Routing zu 1.1.1.1 bzw. 2606:4700:4700::1111

Spezielle technische Fragen zum Thema "Ethernet" als Anschlusstechnik? Dann bist Du hier richtig!
Antworten
Benutzeravatar
El Narizon
Member
Member
Beiträge: 26
Registriert: 29. Nov 2016 09:54

Routing zu 1.1.1.1 bzw. 2606:4700:4700::1111

Beitrag von El Narizon » 12. Mär 2019 16:31

FTTB - Ethernet als Hausverteiler - echtes Dual Stack
Windows 10 1809

Ich nutze die DNS-Server
IPv4
1.1.1.1
1.0.0.1
IPv6
2606:4700:4700::1111
2606:4700:4700::1001

Es kommt mir so vor, als ob nicht jede Anfrage an eine URL sofort beantwortet wird - mit anderen Worten:
Wenn ich eine Website im Browser öffnen will, kommt oft nix.
Entweder ESC und nochmal versuchen oder sogar direkt F5 helfen aber in den meisten Fällen, dann wird die Website geladen.

Zudem habe ich oft das Problem, dass Websites nicht komplett fertig geladen werden, soll heißen, der Fortschrittsbalken, der vom Browser im Tab angezeigt wird, hängt bei ~90% und die "Sanduhr" läuft unaufhörlich.
Hier hilft ein ESC, ein F5 hilft oft, aber nicht immer.
In manchen Fällen hilft nur ein STRG+SHIFT+R.

Nach der Lektüre von https://community.cloudflare.com/t/have ... irst/15902 und dem darunter angepinnten Kommentar https://community.cloudflare.com/t/have ... st/15902/3 habe ich folgendes festgestellt:

Code: Alles auswählen

tracert 1.1.1.1

Routenverfolgung zu one.one.one.one [1.1.1.1]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.178.1]
  2     1 ms    <1 ms    <1 ms  lo1.pop111-asr.ipv4.wtnet.de [84.46.104.111]
  3    10 ms     1 ms     1 ms  v1611.graf-zahl.ipv4.wtnet.de [84.46.115.42]
  4     1 ms     1 ms     1 ms  de-cix-hamburg.as13335.net [80.81.203.10]
  5     1 ms    <1 ms    <1 ms  one.one.one.one [1.1.1.1]

Ablaufverfolgung beendet.
bzw.

Code: Alles auswählen

tracert 1.0.0.1

Routenverfolgung zu one.one.one.one [1.0.0.1]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.178.1]
  2     1 ms     1 ms     1 ms  lo1.pop111-asr.ipv4.wtnet.de [84.46.104.111]
  3     1 ms     1 ms    <1 ms  v1611.graf-zahl.ipv4.wtnet.de [84.46.115.42]
  4     1 ms     1 ms     1 ms  de-cix-hamburg.as13335.net [80.81.203.10]
  5     1 ms    <1 ms    <1 ms  one.one.one.one [1.0.0.1]

Ablaufverfolgung beendet.
und die IPv6-Varianten

Code: Alles auswählen

tracert -6 2606:4700:4700::1111

Routenverfolgung zu one.one.one.one [2606:4700:4700::1111]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  fritz.box [2a04:4540:6f16:ae00:464e:6dff:fed9:61ef]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     1 ms    <1 ms    22 ms  v1611.graf-zahl.ipv6.wtnet.de [2a02:2028:ff00::13:2]
  4    53 ms     6 ms     1 ms  cloudflare.ham.ecix.net [2001:7f8:8:10:0:3417:0:1]
  5     1 ms    <1 ms    <1 ms  one.one.one.one [2606:4700:4700::1111]

Ablaufverfolgung beendet.
bzw.

Code: Alles auswählen

tracert -6 2606:4700:4700::1001

Routenverfolgung zu one.one.one.one [2606:4700:4700::1001]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  fritz.box [2a04:4540:6f16:ae00:464e:6dff:fed9:61ef]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     2 ms    <1 ms    <1 ms  v1611.graf-zahl.ipv6.wtnet.de [2a02:2028:ff00::13:2]
  4    25 ms    38 ms     9 ms  cloudflare.ham.ecix.net [2001:7f8:8:10:0:3417:0:1]
  5     1 ms    <1 ms    <1 ms  one.one.one.one [2606:4700:4700::1001]

Ablaufverfolgung beendet.
Hop 2 hat bei IPv6 Probleme, wie es aussieht...


