liebe Grüsse
Daniele

oli-h

Daniele_Sunrise

Salü Daniele.
Ein schneller Test mit “curl https://9.9.9.9” zeigt tatsächlich Verbesserung - leider nur eine kleine.
De Verbindung ist nach wie vor ‘shaky’. Grob geschätzt sind nur 30% dieser https-Requests erfolgreich. Bei 70% bleibt es nach wie vor hängen (nach 2m12s dann ein Timeout).

Vielleicht braucht das Netz etwas Zeit, damit alle Router auch alle Routen kennenlernen? (ich gehe davon aus, dass etwas am Routing gedreht hat). Ich teste heute Abend nochmal, inkl. tcpdump.

Aber erstmal Merci für die Info.

oli-h

Daniele_Sunrise

Leider muss ich beim erneuten Test heute am Morgen doch wieder feststellen, dass “curl https://9.9.9.9” ausschliesslich Timeouts hat. Schade und Sorry

oli-h

Daniele_Sunrise Fehler erkannt und ist per gestern Abend nicht mehr vorhanden

Gibt es da einen Zusammenhang mit dem grossflächigen Problem im Sunrise-Netz: https://community.sunrise.ch/d/42133-seit-heute-22-uhr-funktioniert-internet-kaum-noch ?

Daniele_Sunrise

oli-h Ich denke nicht, da ihr das Feherbild bereits länger gemeldet habt. Da ich keinen Einfluss in die Behebung der DNS habe, melde ich jeweils euer Feedback weiter. Wie und wann wir die Ursache lösen werden, kann ich dir nicht mitteilen. Auf jeden Fall poste ich jeweils die erhaltenen Updates an euch.

Falls jemand der DNS Server wichtig ist, benutzt bitte bis zur Behebung einen anderen.

Liebe Grüsse
Daniele

Daniele_Sunrise

oli-h Ich habe diese Rückmeldung erhalten. Wieso es bei uns geht und bei dir nicht, kann ich dir nicht mitteilen:

I repeated the tests, and they were widely OK. DoT and DoH were working last week Thursday (with Oppo and Apple iPad) on HFC. Just on a Huawei P40 Pro DoT was failing. So there might even be mobile device specific issues around this.

Liebe Grüsse
Daniele

oli-h

Ich hab’ eine neue Erkenntnis: Mit Reduzierung der MTU (https://en.wikipedia.org/wiki/Maximum_transmission_unit) vom (default) 1500 auf 1476 funktioniert “curl https://9.9.9.9” zuverlässig.

Was aber genau im Netzwerk bzw. bei den Switches/Routern passiert (also im Sunrise-Netz, am SwissIX-Exchange und/oder bei Quad9), das weiss ich natürlich nicht. Aber die “maximale Paketgrösse” spielt irgendwo eine entscheidende Rolle

Wenn ich jetzt hier im Forum nach “MTU” suche, dann finden sich diesbezüglich doch einige Threads. So 100% schlau werd’ ich aber nicht draus.

Nachtrag:

ping 9.9.9.9 -c 10 -M do -s 1472

Das sendet ICMP-Echo-Request mit der maximaler MTU (also 1500 Bytes). Hier bekomme ich kein “pong” (= ICMP-Echo-Reply).
Stufenweise Reduzierung um den Punkt zu finden, bei dem es dann klappt:

ping 9.9.9.9 -c 10 -M do -s 1470
ping 9.9.9.9 -c 10 -M do -s 1468
ping 9.9.9.9 -c 10 -M do -s 1466
... usw ...
ping 9.9.9.9 -c 10 -M do -s 1450
ping 9.9.9.9 -c 10 -M do -s 1448   <--  DER KLAPPT DANN !

Die maximale Paketgrösse von meiner IP zu 9.9.9.9 ist also 24 Bytes kleiner als sonst im Internet üblich.
Wenn ich das ganze via Swisscom-Mobile (Hotspot via Handy) mache, dann funktioniert MTU=1500.
Wenn ich andere IPs anpinge (z.B. 1.1.1.1), dann geht auch via Sunrise-Netz eine MTU=1500.

Also ich bleibe dabei: Das Routing vom Sunrise-Netz zu 9.9.9.9 ist irgendwo ‘kaputt’

Daniele_Sunrise

oli-h Vielen Dank für deine Feststellungen, welche ich soeben intern weitergeleitet habe.

Liebe Grüsse
Daniele

Daniele_Sunrise

oli-h Darf ich noch kurz fragen, wie dein Setup aussieht. also wie hast du alles Verbunden und danach den Test gemacht. Ich nehme an das Modem ist im Bridge Modus und angeschlossen ist dann ein Linux Rechner?

Liebe Grüsse
Daniele

Pagina successiva »