Posts by femur

Hängt die Erhöhung der Latenzen zu den Servern mit dem Start der Firewall zusammen, oder ist das nur eine Korrelation statt Kausalität? Das Routing bis zu Netcup hat sich nicht geändert.

IMG_1502.jpeg

IMG_1501.jpeg

Quote from Paul

Das IPv6 Packet Loss Problem ist auch mal wieder da. Da war es die vergangenen Tage recht ruhig gewesen. Habe das auch nur gemerkt, weil ich auf einem Server per SSH unterwegs war und alles irgendwie gestottert hat.

Packet Loss ist mir nicht aufgefallen, aber ich finde interessant wie unterschiedlich das Routing über IPv6 zu meinen Servern bei Netcup ist. Das Forum kommt auf 26.1ms und reiht sich damit mit einem der Server ein.

smokeping_IPv6_netcup.png

Beim ersten Community-Treffen im alten Schlachthof waren am Eingang des gesamten Geländes schon Wegweiser aufgestellt. Ich nehme an, dass das auch wieder so sein wird.

Ich nutze das SCP gerade, da läuft alles problemlos. Allerdings sind meine Server auch alle erreichbar. Vielleicht mag das SCP bei euch nicht weil die Hosts der Server selbst nicht erreichen kann? Einfach ins Blaue geraten..

Quote from sla

Gibt es eigentlich eine Liste mit Recordtypen, die netcup unterstützt? Auf die Schnelle konnte ich bei Google nichts finden

Auf der Produktseite der jeweiligen Domain gibt es einen Abschnitt "Erstellbare Records". Für die .de-Domain beispielweise "A, AAAA, MX, CNAME, TXT, SRV". Allerdings lassen sich im CCP deutlich mehr Recordtypen anlegen: "A, AAAA, MX, CNAME, TXT, SRV, NS, DS, TLSA, CAA, SSHFP, SMIMEA, OPENPGPKEY".

Ich wurde auch am Donnerstag eingeladen. Sobald die API zur Verfügung steht möchte ich einen dnscontrol Provider dafür schreiben bzw. den bestehenden anpassen. Je nach dem wie sehr sich die APIs unterscheiden. Dadurch kann ich die API im Rahmen der Beta gut testen.

Ich habe gestern auch Traces gemacht und festgestellt, dass IPv6 über Arelion (AS1299) zur DTAG (AS3320) geroutet wird. Allerdings mit guten RTT Werten und sehr direkt. Auslöser war bei mir, dass das Peering zwischen Deutscher Glasfaser und DTAG nicht besonders zufriedenstellend ist und ich das vergleichen wollte.

Mich wundert, dass der Link fm-b5-link.ip.twelve99.net → dtag-ic-387598.ip.twelve99-cust.net sich zwischen beiden Traces so unterschiedlich verhält. Ich verstehe vom Routing leider einfach zu wenig um das bewerten und verstehen zu können.

2025-01-23T16:55:45+0100
                                                  Packets               Pings
 Host                                            Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS197540 2a03:4000:67::2                      0.0%   203    0.6   6.9   0.4  44.0   8.8
 2. AS47147  2a00:11c0:47:3::120                  0.0%   203    0.4   1.6   0.4  22.9   3.7
 3. AS1299   nug-b2-link.ip.twelve99.net          0.0%   203    0.5   0.4   0.4   0.7   0.1
 4. AS1299   ffm-bb1-v6.ip.twelve99.net           0.0%   203    3.7   3.8   3.6   5.0   0.2
    [MPLS: Lbl 404160 TC 0 S 0 TTL 1]
    [MPLS: Lbl 2 TC 0 S 1 TTL 1]
 5. AS1299   ffm-b5-link.ip.twelve99.net         99.5%   203    4.7   4.7   4.7   4.7   0.0
 6. AS1299   dtag-ic-387598.ip.twelve99-cust.net 95.0%   203    4.8   4.8   4.2   7.8   1.1
 7. AS3320   2003:0:1801:4000::1                 63.4%   203   10.0  10.0   9.6  19.1   1.1
 8. (waiting for reply)