Der Vollständigkeit, halber; hier die anderen Ergebisse aus den Tests, die auf https://community.cloudflare.com/t/have ... irst/15902 empfohlen werden:

Code: Alles auswählen

nslookup example.com 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

Nicht autorisierende Antwort:
Name:    example.com
Addresses:  2606:2800:220:1:248:1893:25c8:1946
          93.184.216.34

Code: Alles auswählen

nslookup example.com 2606:4700:4700::1111
Server:  one.one.one.one
Address:  2606:4700:4700::1111

Nicht autorisierende Antwort:
Name:    example.com
Addresses:  2606:2800:220:1:248:1893:25c8:1946
          93.184.216.34

Code: Alles auswählen

nslookup example.com 1.0.0.1
Server:  one.one.one.one
Address:  1.0.0.1

Nicht autorisierende Antwort:
Name:    example.com
Addresses:  2606:2800:220:1:248:1893:25c8:1946
          93.184.216.34

Code: Alles auswählen

nslookup example.com 2606:4700:4700::1001
Server:  one.one.one.one
Address:  2606:4700:4700::1001

Nicht autorisierende Antwort:
Name:    example.com
Addresses:  2606:2800:220:1:248:1893:25c8:1946
          93.184.216.34

Code: Alles auswählen

nslookup -class=chaos -type=txt id.server 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

Nicht autorisierende Antwort:
id.server       text =

        "HAM"

Code: Alles auswählen

nslookup -class=chaos -type=txt id.server 2606:4700:4700::1111
Server:  one.one.one.one
Address:  2606:4700:4700::1111

Nicht autorisierende Antwort:
id.server       text =

        "HAM"

Code: Alles auswählen

nslookup -class=chaos -type=txt id.server 1.0.0.1
Server:  one.one.one.one
Address:  1.0.0.1

Nicht autorisierende Antwort:
id.server       text =

        "HAM"

Code: Alles auswählen

nslookup -class=chaos -type=txt id.server 2606:4700:4700::1001
Server:  one.one.one.one
Address:  2606:4700:4700::1001

Nicht autorisierende Antwort:
id.server       text =

        "HAM"

Code: Alles auswählen

nslookup -vc -class=chaos -type=txt id.server 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

Nicht autorisierende Antwort:
id.server       text =

        "HAM"

Code: Alles auswählen

nslookup -vc -class=chaos -type=txt id.server 2606:4700:4700::1111
Server:  one.one.one.one
Address:  2606:4700:4700::1111

Nicht autorisierende Antwort:
id.server       text =

        "HAM"

Code: Alles auswählen

nslookup -vc -class=chaos -type=txt id.server 1.0.0.1
Server:  one.one.one.one
Address:  1.0.0.1

Nicht autorisierende Antwort:
id.server       text =

        "HAM"

Code: Alles auswählen

nslookup -vc -class=chaos -type=txt id.server 2606:4700:4700::1001
Server:  one.one.one.one
Address:  2606:4700:4700::1001

Nicht autorisierende Antwort:
id.server       text =

        "HAM"
Ich habe OpenSSL installiert, aber kein DNS over TLS implementiert.
Der Test funktioniert soweit:

