Problemi nuova connettività.

frakka

Ciao a tutti, spero abbiate trascorso delle buone feste.

Poco prima di Natale ho avviato la richiesta di migrazione della mia connettività Open Fiber a Pianeta Fibra. @[cancellato] mi aveva avvisato che la migrazione sarebbe potuto avvenire senza preavviso prima della data prevista ed effettivamente così è stato, questa notte la connettività è stata portata sul nuovo operatore.

Ho riconfigurato il mio router (Ubiquiti Edge Router-X) e la connettività PPPoE è salita regolarmente, si è presa il previsto IPv4 statico e, sistemate un paio di regole di firewall, ho iniziato a navigare.

Mi sono però accorto di alcune anomalie... Non riesco a far funzionare alcuni siti mentre altri funzionano regolarmente.
Es: google.com, fibra.click o il loro stesso sito vanno senza problemi mentre netflix.com, speedtest.net o tapatalk non li raggiungo ed il browser (ma anche curl) va in timeout.
Ho aperto un ticket e nonostante sia Domenica 26 Dicembre ed il mio sia un normale contratto home qualcuno dell'assistenza mi ha risposto subito. Abbiamo fatto qualche verifica, ha provato a cambiare l'IP assegnatomi con un'altro ma il problema si presenta ancora.
Dice che lato loro, se c'è connettività sono a posto perchè non applicano filtri ed il problema deve essere mio. Effettivamente mtr sembra confermare la raggiungibilità degli endpoint ma poi le chiamate non vanno.

Ho notato che il problema sembra riguardare soprattutto le POST (quando il browser tenta di fare una POST superiore a pochissimi kb rimane appeso, anche all'interno del loro stesso sito se rispondo al ticket con poche parole il messaggio viene inserito altrimenti rimane appeso).
Un curl a "www.netflix.com" sulla porta 80 ottiene immediatamente il 301 verso il sito https ma se faccio il medesimo curl verso sulla porta 443 la chiamata va in timeout e rimane in attesa di handshake.

$ curl -Iv https://www.netflix.com

Trying 54.155.178.5:443...
Connected to www.netflix.com (54.155.178.5) port 443 (#0)
ALPN, offering h2
ALPN, offering http/1.1
CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: none
TLSv1.3 (OUT), TLS handshake, Client hello (1):
SSL connection timeout
Closing connection 0
curl: (28) SSL connection timeout

Ora: Io non escludo che possa essere un problema mio ma mi sembra un comportamento alquanto strano. Dallo stesso PC se apro il client VPN e chiamo i medesimi siti tramite la VPN della mia azienda funziona tutto regolarmente.
Non ho proxy ho altri software che manipolano i DNS e neppure antivirus sul pc usato per i test ma il problema si presenta uguale anche sullo smartphone in wifi o su una installazione di Windows 10 Pro quindi se ho un problema mio deve essere sul mio router...

Avete qualche suggerimento geniale che mi faccia capire cosa sto sbagliando?

ag23900

frakka Ho modificato il messaggio perché violava la Regola 6. Dai una rilettura al regolamento, grazie.

gandalf2016

Questa è molto semplice penso di averla presa 🤓
Mi suona di problema di MSS per la PPPoE
Va abbassato a 1452.
Comandi pronti in ssh sul router:

configure 
set firewall options mss-clamp interface-type pppoe
set firewall options mss-clamp mss 1452
commit ; save

frakka

gandalf2016

Urca...
In realtà ho già l'MTU a 1492 sulla PPPoE, sembra averlo impostato di default.

Ho però provato lo stesso il tuo suggerimento ma non sembra essere cambiato nulla. Provo anche con un riavvio del router dopo il commit...

frakka

gandalf2016

Hai vinto una birra di dimensioni enormi, alla prima occasione utile.
Hai proprio ragione, il problema era l'MSS... Impostandolo a 1452 sembrava non aver risolto, sono sceso fino a 1400 e ha preso a funzionare.

Adesso sono risalito fino a 1432 e funziona, se imposto 1452 non va.
Direi che il problema era definitivamente l'MSS. Ne approfitto per suggerire a @[cancellato] che "Pianeta Fibra" lo inserisca nelle istruzioni/requisiti per la configurazione del modem libero, non credo che un qualunque apparato consumer permetta di fare questo tipo di configurazione.

frakka

ag23900

Ah, orpo... Scusami.
Mi sono tenuto il più possibile "neutro", senza alcun tipo di commento, proprio per evitare problemi (anche perchè in questo caso non è in alcun modo un problema loro, essendo solo l'operatore cedente) ma non pensavo fossero addirittura innominabili.