2025-01-23T17:07:12+0100
                                                  Packets               Pings
 Host                                            Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS197540 2a03:4000:67::2                      0.0%   124   38.9   6.5   0.4  73.4  10.5
 2. AS47147  2a00:11c0:47:3::120                  0.0%   124    0.5   1.5   0.3  40.8   5.0
 3. AS1299   2001:2035:0:4fa::1                   0.0%   124    0.4   0.4   0.4   0.9   0.1
 4. AS1299   2001:2034:1:6b::1                    0.0%   124    3.8   3.8   3.6   4.3   0.1
    [MPLS: Lbl 404160 TC 0 S 0 TTL 1]
    [MPLS: Lbl 2 TC 0 S 1 TTL 1]
 5. (waiting for reply)
 6. AS1299   2001:2035:0:2509::2                  84.6%  124    4.2   4.3   4.0   4.5   0.1
 7. AS3320   2003:0:1801:4000::1                  78.9%  124   10.0   9.9   9.7  10.2   0.1
 8. (waiting for reply)

2025-01-23T16:53:25+0100
                                                                Packets               Pings
 Host                                            Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS60294  2a00:6020:××××:××××::1               0.0%    58    0.7   0.6   0.4   1.3   0.1
 2. (waiting for reply)
 3. AS60294  2a00:6020:0:d::1                    84.2%    58    8.3   8.5   8.3   8.8   0.2
 4. AS60294  2a00:6020:0:2c::2                    0.0%    58    8.1   8.0   7.7   8.5   0.2
    AS60294  2a00:6020:0:1e::2
 5. AS1299   ffm-b5-link.ip.twelve99.net         70.7%    58    8.3   8.4   8.2   8.8   0.2
 6. AS1299   dtag-ic-387598.ip.twelve99-cust.net 96.5%    58  102.0 102.0 102.0 102.0   0.0
 7. AS3320   2003:0:1801:4000::1                 84.2%    58  105.3 105.1 104.8 105.3   0.2
 8. (waiting for reply)

2025-01-23T17:06:24+0100

                                                   Packets               Pings
 Host                                            Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS60294  2a00:6020:××××:××××::1               0.0%    75    0.9   0.6   0.4   0.9   0.1
 2. (waiting for reply)
 3. AS60294  2a00:6020:0:d::1                    82.4%    75    9.1   8.9   8.5   9.2   0.2
 4. AS60294  2a00:6020:0:1e::2                    0.0%    75    8.5   8.2   7.7   8.7   0.2
    AS60294  2a00:6020:0:2c::2
 5. AS1299   2001:2035:0:1a7e::1                 85.1%    75    8.4   9.4   8.1  16.8   2.5
 6. AS1299   2001:2035:0:2509::2                 87.8%    75  102.5 102.4 102.1 102.6   0.2
 7. AS3320   2003:0:1801:4000::1                 68.9%    75  105.2 105.2 104.8 107.3   0.5
 8. (waiting for reply)

Mir ist gerade aufgefallen, dass in der Mail zur Bereitstellung des Webhostings empfohlen wird diese auszudrucken.

Quote from Ihr Hostingpaket Webhosting 1000 NUE ADV24 wurde angelegt

WICHTIG: Drucken Sie sich diese E-Mail aus und bewahren Sie den Ausdruck an einem sicheren Ort auf.

Warum sollte man diese Mail ausdrucken? Die Infos stehen doch alle im CCP.

Quote from H6G

Es gibt auch Glasfaser Provider, die nur CGNAT, aber kein IPv6 haben. Das ist großer Spaß.

Zum Glück habe ich ein /56 delegated prefix, mit dem ich von außen in mein Netzwerk komme.