Code: Alles auswählen

openssl s_client -connect 1.1.1.1:853
CONNECTED(00000150)
depth=1 C = US, O = DigiCert Inc, CN = DigiCert ECC Secure Server CA
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
 0 s:/C=US/ST=California/L=San Francisco/O=Cloudflare, Inc./CN=cloudflare-dns.com
   i:/C=US/O=DigiCert Inc/CN=DigiCert ECC Secure Server CA
 1 s:/C=US/O=DigiCert Inc/CN=DigiCert ECC Secure Server CA
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=California/L=San Francisco/O=Cloudflare, Inc./CN=cloudflare-dns.com
issuer=/C=US/O=DigiCert Inc/CN=DigiCert ECC Secure Server CA
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3126 bytes and written 434 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-ECDSA-AES256-GCM-SHA384
Server public key is 256 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-ECDSA-AES256-GCM-SHA384
    Session-ID: E5C7CD63F514842BE7040CE3CCFAA23872998F28488F665C7F3FA7D27070F016
    Session-ID-ctx:
    Master-Key: 6479ABDD0B0C93A7C66F27FC92772C7EE56868C4D5962FBEA2FCC806D1C3DE24F0093D250D4BE135327F38D710D48776
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 21600 (seconds)
    TLS session ticket:
    0000 - 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00   ................
    0010 - 8d ba 4d 88 26 60 67 f6-5c ba 4e f7 40 fd b5 9f   ..M.&`g.\.N.@...
    0020 - 01 30 7b 19 9b e1 bc e2-dd 22 9b cb d5 d8 3f 0e   .0{......"....?.
    0030 - 14 a4 34 5e 00 5f 60 26-15 68 e6 73 e0 62 a5 e6   ..4^._`&.h.s.b..
    0040 - fa 60 af fd df 99 f0 cc-b5 66 0c 4e 7d a1 b2 db   .`.......f.N}...
    0050 - 1d 0a 79 da 41 f2 b8 90-09 88 a1 75 9d 10 87 4b   ..y.A......u...K
    0060 - 88 f4 22 74 48 d0 0a 63-75 e6 ad 8c 8d a7 4f a0   .."tH..cu.....O.
    0070 - d7 50 81 ee 37 05 2a 3b-1e 96 ac f3 c1 ad 30 00   .P..7.*;......0.
    0080 - ea 76 b4 3a 59 f1 92 3f-1b 4b ba 82 41 e1 0d b9   .v.:Y..?.K..A...
    0090 - 56 1c 6b 65 a8 88 32 40-e5 36 88 e1 1a bd d2 c2   V.ke..2@.6......
    00a0 - 3a 20 1b 68 7a 69 15 7a-2e 18 e9 0c 26 97 37 96   : .hzi.z....&.7.
    00b0 - 04 e7 7e af 75 03 e0 fc-c7 27 cc 6b cd e6 2d 23   ..~.u....'.k..-#
    00c0 - 22 4c ff 18 47 2a 2f be-01 52 f4 36 4e cf cc 8b   "L..G*/..R.6N...
    00d0 - 32 24 59 41 55 00 17 09-36 ce 1b 0f d5 12 8b 90   2$YAU...6.......
    00e0 - 9a 63 03 17 cf fc b1 f7-53 84 d5 c2 5c c8 48 93   .c......S...\.H.
    00f0 - 75 fa b1 6f 10 75 e9 53-c2 14 02 ae f3 2f d1 0c   u..o.u.S...../..
    0100 - 45 04 74 34 6f 3f c9 70-bb 52 1d 0b 91 64 fb 79   E.t4o?.p.R...d.y
    0110 - ee 98 fc 95 84 e1 4e 69-b3 92 96 1c 68 e1 c0 ef   ......Ni....h...
    0120 - 7e 98 42 7e 35 35 89 65-98 23 1d cf d5 41 81 f4   ~.B~55.e.#...A..
    0130 - c1 9b 77 54 3c 28 6f 54-31 58 76 13 98 10 e9 e9   ..wT<(oT1Xv.....
    0140 - 6d bc 93 d1 1c 50 79 5d-ca 33 b3 2c cd 37 36 20   m....Py].3.,.76
    0150 - 80 24 e4 f1 9e 73 eb a9-f9 dd 57 c5 ae 08 9e d5   .$...s....W.....
    0160 - 27 f0 c0 c8 69 6e                                 '...in

    Start Time: 1552403326
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
closed
Fazit, meiner Meinung nach:

Es sieht so aus, als ob der erste Hop nach dem Router, was meiner bescheidenen Vermutung nach ja der Hausanschluß FTTB sein müsste, Probleme mit IPv6 hat ...

Kann das sein?

Gruß,

El Narizon

cybershadow
Member
Member
Beiträge: 72
Registriert: 26. Jul 2017 22:48

Re: Routing zu 1.1.1.1 bzw. 2606:4700:4700::1111

Beitrag von cybershadow » 12. Mär 2019 17:10

Das einzig auffällige was ich sehe ist, dass der erste Hop auf IPv6 kein ICMP Time exceeded verschickt. Man sieht leider häufiger, dass Netzbetreiber bestimmte ICMP-Nachrichten filtern. Ich halte das für einen Konfigurationsfehler, manch ein Admin sieht darin ein Sicherheitsfeature, weil er der Meinung ist, so interne Netzstrukturen verstecken zu können.

Ich verwende nicht den Cloudflare-DNS, bin aber ansonsten mit der Performance des Cloudflare-CDN von meinem WT-Anschluss aus zufrieden. eurovision.tv läuft z.B. komplett über Cloudflare.