Ok, recepito.

frakka

Ho notato che se chiamo Netflix senza VPN viene risolto con l'IP 54.155.178.5 mentre se chiamo con la VPN aziendale attiva lo risolvo con 3.251.50.149 quindi questa potrebbe essere una prima differenza ma non credo sia rilevante... Infatti andando di curl verso l'uno o l'altro IP non cambia nulla.

Con la VPN aziendale attiva:

[matteo@arch ~]$ curl -I https://www.netflix.com --resolve www.netflix.com:443:54.155.178.5
HTTP/2 405
server: nq_website_nonmember-prod-release 27110a04-0853-44ce-b090-7fb512c9bd0d
x-frame-options: DENY
allow: GET, OPTIONS, POST
date: Sun, 26 Dec 2021 17:41:27 GMT
x-envoy-upstream-service-time: 10
x-b3-traceid: 8ad242d81dcba84a
x-request-id: 36f9070c-e8ee-44b6-ad6e-91c3a68d9a3a
x-envoy-decorator-operation: lo_svc
via: 2 i-070c2f8c01a8d7da2 (eu-west-1)
x-xss-protection: 1; mode=block; report=https://www.netflix.com/ichnaea/log/freeform/xssreport
x-content-type-options: nosniff
strict-transport-security: max-age=31536000; includeSubDomains
x-originating-url: http://www.netflix.com/
edge-control: no-cache, no-store
cache-control: no-cache, no-store
set-cookie: nfvdid=BQFmAAEBEFiBTkGkHB8tKiRf5m_JxMBA9pPnxJFxZTEG6KZV6ARNGV07zY2PdLZ6gNMpatVTnTXCjb-RwntVsb-BeGrcMjeO53Tr-eFLivx4Hu13I9_IQg%3D%3D; Domain=.netflix.com; Path=/; Max-Age=31536000
x-netflix.nfstatus: 1_1
set-cookie: memclid=c9267cc1-649d-495b-bffe-c3071fac86b4; Max-Age=31536000; Expires=Mon, 26 Dec 2022 17:41:27 GMT; Path=/; Domain=.netflix.com
x-netflix.proxy.execution-time: 26

[matteo@arch ~]$ curl -I https://www.netflix.com --resolve www.netflix.com:443:3.251.50.149
HTTP/2 405
server: nq_website_nonmember-prod-release c3b02515-ef96-4309-9a5a-04053398ce0d
x-frame-options: DENY
allow: GET, OPTIONS, POST
date: Sun, 26 Dec 2021 17:41:38 GMT
x-envoy-upstream-service-time: 2
x-b3-traceid: 7a8d2fff51af36fb
x-request-id: 3013eb0f-ec70-4f1c-bab2-c07f06c1d80a
x-envoy-decorator-operation: lo_svc
via: 2 i-06558a28ad91b962a (eu-west-1)
x-xss-protection: 1; mode=block; report=https://www.netflix.com/ichnaea/log/freeform/xssreport
x-content-type-options: nosniff
strict-transport-security: max-age=31536000; includeSubDomains
x-originating-url: http://www.netflix.com/
edge-control: no-cache, no-store
cache-control: no-cache, no-store
set-cookie: nfvdid=BQFmAAEBEPGegIE5-WGWZImHSXB3poFAqZmKp0DORSbFuaQRr7nS7ujaUqKRCuVY8b29wesGmAhsUvyqlnmdsgDU4_gJ95a00mdkd-3elNE8lgsRJ8cjqw%3D%3D; Domain=.netflix.com; Path=/; Max-Age=31536000
x-netflix.nfstatus: 1_1
set-cookie: memclid=ce484380-e5c2-4907-8351-5b38f4b3c183; Max-Age=31536000; Expires=Mon, 26 Dec 2022 17:41:38 GMT; Path=/; Domain=.netflix.com
x-netflix.proxy.execution-time: 7

Senza attivare la VPN aziendale:

[matteo@arch ~]$ curl -Iv https://www.netflix.com --resolve www.netflix.com:443:54.155.178.5

Added www.netflix.com:443:54.155.178.5 to DNS cache

Hostname www.netflix.com was found in DNS cache

Trying 54.155.178.5:443...

Connected to www.netflix.com (54.155.178.5) port 443 (#0)

ALPN, offering h2

ALPN, offering http/1.1

CAfile: /etc/ssl/certs/ca-certificates.crt

CApath: none

TLSv1.3 (OUT), TLS handshake, Client hello (1):

SSL connection timeout

Closing connection 0
curl: (28) SSL connection timeout

psychotrain65

frakka Ho notato che se chiamo Netflix senza VPN viene risolto con l'IP 54.155.178.5 mentre se chiamo con la VPN aziendale attiva lo risolvo con 3.251.50.149 quindi questa potrebbe essere una prima differenza ma non credo sia rilevante...