Quote from mainziman

CGNAT hat auf Grund dessen, wie es eben funktioniert, hier ein Limit beim Datendurchsatz;

und dieses Limit teilen sich ALLE Kunden, welche hinter der selben public IP/den selben public IPs hängen;

da tanzt ja fast mit dem Koyoten, wennst sowas mit Glasfaser veranstaltest;

Wobei CGNAT bestimmt besser skaliert als DS-Lite, bei dem noch Pakete vom AFTR ver/entkapselt werden müssen. DS-Lite schränkt die MTU ein, CGNAT erstmal nicht. Ich finde das so besser als DS-Lite. Public IPv4 wäre natürlich noch besser.

Quote from mainziman

tatsächlich so, oder DSLite?

Tatsächlich voller Dual-Stack. Bei DS-Lite würde die IPv4-Pakete in IPv6-Paketen gekapselt werden und nur IPv6-Datenverkehr im Providernetzwerk fließen. Hier transportiert das Providernetzwerk aber wirklich IPv4- und IPv6-Pakete nativ. So interpretiere ich jedenfalls die Ergebnisse unten.

$ ip addr show
17: wan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether ××:××:××:××:××:×× brd ff:ff:ff:ff:ff:ff
    inet 100.86.×××.×××/16 brd 100.86.255.255 scope global wan
       valid_lft forever preferred_lft forever
    inet6 2a00:6020:××××::/128 scope global dynamic noprefixroute
       valid_lft 3488sec preferred_lft 3488sec
    inet6 fe80::c641:1eff:fef8:9647/64 scope link
       valid_lft forever preferred_lft forever

$ ip route
default via 100.86.0.1 dev wan  src 100.86.×××.×××
$ ip -6 route
default from 2a00:6020:××××:: via fe80::ff:fe05:202 dev wan  metric 512
default from 2a00:6020:××××::/56 via fe80::ff:fe05:202 dev wan  metric 512

$ tracepath netcupRS -4
 1?: [LOCALHOST]                      pmtu 1500
 1:  192.168.×××.×××                                       0.722ms
 1:  192.168.×××.×××                                       0.682ms
 2:  100.124.1.27                                          6.039ms
 3:  no reply
 4:  185.22.46.98                                          9.472ms asymm  6
 5:  ae3-1337.bbr02.anx25.fra.de.anexia-it.net             9.033ms asymm  6
 6:  ae1-0.bbr01.anx84.nue.de.anexia-it.net               25.764ms
 7:  94.16.25.155                                         12.942ms
 8:  netcupRS                                             12.339ms reached
     Resume: pmtu 1500 hops 8 back 8

$ tracepath netcupRS -6
 1?: [LOCALHOST]                        0.033ms pmtu 1500
 1:  2a00:6020:47a4:6204::1                                0.562ms
 1:  2a00:6020:47a4:6204::1                                0.424ms
 2:  no reply
 3:  no reply
 4:  2001:7f8::a5e9:0:1                                    9.038ms
 5:  2a00:11c0:47:1:47::149                                9.172ms asymm  4
 6:  2a00:11c0:47:1:47::140                               11.957ms
 7:  2a00:11c0:47:3::121                                  11.875ms
 8:  netcupRS                                             12.001ms reached
     Resume: pmtu 1500 hops 8 back 

$ ping -M probe -s 1472 -4 netcupRS
PING netcupRS 1472(1500) bytes of data.
1480 bytes from netcupRS: icmp_seq=1 ttl=57 time=12.0 ms

Bei Vodafone über Kabel hatte ich mit dem Bridgemode Dual-Stack mit globaler IPv4. Zum neuen Jahr wechseln wir zu Deutsche Glasfaser. Dort gibt es zwar auch Dual-Stack, aber nur mit CGNAT bei IPv4.

Quote from ThomasChr

Haben jetzt im Arthotel ANA eingecheckt. Jemand morgen zum Frühstück da? Erkennungsmerkmal Entenklamotten?