Benutzeravatar
El Narizon
Member
Member
Beiträge: 26
Registriert: 29. Nov 2016 09:54

Re: Routing zu 1.1.1.1 bzw. 2606:4700:4700::1111

Beitrag von El Narizon » 12. Mär 2019 17:29

Der ausschlaggebende Faktor, warum ich diesen Thread überhaupt eröffnet habe, war die Erkenntnis bzgl. der Probleme vieler Nutzer der "Postbank", die zugleich 1.1.1.1 nutzen und/oder nur DS-Lite haben.

Siehe die Kommentare unter
[url]https://allestörungen.de/stoerung/postbank?utm_source=reply&utm_medium=email&utm_content=read_more[/url]
oder
https://allestoerungen.de/stoerung/post ... =read_more

Ich sah da einen gewissen Zusammenhang.
Zuletzt geändert von El Narizon am 12. Mär 2019 17:37, insgesamt 1-mal geändert.

Benutzeravatar
El Narizon
Member
Member
Beiträge: 26
Registriert: 29. Nov 2016 09:54

Re: Routing zu 1.1.1.1 bzw. 2606:4700:4700::1111

Beitrag von El Narizon » 12. Mär 2019 17:35

Irgendwas stimmt mit dieser Forensoftware nicht:

Beitrag ändern - auf "Absenden" geklickt - es kommt die Vorschau.
Nochmal auf "Absenden" geklickt - abgesendet.

Nochmal Beitrag ändern, jetzt steht da wieder die ursprüngliche Fassung, nicht die bereits geänderte.

Und alles wieder von vorn.

Der url-tag funktioniert nicht.
Edit: Es liegt am Umlaut in der URL - mein Browser kann das seit Monaten ... viele Monate. Wie lange hat die Website schon ein ö in der URL?

Net Killer:-)
Member
Member
Beiträge: 73
Registriert: 14. Nov 2016 21:48

Re: Routing zu 1.1.1.1 bzw. 2606:4700:4700::1111

Beitrag von Net Killer:-) » 14. Mär 2019 13:42

cybershadow hat geschrieben:
12. Mär 2019 17:10
Das einzig auffällige was ich sehe ist, dass der erste Hop auf IPv6 kein ICMP Time exceeded verschickt.
Ja mehr ist da auch nicht zu sehen.
cybershadow hat geschrieben:
12. Mär 2019 17:10
Man sieht leider häufiger, dass Netzbetreiber bestimmte ICMP-Nachrichten filtern. Ich halte das für einen Konfigurationsfehler, manch ein Admin sieht darin ein Sicherheitsfeature, weil er der Meinung ist, so interne Netzstrukturen verstecken zu können.
Entgegen der weitverbreiteten Meinung, dass so ein Router ja nichts anderes zu tun hat, als ICMP zu beantworten, ist dem nicht so ;)
Schlimmer noch: Während so ein Router die meisten seiner Aufgaben spätestens nach einer kurzen Lernphase in Hardware (ASIC) durchführen kann, wird ICMP von der CPU bearbeitet. Klingt jetzt erstmal nach nicht viel Arbeit, allerdings summieren sich solche "wertlosen" CPU Zyklen schnell auf, wenn nicht ein Kunde durch die Gegend pingt (traceroute == Ping mit künstlich verkürzter TTL), sondern 100, 1000 oder gar 100.000.

Es kann also durchaus ernsthafte Performancegründe haben, warum man sich zu einer solchen Konfig entschließt.

nordicjan
Member
Member
Beiträge: 32
Registriert: 30. Nov 2016 22:06

Re: Routing zu 1.1.1.1 bzw. 2606:4700:4700::1111

Beitrag von nordicjan » 22. Mär 2019 07:44

hab mit dem 1.1.1.1 auch hänger.
bin jetzt einfach wieder zu dem WT nameserver gewechselt.

Benutzeravatar
El Narizon
Member
Member
Beiträge: 26
Registriert: 29. Nov 2016 09:54

Re: Routing zu 1.1.1.1 bzw. 2606:4700:4700::1111

Beitrag von El Narizon » 22. Mär 2019 21:50

Schade, 1.1.1.1 ist so schön performant.

Aber irgendwas ist ja immer ... speziell in Deutschland. :roll:

nordicjan
Member
Member
Beiträge: 32
Registriert: 30. Nov 2016 22:06

Re: Routing zu 1.1.1.1 bzw. 2606:4700:4700::1111

Beitrag von nordicjan » Gestern 12:49

naja die performance vom 1.1.1.1 und dem wt nameserver ist so nah beieinander wie die messunschärfe.

primäre nutzen des one Nameservers ist finde ich in wlans für mobildevices

Antworten