Te lo confermo. Ho provato anch'io lo stesso comando (sono anch'io PianetaFibra) sul tuo stesso IP e va. Di suo (cioé se non forzo l'IP) mi connetto ad un altro IP ancora rispetto a te. Unica differenza: io sono IPoE, quindi cambia l'MTU.

gandalf2016

frakka va proprio messo l’MSS a 1452
Non lo autoaggiusta con l’MTU

frakka

gandalf2016

Ah, ok.
Anche per IPv6?

giuse56

psychotrain65 Pianeta Fibra attiva ancora su IPoE? Mi ricordo che avevano detto che ormai fanno PPPoE per la fibra >1G, invece per le p2p con connessioni <1G utilizzassero IPoE. Hanno cambiato di nuovo le condizioni? Oppure sei un caso particolare?

gandalf2016

frakka non credo che un qualunque apparato consumer permetta di fare questo tipo di configurazione.

I modem consumer lo fanno in automatico adeguandolo con l’MTU.

Sono i router/firewall prosumer che necessitano di impostazione manuale

[cancellato]

frakka bene, sono lieto che tutto sia risolto.

Come puoi immaginare non possiamo prevedere le casistiche e guide per tutti i router/modem in commercio, soprattutto perchè, per farle, dovremmo averli in laboratorio.

Se però ci preari una brevissima guida con qualche immagine sul setup che hai fatto con gli ubiquiti la pubblicheremo e i prossimi clienti con ubiquiti saranno più che felici del tuo contributo.

Sui maggiori router consumer, tplink, huawei, xiaomi, fritz, mikrotik, etc, l' mss e l' mtu si adegua in automatico, per quello non è indicato

frakka

Ok, così imparo a voler fare "lo sborone" e a prendere un router troppo "pro" 😃... Ma l'ho preso proprio per poter imparare qualcosa quindi ho avuto la mia bicicletta!!

Hai qualche idea del perchè non mi funzioni 1452 e debba scendere fino a 1432?
Anche per IPv6 potrei dover fare una configurazione analoga?

gandalf2016

frakka Hai qualche idea del perchè non mi funzioni 1452 e debba scendere fino a 1432

Hai un MTU più basso di 1500 sul collegamento tra te e la rete Pianetafibra.

MTU della interfaccia Ethernet verso l’ONT mettilo pure a 1500.
Poi la PPPoE a 1492 e MSS a 1452

Verifica di avere tutto corretto.
Viene in automatico per v4/v6 la configurazione

frakka

gandalf2016 Viene in automatico per v4/v6 la configurazione

Scusa cosa intendi? Che settandola per il PPPoE la configurazione viene applicata sia per IPv4 che IPv6?
Perché il menù router prevede sia l'impostazione per v4 che per v6 come voci separate...

frakka

gandalf2016 Hai un MTU più basso di 1500 sul collegamento tra te e la rete Pianetafibra.

MTU della interfaccia Ethernet verso l’ONT mettilo pure a 1500.
Poi la PPPoE a 1492 e MSS a 1452

Verifica di avere tutto corretto.

Ho controllato e sulla porta eth1 (WAN) c'è settato MTU 1500, così come sulla vlan eth1.835 (la vlan che mi hanno indicato di configurare) poi MTU 1492 sull'interfaccia pppoe0 sulla eth1.835.
Dovrei scendere in garage per controllare (perchè con il post-prandiale di questi giorni della mia memoria non mi fido granchè!) ma la ONT è collegata direttamente alla porta eth1 quindi da parte mia non penso ci sia altro.
Tutte le altre porte sono con MTU 1500.
Ci sono delle vlan sullo switch a valle del router ma non credo influiscano e comunque avrei rilevato il problema dai client e non anche sul router stesso.

[cancellato]

giuse56 I vecchi clienti in alcune circostanze sono rimasti in IPoE.

psychotrain65

giuse56 Ti ha risposto @[cancellato]. Sono solo un "vecchio" cliente, dove vecchio è comunque un modo di dire, perché parliamo di un'attivazione di qualche mese fa... Sul fatto che sia un caso particolare, beh, tanto normale non sono di mio... 🙄

giuse56

[cancellato]

psychotrain65 Ah ecco il perché. Grazie ad entrambi.

MiloZ

frakka
Se banalmente non toccavi l'MSS ed abbassavi l'MTU da 1492 a 1480, risolvevi ugualmente?

frakka

MiloZ

A quanto dice @gandalf2016 , su un router consumer probabilmente sì perchè adeguano l'MSS all'MTU ma nel mio caso no.
Ho anche fatto un test ora, confermo che togliendo il clamp e abbassando l'MTU della pppoe a 1432 comunque ho ancora il problema.
Ho riportato a 1492 l'MTU e abbassato l'MSS a 1440 e questo sembra essere il massimo valore per cui la navigazione funziona senza problemi.

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile