[Problem] VDSL - neue TCP-Verbindungen hängen

[MPW]

Hallo,

Danke für die Erklärungen.

Nur kurz zur Info: Die "0 Pakete" ist der Zähler in tcpdump, das steht im Terminal. Das müssten also TCP-Pakete sein. Das Webserverlog zeigt dementsprechend auch keine Regung, bevor der Hänger überstanden ist.

Grüße
MPW

 

[oldschool2k7]

- Router resettet, löst das Problem circa 5 Minuten lang, d.h. 5 min kann ich normal Surfen und dann kommen wieder die Verzögerungen.

Das deutet imho eindeutig auf Fehlverhalten seitens des Routers hin. Gemäss Ausschlussverfahren also anderen Router testen. Soll dir 1&1 halt ein Austauschgerät schicken nachdem der Techniker da war.

 

[MPW]

Jup, denke auch, dass es ein Hardwaredefekt im Router ist. Hab schon 2x bei 1&1 ein Austauschgerät angefordert. Aber um ein paar Euro zu sparen, schickt man natürlich erstmal lieber den Techniker, den die Telekom bezahlen muss. Wobei es natürlich theoretisch 50/50 genauso am DSLAM liegen kann.

Leider habe ich in der Freund- und Verwandtschaft nur Kabel- und ADSL-Nutzer.

 

[oldschool2k7]

Ein Problem beim DSLAM kann man sicher nicht ausschliessen, halte ich aber für unwahrscheinlich. Der Technikereinsatz wird natürlich von 1&1 bezahlt. Da der 1&1 aber weniger kostet als ein neuer Router ist es nachvollziehbar, dass 1&1 erst mal die Leitung als Fehlerquelle ausschliessen will.

 

[PeterPawn]

DSL -> Uni VPN -> UMTS Webserver < 1 Sekunde abgeschlossen
DSL -> UMTS Webserver > 20 Sekunden Wartezeit

Also, wenn das Capture von der zweiten Variante stammt, stimmt da aber etwas nicht.

Man sieht nur eine einzelne TCP-Verbindung mit einer Dauer von 1,472 Sekunden vom SYN (Paket 1) bis zum FIN (Paket 139). Dabei wird mehr als die Hälfte dieser Zeit beim Warten auf Schritt 3 (ACK vom Client zum Server) aufgewendet (> 800ms).

Von den 20 Sekunden Wartezeit ist dort nichts zu sehen.

Wenn das die erste Verbindung sein sollte, die beim Server eingeht, dann passt das - vom Timing - nicht zu dem "alten" tcpdump.

Ansonsten ist das Verhalten ja genau so, wie ich es beschrieben habe. Einzige Ausnahme ist, daß der SimpleServer nach dem Senden von "200 OK" nicht erst auf ein ACK vom Client wartet (Schritt 7), sondern gleich hintereinander die Daten auf die Reise schickt und die Header unmittelbar in das erste Content-Paket mit hineinpackt. Aber in dieser Verbindung kommen dann auch die ACK-Pakete des Clients (sehr massiv ab Paket 104) irgendwann an und der Server kann die jeweils quittierten "Stücke" der Nutzlast nach und nach abhaken.

Fazit: Dieser Dump zeigt eine vollkommen normale TCP-Verbindung. Von irgendwelchen Pausen ist da leider nichts zu sehen.

Bitte mach mal auf beiden Seiten zeitgleich einen Netzwerk-Mitschnitt, damit man die jeweiligen Pakete anhand ihrer Sequence-Nummern zuordnen kann. Und bitte auch komplett ... d.h. noch vor dem wget des Clients auf beiden Seiten beginnen und auch erst nach der Übertragung der Daten (inkl. der Pause) auf beiden Seiten beenden.

So ganz ohne Probleme ist der Einsatz eines Webservers im Mobilfunk auch nicht, durch die zusätzliche Kapselung (meist PPP) ändert sich die MSS/MTU gegenüber anderen Verbindungen noch einmal.

Aber auch da ist in dem letzten Dump ja zu sehen, daß von der - von Deinem Client übermittelten - MSS von 1460 irgendwo unterwegs (erwartbar !) die 8 Byte PPPoE-Header noch abgezogen werden. Auf dem Server kommt jedenfalls im SYN-Paket eine MSS von 1452 an (Paket 1). Der Server antwortet dann seinerseits mit einer MSS von 1460. Wegen der Mobilfunk-Verbindung dazwischen ist das leider nicht mehr mit der Serverantwort (mit der MSS von 1440) aus dem ersten tcpdump vergleichbar.

 

[MPW]

Hallo,

wer hier was bezahlt, kann ich nicht sagen. Auf der einen Seite müsste auf dem Router noch Garantie sein und die Telekom muss die Leitungsstabilität gewähren. Auf der anderen Seite kenne ich mich mit Risikoausfall-Abdeckung in B2B-Geschäften nicht aus. Mir ist es auch egal, hab andere Sorgen, als was 1&1 der Spaß hier kostet.

Ich hab mal einen beidseitigen Mitschnitt erstellt. Vielen Dank an dich PeterPawn für deine Bemühungen, das Problem zu analysieren!

Grüße
MPW

/edit: Gerade mal die Dateien selbst in wireshark betrachtet. Ich hab da noch nicht das Auge für, aber TSval müsste so eine Art ID-Nummer sein. Das erste empfangene Paket 235616 ist erst das 14. vom Client gesendete Paket. Also werden die ersten 13 irgendwo geschluckt.

Da alle SYN-Pakete gleich groß sind, kann ich mir nicht zusammen reimen, wie das Problem etwas mit der MTU zu tun haben könnte.

 

[PeterPawn]

Ich hab mal einen beidseitigen Mitschnitt erstellt.

Das ist jedenfalls kein MTU/MSS-Problem.

Im Client-Dump sieht man sehr schön, daß erst ein Verbindungswunsch (SYN) an den Server gesendet wird. Da der TCP-Stack keine Antwort erhält, sendet er nach 1 Sekunde das Paket erneut. Dann wird jeweils der RTO-Wert (Receive Timeout, also die Zeit, die auf eine Antwort gewartet wird) verdoppelt. Nach 6 Versuchen des erneuten Sendens wird dann für diese Verbindung aufgegeben und ein Fehler an die Anwendung (ich mutmaße an wget wie vorher auch) zurückgemeldet. Die Anwendung startet nun einen neuen Versuch (sieht man an der neuen Quellport-Nummer 58691, bei den Retransmissions bleiben die Endpunkte (jeweils IP/Port für Quelle und Ziel) gleich). Hier kommt dann auch irgendwann nach dem sechsten Versuch (ob das die Antwort auf den sechsten oder fünften Versuch ist, kann man nicht unterscheiden, ist auch egal) eine Antwort vom Server zurück (Paket 15 beim Client-Mitschnitt).

Entscheidend ist also der "Verlust" der SYN-Pakete auf dem Weg zum Server oder der Verlust der Antworten des Servers darauf. Da man im Server-Dump keine wiederholten SYN-Requests sieht, ist der Verlust auf dem Weg vom Client zum Server anzunehmen.

Das Verschwinden der SYN-Pakete erklärt auch den Unterschied im Verhalten mit oder ohne VPN. Je nach VPN-Typ (ich nehme mal AVM-IPSec mit NAT-T, also UDP auf Port 4500, an) erfolgt der Datenaustausch "blind", d.h. das Warten auf eine Bestätigung für eine TCP-Verbindung (der 3-Wege-Handshake) erfolgt nicht.

Da die SYN-Pakete (die nicht einmal annähernd an die MTU-größe heranreichen) verschwinden, ist ein MTU/MSS-Problem nicht anzunehmen.

Was noch denkbar wäre, ist ein Problem mit dem "connection tracking" beim NAT / der "stateful" Firewall. Das SYN-Paket muß ja auf dem Router auf die externe IP-Adresse (und normalerweise auch einen anderen Quell-Port) umgeschrieben werden. Der Client sendet von 192.168.178.21:58691 an den Server und kommt dort als 87.166.187.156:56352 an. Diese Umsetzung von Adresse und Port nimmt der Router vor. Wenn dabei schon die SYN-Pakete verschwinden (da braucht man dann wieder den Mitschnitt der externen Schnittstelle des Routers), wäre die Fritz!Box schuld an der Misere.

Ich kann mir allerdings beim besten Willen keinen Hardware-Schaden vorstellen, der Pakete im Connection-Tracking verschwinden läßt. Ein derart selektiver Software-Schaden im SquashFS ist (angesichts von Kompression und Integritätsprüfung) auch unwahrscheinlich. Anders als beispielsweise ein Switch hat die Box ja auch keinen dedizierten Buffer für irgendwelche Adressen (das wäre beim Switch Layer2 und bei der Box Layer3, aber bei einem Switch habe ich schon Schäden am MAC-Adresspuffer gesehen).

Die Aussage "Wenn es beim Neustart verschwindet, müßte es die Box sein." berücksichtigt nicht, daß normalerweise mit dem Neustart auch eine neue IP-Adresse und damit ein "Neuanfang" für alle darauf basierenden Verbindungen verbunden ist. Wenn jetzt irgendjemand die TCP-Verbindungen trackt, kann da ja auch ohne weiteres nach 5 Minuten ein Überlauf eintreten.

Ich behaupte mal, da liegt irgendwo im Weg der Pakete ein Schaden an einem Gerät vor, das TCP-Verbindungen überwacht. Warum und wo das überhaupt stattfinden sollte, ist mir allerdings ein Rätsel. Wenn nicht irgendetwas an TCP-Verbindungen anders zu überwachen ist, als an beliebigen anderen Protokollen, gibt es aus meiner Sicht keine Notwendigkeit, TCP-Verbindungen irgendwie zu tracken und dann gehören TCP-SYN-Pakete definitiv nicht zu dem Traffic, den ein Router (wie bei UDP) bei Überlastung einfach unter den Tisch fallen lassen darf. Sehr mysteriös ... beim CGN aber auch wieder sehr plausibel.

Und die 87.166.187.156 aus dem Server-Dump ist auch wirklich Deine öffentliche IPv4-Adresse auf der Fritz!Box ? Wenn nicht, dann wäre es ja die Adresse des "letzten" NAT-Gateways vor dem Server.

 

[MPW]

Hallo,

die IP-Adresse stimmt überein. Und deine Bedenken bzgl. des Hardwareschadens teile ich. Ich kann mir auch nicht vorstellen, was einen so selektiven Fehler verursacht. Höchstens ein Speicherfehler in der Fritzbox oder eine beschädigte Firmware.

Aber Mikrounterbrechungen in der Leitung sind es mMn genauso wenig, das war ja die Idee des 1&1 CCs.

Das VPN ist ciscoVPN. Aber das spielt keine Rolle, auch nochmale HTTP-Verbindungen laufen super durch, wenn sie erst einmal aufgebaut sind. (Siehe Beispiel mit dem 10 GB großen Speedtest von 1&1.)

Da ich selbst keinen Austauschrouter habe, muss ich jetzt einfach mal abwarten, was der Techniker morgen sagt.

Danke trotzdem für deine Bemühungen und das Ergebnis werde ich natürlich hier posten. Ich hoffe mal, der kommt morgen

Grüße
MPW

/edit: Auf jeden Fall war es eine ziemlich gute Idee diese tcpdumps zu machen. Jetzt hab ich wenigstens was in der Hand, falls es morgen zum großen Vorführeffekt kommt.

 

[PeterPawn]

Höchstens ein Speicherfehler in der Fritzbox oder eine beschädigte Firmware.

Noch kannst Du Dich *vor* dem Technikerbesuch selbst schlau machen.
Unter fritz.box/support.lua könntest Du einen Mitschnitt auf der DSL-Schnittstelle starten.

Aber Mikrounterbrechungen in der Leitung sind es mMn genauso wenig, das war ja die Idee des 1&1 CCs.

1. Ich würde nicht verstehen, warum die sich auf TCP-Verbindungen beschränken sollen. Nachdem die Länge der Pakete wohl keine Rolle spielt, müßten dann auch andere Protokolle betroffen sein, wie z.B. ICMP-Pakete beim Dauer-Ping. Gerne genauso auch mal ein Paket innerhalb einer bestehenden TCP-Verbindung ... wobei da - je nach den Umständen - mit Fast-Retransmit u.ä. Techniken der Effekt vielleicht weniger deutlich sein könnte. Und ein gewisser Unterschied zum allerersten tcpdump (20 Sek. Wartezeit vs. 3 Minuten Verzögerung) ist nicht zu leugnen.

2. Fehler auf der DSL-Strecke müßten ja irgendwie in der DSL-Statistik (fritz.box/internet/dsl_stats_tab.lua) auftauchen.

Das VPN ist ciscoVPN.

Solange es IPSec ist (und nicht PPTP o.ä.), arbeitet es nicht selbst mit TCP. Entweder UDP 4500 bei NAT-Traversal oder UDP 500/ESP bei "direkter Sicht".

Viel Erfolg mit dem Techniker ...

 

[Gungross]

Hallo MPW,
könnte es sein, dass Du an einem Leitungsende "sitzt" ?
Ich hatte beim meinem VDSL Anschluss unlösbare Probleme für die 7390. Man empfahl mir alles Mögliche und hatte von Seiten des Providers keine Lösung.
Dann habe ich die 7390 gegen einen Zyxel VMG1312-B30A ausgetauscht, die Firmware erneuert und so waren alle Probleme beseitigt.
Das Gerät kann ADSL + VDSL als Modem und Router...
Das Ding kostet so um die 115 € Endkundenpreis frei Haus bei A.... und ist im Zweifel billiger als eine Technikerstunde.
Viel Erfolg !

 

[MPW]

Noch kannst Du Dich *vor* dem Technikerbesuch selbst schlau machen.
Unter fritz.box/support.lua könntest Du einen Mitschnitt auf der DSL-Schnittstelle starten.

Also ich könnte ja mal quasi gucken, ob ich die Pakete, die verloren gehen, da irgendwie finde. Wie kann ich denn in dem Mitschnitt am Besten nach den Paket-IDs suchen?

Ich habe mal die DSL-Diagnose aktiviert, keine Ahnung, was die so aufzeichnet. Werde mich später überraschen lassen.

könnte es sein, dass Du an einem Leitungsende "sitzt" ?

Diese Formulierung sagt mir nichts. Sitzt nicht jeder an einem Leitungsende? DSL ist doch kein Ringnetzwerk, wie Internet über den Kabelanbieter.

 

[Benares]

Sitzt nicht jeder an einem Leitungsende?

Das merk ich mir als Lebensweisheit Es sagt mir aber auch nichts. Vermutlich bezog sich das auf die DSL-Leitung (Ende einer Strasse etc.)

 

[MPW]

[...] Vermutlich bezog sich das auf die DSL-Leitung (Ende einer Strasse etc.)

Achsoo, haha. Nene mitten in der Stadt, mitten in der Straße in der mittleren Etage eines Mehrfamilienhauses. Ich wüsste trotzdem nicht, was das Ende der Straße für einen Unterschied macht, außer Leitungslänge.

Ich kenne Gungross nicht und möchte nicht vorschnell urteilen. Aber 1&1 bietet keine Zyxel Router an, wird also nicht passieren. Und als ich meinen ersten DSL-Anschluss bei meinen Eltern durchgesetzt hab und wir dann bei AOL DSL bestellt haben, hatten wir ein paar Jahre lang Zyxel-Geräte. Auch ziemlicher Mist, soweit ich mich zurück erinnere. Aber evtl. haben sie sich verbessert.

Ich find halt FritzBoxen wegen des Ökosystems toll, z.B. die FritzApp Phone für iOS und Android nutze ich sehr gerne. Dass die technisch teilweise etwas schwach bzw. schlecht sein sollen, hab ich vereinzelt auch gehört. Kann es aber selbst nicht beurteilen.

Zurück zum Thema. Ich hab gerade einen Mitschnitt gemacht und guck mal, ob ich diese Pakete findet. Lese mich gerade in die Filterfunktionen von Wireshark ein

 

[MPW]

Okay, also ich hab jetzt folgendes gemacht:

sudo tcpdump -vvv -i eth1 -w dsl-mitschnitt.tcpdump host heise.de

und unter fritz.box/support.lua den kompletten Paketmitschnitt für die "erste DSL-Leitung" angefordert.

Dann habe ich den Mitschnitt der Fritzbox mit Wireshark geöffnet und in die Filterzeile

ip.addr == 193.99.144.80

geschrieben.

$ wget heise.de
--2014-06-23 19:51:20--  http://heise.de/
Auflösen des Hostnamen »heise.de (heise.de)«... 193.99.144.80, 2a02:2e0:3fe:1001:302::
Verbindungsaufbau zu heise.de (heise.de)|193.99.144.80|:80... fehlgeschlagen: Die Wartezeit für die Verbindung ist abgelaufen.
Verbindungsaufbau zu heise.de (heise.de)|2a02:2e0:3fe:1001:302::|:80... fehlgeschlagen: Das Netzwerk ist nicht erreichbar.
mpw@Server0:~$ wget heise.de
--2014-06-23 19:54:00--  http://heise.de/
Auflösen des Hostnamen »heise.de (heise.de)«... 193.99.144.80, 2a02:2e0:3fe:1001:302::
Verbindungsaufbau zu heise.de (heise.de)|193.99.144.80|:80... ^C

Dann ist die Anzeige leer. Das bedeutet doch dann, dass der Fehler in der FritzBox liegt und nicht am DSLAM, weil die Pakete nicht die FritzBox verlassen haben.

(Zum Hintergrund warum ganz leer: Während des Testaufbaus ist überhaupt keine Verbindung mehr Zustande gekommen, also auch nicht nach 5 Minuten.)

Grüße
MPW

 

[MPW]

Das ganze Spiel hab ich jetzt nochmal mit ebay wiederholt:

$ wget ebay.de
--2014-06-23 20:21:16--  http://ebay.de/
Auflösen des Hostnamen »ebay.de (ebay.de)«... 66.135.211.132, 66.135.215.61, 66.211.181.235
Verbindungsaufbau zu ebay.de (ebay.de)|66.135.211.132|:80... fehlgeschlagen: Die Wartezeit für die Verbindung ist abgelaufen.
Verbindungsaufbau zu ebay.de (ebay.de)|66.135.215.61|:80... fehlgeschlagen: Die Wartezeit für die Verbindung ist abgelaufen.
Verbindungsaufbau zu ebay.de (ebay.de)|66.211.181.235|:80... fehlgeschlagen: Die Wartezeit für die Verbindung ist abgelaufen.
Erneuter Versuch.

--2014-06-23 20:27:39--  (Versuch: 2)  http://ebay.de/
Verbindungsaufbau zu ebay.de (ebay.de)|66.135.211.132|:80... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 301 Moved Permanently
Platz: http://www.ebay.de [folge]
--2014-06-23 20:27:41--  http://www.ebay.de/
Auflösen des Hostnamen »www.ebay.de (www.ebay.de)«... 62.156.209.11, 62.156.209.48
Verbindungsaufbau zu www.ebay.de (www.ebay.de)|62.156.209.11|:80... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 200 OK
Länge: nicht spezifiziert [text/html]
In »»index.html.16«« speichern.

    [  <=>                                                            ] 213.859      930K/s   in 0,2s    

2014-06-23 20:27:41 (930 KB/s) - »index.html.16« gespeichert [213859]

Und in Wireshark den Mitschnitt der FB geladen und diesen Filter eingegeben:

tcp.flags.syn==1 && ( ip.addr == 66.135.211.132 || ip.addr == 66.136.215.61 || ip.addr == 66.211.181.235)

Da der lokale Mitschnitt (Ubuntu) 32 SYN-Pakete enthält und der ausgehende der Fritzbox nur 2, nämlich die beiden des Downloads am Ende, ist die Sache klar oder? Die FritzBox ist der Übeltäter.

Um einen Softwarefehler auszuschließen, flashe ich glaube ich die Firmware nochmal komplett neu auf.

Mal gucken, ob ich die finde....

 

[MPW]

Update: Gerade die Firmwaredatei von AVM direkt heruntergeladen und geflasht. Fehler tritt sofort wieder auf.

Da ich eine Einstellungsrücksetzung schon gemacht hab, bin ich jetzt davon überzeugt, dass ein Hardwareschaden an der FB vorliegt oder die Standardkonfiguration mit dem Startcode von 1&1 den Fehler schon verursacht. Letzteres ist natürlich irgendwie unwahrscheinlich zumal es die ersten 20 Monate des Vertrags gut lief.

Oder hat jemand noch eine bessere Erklärung?

Frage für mich: Bei 1&1 anrufen und versuchen die zu überreden, mir eine neue zu schicken. Oder den Techniker morgen abwarten und mir anhören, was er zu sagen hat? Meine Erfahrungen mit DSL-Technikern sind gemischter Natur.

 

[PeterPawn]

Die FritzBox ist der Übeltäter.

Kaum zu bestreiten ...

Um einen Softwarefehler auszuschließen, flashe ich glaube ich die Firmware nochmal komplett neu auf.

Da habe ich Dich im ersten Beitrag wohl falsch verstehen wollen ...

Firmware der FritzBox auf den Auslieferungszustand zurück gesetzt

Das war dann das "Rücksetzen der Einstellungen (Werkseinstellung)" und noch kein Recover ? Dann war das "Reset" davor ein Neustart der Fritz!Box ?

Edit: Wenn Du nicht extra daheim bleiben mußt, laß doch den Techniker suchen. Der wird ja nichts finden und Du kannst ja immer noch versuchen, bei 1&1 jemanden zu finden, der die von Dir ausgeführte Fehlersuche nachvollziehen kann.

Edit2: Wenn Du schreibst, das Problem tritt "sofort" nach dem Recovern erneut auf, heißt das dann, die vorher für 5 Minuten funktionierende Box will jetzt gar nicht mehr ? Und das nur bei TCP-SYNs ?

 

[MPW]

Hallo,

ja unter Reset verstehe ich einen reboot, Neustart, Strom abklemmen.

Unter Rücksetzen die Option Werkseinstellungen. (Bis hierhin hatte ich es vor dem ersten Beitrag schon getestet.)

Und unter flashen die Aufspielung einer anderen Firmware. (erst gerade eben gemacht)

Aber vermutlich drücke ich mich da nicht eindeutig aus, da reset und rücksetzen ja nur Übersetzungen voneinader sind. Mein Fehler.

Ist aber eh egal, weil es ja nicht geholfen hat.

Was meinst du denn bzgl. 1&1 anrufen? Eigentlich ist es ja sinnlos, dass der Typ morgen noch herkommt.

 

[PeterPawn]

Mein Fehler.

Meiner mindestens genauso ... aber wir sind ja doch zum Ziel gekommen. Ich war sogar zu blöd (liegt allerdings auch an Problemen mit meinem IPPF-Account) mir einfach mal Deine Bilder anzusehen.

Bei einer 7360 SL mit Lantiq VR9-Prozessor und der dort integrierten "Protocol Processor Engine" wird wohl ein Teil der Paketverarbeitung vom Prozessor quasi in "Hardware" ausgeführt ... und da kann ich mir dann auch wieder einen Hardware-Fehler vorstellen.

Was meinst du denn bzgl. 1&1 anrufen? Eigentlich ist es ja sinnlos, dass der Typ morgen noch herkommt.

Ich glaube nicht so richtig daran, daß 1&1 Dir ohne diesen Technikerbesuch die Box einfach austauscht. Die Überzeugungsarbeit möchte ich nicht am Telefon leisten müssen, wenn man dabei an den/die Falsche(n) gerät.

Edit: Das Problem mit dem "Reset" der Firmware auf Werkseinstellungen ist, daß dabei nicht die Einstellungsdateien in /var/flash (eigentlich ja im TFFS) gelöscht werden, deren Minor-Device-ID kleiner als 100 ist (jedenfalls bei 7390/7490, eine 7360 habe ich nicht, sollte aber dasselbe Prinzip sein). Ein komplettes Löschen von MTD3/MTD4 findet nur beim Recovern (oder bei speziellen Programmen wie ruKT) statt. Insofern besteht da ein echter Unterschied.

Edit2: Das "Nichtlöschen" der Files mit minorID <100 korrigiert, Darstellung war genau verkehrt herum.

 

[Benares]

@MPW
Vorweg: Ich hab jetzt nicht alles gelesen.
Mach doch einfach mal nen Call bei AVM auf. Die fordern vermutlich als erstes mal deine Support-Daten an, evtl. auch einen Paket-Mitschnitt über http://fritz.box/support.lua.
Dann lass die mal machen. Ich hab damit schon gute Erfahrungen gemacht.