Ich bin gerade in Alfa-Hotel angekommen, werde jetzt noch etwas die Stadt erkunden, denke ich.

Quote from Bud

Soll (muss) man irgendetwas mitbringen (außer Kundennummer / Passwort)? Oder kann man da einfach blanko auftauchen?

Also was ich meine:

- Macht es Sinn, einen Zettel / Stift mitzubringen?

- Macht es Sinn, abgesehen vom Smartphone, irgendein anders technisches Device dabei zu haben?

- Soll ich meinen Laptop mitbringen und ihr behebt mir meine Probleme mit Linux Mint? /scnr

Ich werde auch kaum was mitbringen, Zettel und Stift wird es ziemlich sicher im Goodiebag geben. Anmeldedaten waren letztes Mal gut um den Event-Server direkt zu bestellen. Keine Ahnung wie lange die QR-Codes nach dem Event überhaupt noch gültig sind.

Ich bin ab morgen (Freitag) Nachmittag in Karlsruhe, wer also am Vorabend schon Essen gehen oder im Park entspannen will kann mich gerne kontaktieren.

Quote from Bud

Also beide Namen?

Da bin mir gar nicht mehr sicher, so vergesslich bin ich schon

Wir wurden aber persönlich und herzlich begrüßt. Ich bin gespannt wie sehr das „familiäre“ Setting des ersten Community-Events noch da ist und freue mich wieder auf Samstag.

Jetzt muss ich nur mal über meinen Schatten springen und auch im Forum mehr schreiben

Quote from Virinum

Ich hoffe, dass das Forum dieses Jahr eine etwas wichtigere Rolle spielt. Letztes Jahr kam es etwas zu kurz und man hat gar nicht richtig gewusst, wen man aus dem Forum so gerade vor sich hat.

Wir können uns ja alle Namensschilder mit unseren Forumsnamen basteln

Vor zwei Jahren stand auf den Namensschildern der Forumsname soweit ich mich erinnere. Fand ich sehr schön, da man die "echte" und die "online" Person gut verbinden konnte. Es gibt ja doch einen ziemlich großen Unterschied wie man den Charakter online und im direkten Gegenüber einschätzt.

Quote from frank_m

Das ist kein reiner IPv6 Tunnel. Du hast lediglich kein dediziertes IPv4 Transportnetz spezifiziert. Das klappt aber nur für reine LAN-LAN Setups, nicht für Roadwarrior. AVM macht das auch so für enige Setups. Aber im Tunnel Setup erlaubst du IPv4 Netze, und das ist der Unterschied zu oben. Dort werden keine IPv6 Adressen im Tunnel erlaubt. Deshalb können dort keine IPv6 Daten fließen.

Du hast auf beiden Seiten 0.0.0.0/0 in der Konfig. Würdest du mit einem Transportnetz arbeiten, würde das auf beiden Seiten das Internet komplett abklemmen. So taucht die Default Route dann nicht in der Übersicht auf. Entfernst du sie manuell? Die Zielrouten setzt du ja auch manuell. Geschickt ist es trotzdem ncht, da der Fokus des Tunnels nicht eingeschränkt wird.

Ich hätte den Tunnel als IPv6-only Tunnel bezeichnet, weil die Tunnel-Interfaces selbst keine IPv4-Addressen zugewiesen haben. Natürlich hast du Recht, dass sehr wohl IPv4-Pakete darüber laufen. Der Tunnel sollte weiter eingeschränkt werden, das stimmt. Dieses Setup habe ich mal "auf die Schnelle" konfiguriert und ist nicht fertig. Die Routen sind alle manuell konfiguriert, deshalb gibt es auch keine Default-Route. Die wäre in diesem Fall sowieso sehr kontraproduktiv, vor allem so wie der Tunnel aktuell konfiguriert ist.

Quote from frank_m

Das ist im Grunde ein katastrophaler Fehler, denn die Netze überschneiden sich. Du hast Glück, dass die Maske auf ens4 kleiner ist, deshalb funktioniert es. Aber es ist extrem unsauber, und sobald sich Metriken ändern, geht das richtig schief.

Das habe ich tatsächlich mit Absicht so gemacht. Die spezifischere Route /24 geht doch immer vor die weniger spezifische Route /16. Die Metrik greift erst später nach meinem Verständnis.

Quote from frank_m

Warum hast du auf dem externen Interface des RS eine ULA Adresse?

Das ist ein VLAN-Interface, deshalb ist da eine ULA-Addresse drauf. Auf dem externen sind natürlich nur die externen, global routable Addressen drauf.

Ich habe mir vor einiger Zeit ein Netzwerksetup eingerichtet um es zu untersuchen und besser zu verstehen. Ein IPv6-only Tunnel verbindet hier zwei IPv4-Netze. Vielleicht gibt das einen Ansatz, dass es möglich ist IPv4 durch einen IPv6-only Tunnel zu routen. Im Thread hier ging es zwar um die andere Richtung IPv6 durch einen IPv4-only Tunnel zu routen, aber das dürfte darauf gut übertragbar sein.

Vielleicht kann ich damit der Diskussion einen sinnvollen Beitrag geben. Ich kam noch nicht wirklich dazu mir dieses Netzwerksetup genauer anzusehen und mit über Vor- und Nachteile Gedanken zu machen. Falls wir mehr darüber diskutieren wollen kann ich gerne einen neuen Thread aus diesem Beitrag machen.

❯ ip a
3: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether e6:f3:32:fe:2f:ee brd ff:ff:ff:ff:ff:ff
    altname enp0s4
    inet 192.168.1.2/24 brd 192.168.1.255 scope global ens4
       valid_lft forever preferred_lft forever
    inet6 fd6b:96ee:1f2b:1::2/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::e4f3:32ff:fefe:2fee/64 scope link proto kernel_ll
       valid_lft forever preferred_lft forever
4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet6 fe80::1/64 scope link
       valid_lft forever preferred_lft forever

❯ ip route
default via (public IPv4) dev ens3 proto static
(public IPv4-network)/22 dev ens3 proto kernel scope link src (public IPv4)
192.168.0.0/16 via inet6 fe80::2 dev wg0 proto static src 192.168.1.2
192.168.1.0/24 dev ens4 proto kernel scope link src 192.168.1.2

❯ wg
interface: wg0
  public key: X0C6aNL5FfJv6g2FPmc29+kqwxxbRMegbKnyOiGCrjg=
  private key: (hidden)
  listening port: 51820

peer: 6CZxdkiS0KRi3Mbth9Fmg9MqTbP+30MoMy0DGHeLd0g=
  preshared key: (hidden)
  allowed ips: 0.0.0.0/0, fd00::/8, fe80::/64

Das Interface ens4 ist einem vlan bei Netcup zugeordnet. Der Host 192.168.1.4, der später noch auftaucht, ist auch Teil dieses vlan.

❯ ip a
2: enu1u1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether b8:27:eb:9d:d9:d4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global enu1u1
       valid_lft forever preferred_lft forever
    inet6 (public IPv6) scope global
       valid_lft forever preferred_lft forever
    inet6 fd6b:96ee:1f2b:2::3/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::ba27:ebff:fe9d:d9d4/64 scope link proto kernel_ll
       valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet6 fe80::2/64 scope link
       valid_lft forever preferred_lft forever

❯ ip route
default via 192.168.2.1 dev enu1u1 proto static
192.168.1.0/24 via inet6 fe80::1 dev wg0 proto static
192.168.2.0/24 dev enu1u1 proto kernel scope link src 192.168.2.3
❯ wg
interface: wg0
  public key: 6CZxdkiS0KRi3Mbth9Fmg9MqTbP+30MoMy0DGHeLd0g=
  private key: (hidden)
  listening port: 59230

peer: X0C6aNL5FfJv6g2FPmc29+kqwxxbRMegbKnyOiGCrjg=
  preshared key: (hidden)
  endpoint: (netcup RS IPv6):51820
  allowed ips: 0.0.0.0/0, fd00::/8, fe80::/64

