Verbindungsabbruch bei https

jantofw · 3. Juli 2016 um 12:08

Das liest sich gruselig…
Bei twitter weiß ich es nicht, aber was mir beim normalen webmail-Anmeldevorgang bei 1und1 auffällt: erst subdomain webmailer.1und1.de, dann post auf andere subdomain email.1und1.de (o.ä.). Kann man machen, führt aber u.U. auch zu Schwierigkeiten (Session-Verwaltung).
Dort habe ich den Eindruck. dass die Applikation für den Abbruch sorgt. Aber ist nur Raterei.

paulinsche · 3. Juli 2016 um 12:11

Der Anbieter der Listen war mir damals übrigens nicht ganz klar, sitzt aber in der USA und ist seriös.

jantofw · 3. Juli 2016 um 12:41

Was besseres fällt mir auch nicht ein?

MPW · 3. Juli 2016 um 19:37

Sag mir was du brauchst, kann ich gerne anfertigen.

jantofw · 3. Juli 2016 um 19:54

Mit der Bitte um Korrektur, da ich von der Tunnel-Architektur keine Ahnung habe, nur ein Wunsch-Vorschlag:
Anzahl der RST von twitter.com und 1und1.de innerhalb eines Zeitraums.
Last der FF-Systeme im gleichen Zeitraum.
Und Abgleich, was administrativ im gleichen Zeitraum auf den FF-Systemen gemacht worden ist.
Wüsste gerne, ob es einen Zusammenhang gibt.
Bessere Vorschläge hilferufend willkommen

MPW · 3. Juli 2016 um 20:37

Was administrativ gemacht wurde, kannst du hier nachschlagen: Admintagebuch - Dokumentation der Admintätigkeiten

Wühl dich durch tcpdump und bau einen Befehl zusammen, dann führe ich den eben aus. Also IPs bzw. hosts sind leicht, aber du müsstest noch raussuchen, wie man auf RST filtert.

Die Last der Freifunksysteme findet du hier: https://freifunk-muensterland.de/grafana/dashboard/db/spielwiese-von-descilla

jantofw · 3. Juli 2016 um 21:33

Nach meiner Recherche und Test auf lokalem System ginge es so:
tcpdump ‘tcp[13] & 4 != 0’

kgbvax · 4. Juli 2016 um 09:34

Ich frag mich was die Anzahl der RSTs für einen Erkentnissgewinn bringt?

Sagen wir z.b. mal 17

jantofw · 4. Juli 2016 um 09:54

Wenn Verbindungsprobleme, dann rufen user mehrfach die gleichen Adressen auf. Da das Problem in der Regel länger besteht, häufen sich dann die RST im Vergleich zum normalen Ablauf (2X17 :-)).
Ergänzung: noch kräftiger dürfte das Verhältnis von RST zu allen Flags aussagen. Dann müsste aber viel mehr geloggt werden.
Soweit die Idee/Hoffnung.
Dann könnte man noch abgleichen mit den von MPW genannten Daten-Bergen.
Ob das zur gewünschten Erkenntnis führt, weiß ich nicht.
Was schlägst du vor?

MPW · 4. Juli 2016 um 15:40

Ich hab das mal spaßeshalber laufen lassen. Auf Ausrufer kommen da so zwei pro Minute. Auf Des1 z. B., wo deutlich mehr Pakete drüber gehen, sind es mehrere hundert.

Glaub da müssen wir uns noch was genaueres überlegen, woran es liegt. Interessant wäre mal zu sehen, wenn du ein Notebook hast, wo der Fehler gerade auftritt, dann z. B. mit dem Freifunkrouter dich an ein anderes Gateway zu verbinden.

Ich tippe auch darauf, dass es was mit der NAT-IP zu tun hat. Hast du mal probiert IPV4 abzuschalten und so IPV6 zu erzwingen?

jantofw · 4. Juli 2016 um 16:05

jetzt, 17:56 habe ich das Phänomen wieder für twitter.com und 1und1.de (wie oben).
Ausschließlich ipv4: gleiches Phänomen.
Ausschließlich ipv6: gleiches Phänomen (forum gar nicht, da forumserver nur ipv4)
Anderes Gateway-FFrouter: wie?

MPW · 4. Juli 2016 um 16:20

Pro Domäne gibt es zwei Gateways, du könntest einfach mal auf das andere wechseln, indem du das eine deaktivierst. Das geht über uci. Dann hast du eine andere Nat-IP.

Probier es aber erstmal über IPV6.

jantofw · 4. Juli 2016 um 17:57

Habe meinen FFrouter irgendwie geschrottet. Jedenfalls funkt er nicht mehr.
Vermutlich kann Paulinsche den Gateway-Test schneller machen, falls er gerade das Phänomen hat. IP4 und IP6 ergaben keine Besserung.

MPW · 4. Juli 2016 um 18:02

Hast du mal einen Mitschnitt zu IPV6 gemacht?

jantofw · 4. Juli 2016 um 18:07

nö, melde mich, sobald ich den ff-router wieder zum Laufen gebracht habe. kann dauern.
Ergänzung: twitter.com und webmail.1und1.de bzw. email.1und1.de haben keine ipv6.

jantofw · 5. Juli 2016 um 17:32

Knoten läuft wieder.
Habe per uci jeweils ein GW deaktiviert. In beiden Fällen aktuell kein Problem zu sehen. Mache das noch einmal, wenn das Problem wieder auftritt.
Was mich wunderte, waren die Namen der GW in der conf:
fastd.mesh_vpn_domaene_02_peer_greyworm_02
fastd.mesh_vpn_domaene_02_peer_remue_05
Sind das für die Domäne 50 (Nottuln) die richtigen? Oder habe ich die conf falsch gelesen?

MPW · 5. Juli 2016 um 17:33

Fastd gibt es nicht mehr. Du musst dir die broker anschauen. Das was du gemacht hast, dürfte keine Auswirkung gehabt haben.

jantofw · 5. Juli 2016 um 17:38

Wenn ich das richtig sehe, kann ich entweder alle disablen oder die Adressen rausnhemen?
uci show | grep broker
tunneldigger.@broker[0]=broker
tunneldigger.@broker[0].enabled='1’
tunneldigger.@broker[0].uuid='c4e984317e42’
tunneldigger.@broker[0].address=‘163.172.211.238::20050’ ‘ausrufer.servers.freifunk-muensterland.de:20050’ ‘176.9.88.123:20050’ ‘c1024.servers.freifunk-muensterland.de:20050’ 'domaene50.servers.freifunk-muensterland.de:20050’
tunneldigger.@broker[0].group='gluon-tunneldigger’
tunneldigger.@broker[0].broker_selection='usage’
tunneldigger.@broker[0].bind_interface='br-wan’
tunneldigger.@broker[0].interface=‘mesh-vpn’

MPW · 5. Juli 2016 um 17:39

Genau, du musst die Adressen rausnehmen. Was anderes gibt es leider noch nicht. Speicher dir die Kette vorher weg und kopier sie nachher wieder rein.

jantofw · 5. Juli 2016 um 17:44

OK, also z.B. setzen auf
tunneldigger.@broker[0].address=‘163.172.211.238::20050’ ‘ausrufer.servers.freifunk-muensterland.de:20050’

Mache ich dann, sobald das phänomen wieder da ist.