❯ tracepath 192.168.2.1
 1?: [LOCALHOST]                      pmtu 1420
 1:  192.168.2.3                                          27.844ms
 1:  192.168.2.3                                          22.265ms
 2:  192.168.2.1                                          23.437ms reached
     Resume: pmtu 1420 hops 2 back 2

❯ tracepath 192.168.1.4 -n
 1?: [LOCALHOST]                      pmtu 1420
 1:  192.168.1.2                                          27.543ms
 1:  192.168.1.2                                          25.709ms
 2:  192.168.1.4                                          18.525ms reached
     Resume: pmtu 1420 hops 2 back 2

❯ tracepath 192.168.2.1 -n
 1?: [LOCALHOST]                      pmtu 1500
 1:  192.168.1.2                                           0.481ms
 1:  192.168.1.2                                           0.328ms
 2:  192.168.1.2                                           0.387ms pmtu 1420
 2:  192.168.2.3                                          19.011ms
 3:  192.168.2.1                                          23.448ms reached
     Resume: pmtu 1420 hops 3 back 3

❯ tracepath 192.168.1.4
 1?: [LOCALHOST]                      pmtu 1420
 1:  192.168.2.3                                           0.997ms
 1:  192.168.2.3                                           0.823ms
 2:  192.168.1.2                                          26.869ms
 3:  192.168.1.4                                          19.053ms reached
     Resume: pmtu 1420 hops 3 back 3

Quote from KrisAusEU

Nein, ich habe die normale Generation 2 , nicht die Mini. Die einzige die man mieten kann, was ich auch vorerst mal gemacht habe.. ich mein, für den Zehner im Monat, da machste nichts falsch.

Hab auch noch 2 Dinge, die mir gefallen:

- 1 Monat Testphase, genau wie hier die Zufriedenheitsgarantie, Geld zurück wenn es nicht so läuft wie es soll

- Keine Vertragsbindung, einfach Monat für Monat zahlen oder nicht.

- Eher was für die Camper, kann man wahlweise dazu buchen für 9 Euro monatlich zusätzlich. Internet Flatrate in ganz Europa.

Vergessen zu erwähnen, dass meine Speedtests alle automatisch alle 15 Minuten auf Raspi laufen, ich aber auch parallel die Leitung benutze. Z.b. läuft 4K Fernseher eigentlich immer mit YouTube.. plus arbeit, surfen usw. müsste man eigentlich noch dazu addieren. Also keine Laborbedingungen hier

Display More

Wegen der fehlenden Vertragsbindung hab ich auch schon mal überlegt das einfach mal 2-3 Monate auszuprobieren. Ich hab hier zwar sehr gute Festnetzanbindung, aber so hätte ich eigene Erfahrungen mit Starlink machen können. Hab mich dann aber doch nicht durchgerungen das Geld auszugeben

Vor kurzem wurde hier ja von Telekom und Deutsche Glasfaser ausgebaut, wodurch Gigabit hier mit TV-Kabel und zwei Glasfaserkabel verfügbar ist..

Quote from DerRené

Statt Impressum soll auch ein Auszug der Denic-Daten ausreichen - fand ich sehr interessant:

Ich hatte das einfach probiert, weil ich davon ausging, dass die Telekom schlussendlich nur eine ladungsfähige Anschrift möchte, um ihr Gegenüber zu "kennen". Und für die brauche ich ja keinen Webserver mit Impressum laufen lassen, das dann ja auch noch öffentlich ist.

Was dann wohl tobr bedeutet? Habt ihr Lust eure Glaskugel nochmal anzuwerfen