Für DS-Lite-Kunden nicht erreichbare Internetseiten

[PeterBW]

Hallo zusammen,

ich kann mehrere Internetseiten nicht erreichen, allerdings habe ich mir aktuell nur eine Seite gemerkt (früher habe ich dann einfach jeweils auf meinen T-Online-Anschluss umgeschaltet, den ich aktuell nicht mehr habe). Es handelt sich z.B. um die Seite http://www.apotheken.de/
Da Unitymedia (UM) sich weigert diesbezüglich Störungsmeldungen aufzunehmen, wollte ich entsprechend Werbung für UM machen und dabei einige Seiten mehr angeben, die dieses Problem haben. Ich habe von UM den Router TC7200.U mit der von UM eingeschränkten Firmware erhalten, wobei UM glaubt, der TC7200.U sei ein Modem (es ist natürlich ein Router mit eingebautem Modem). Ob der Fehler nur mit diesem Router auftritt, ist mir nicht bekannt. Nur dass er nicht auftritt, wenn man noch eine IPv4-Adresse von UM bekommt und ein reines Modem erhalten hat. Den Fehler kann man umgehen, wenn man Nat64 (http://www.unitymediakabelbwforum.de/vi ... 53&t=28562) einsetzt, allerdings sollte der Zugang - insbesondere für Normalanwender - auch mit den Standardeinstellungen laufen, andererseits treten bei dieser Lösung andere Probleme auf. So können unter Umständen z.B. deutsche Mediatheken nicht mehr genutzt werden, weil diese glauben, man sei nicht in Deutschland.
Habt ihr auch Seiten, die ihr nicht erreichen könnt, dann teilt sie bitte hier mit.
Das Problem tritt auch nach einem Werksreset des Routers mit nur einem per LAN angeschlossenen PC auf, auch mit einem erstmalig ans Internet angeschlossenen neuen PC und auch wenn der PC von einer Linux-Live-DVD gestartet wird.

[OlliL]

Hi,

kann die von dir genannte Seite problemlos erreichen. Habe selber DS-Lite mit TC7200.

[tq1199]

... und auch wenn der PC von einer Linux-Live-DVD gestartet wird.

Wie sind mit der Linux-Live-DVD, im Terminal, die Ausgaben von:

Code: Alles auswählen

ping -c 2 -W 2 apotheken.de
nc -4nvz -w 1 83.246.89.76 80
nc -4nvz -w 1 83.246.89.76 443
nslookup apotheken.de
nslookup apotheken.de 8.8.8.8

?

[PeterBW]

Danke für die Antworten, nachdem was ich bisher herausgefunden habe liegt die Erreichbarkeit der Seite wohl daran, in welchem IP-Pool von UM man sich befindet. Auf die Idee, anstelle der Adresse apotheken.de direkt die IP-Adresse im Browser vorzugeben bin ich auch schon gekommen, hat nur auch nicht zum Erfolg geführt. Ich hatte auch schon direkt auf meinem PC als DNS-Server den Google-Server eingetragen, ebenfalls ohne Erfolg. Pings hatte ich auch schon unter Windows und unter einer Linux-Live-DVD jeweils erfolglos getestet. Habe dennoch gerade erneut von einer derartigen DVD gebootet mit folgenden Ergebnissen:
1)ping -c 2 -W 2 apotheken.de
2 packets transmitted, 0 packets received, 100% packet loss

2) nc -4nvz -w 1 83.246.89.76 80
nc: invalid option --4
2a) habe daher nc -nvz -w 1 83.246.89.76 80 im Terminal (also ohne 4 vorgegeben):
nc: 83.246.89.76 (83.246.89.70:80): Connection timed out

3) nc -4nvz -w 1 83.246.89.76 443
nc: invalid option --4
3a) habe daher nc -nvz -w 1 83.246.89.76 443 im Terminal (also ohne 4 vorgegeben):
nc: 83.246.89.76 (83.246.89.70:443): Connection timed out

4) nslookup apotheken.de
Server: 192.168.0.1
Adress1: 192.168.0.1

Name: apotheken.de
Adress1: 83.246.89.76 K0108-1.apotheken.de

5) nslookup apotheken.de 8.8.8.8
Server: 8.8.8.8
Adress1: 8.8.8.8 google-public-dns-a.google.com

Name: apotheken.de
Adress1: 83.246.89.76 K0108-1.apotheken.de

[tq1199]

..., nachdem was ich bisher herausgefunden habe liegt die Erreichbarkeit der Seite wohl daran, in welchem IP-Pool von UM man sich befindet.

OK, das hat dann aber mit DS-Lite nichts zu tun, denn das könnte auch Kunden passieren die "nur" natives IPv4 haben.

Auf die Idee, anstelle der Adresse apotheken.de direkt die IP-Adresse im Browser vorzugeben bin ich auch schon gekommen, ...

Das meinte ich aber nicht, denn z. B. auf meinen Systemen funktioniert die IP-Adresse direkt im Browser, (absichtlich) nie und das ist gut so:

Url: http://83.246.89.76/
Grund: Zugriff auf IP-Adressen ist nicht erlaubt

BTW: ping macht die Namensauflösung so wie der Browser (... und nicht wie die dns-/bind-utils), und deshalb hier der Ping nicht an die IP-Adresse.

[PeterBW]

von tq1199 » 06.05.2015, 11:51

PeterBW hat geschrieben:..., nachdem was ich bisher herausgefunden habe liegt die Erreichbarkeit der Seite wohl daran, in welchem IP-Pool von UM man sich befindet.

OK, das hat dann aber mit DS-Lite nichts zu tun, denn das könnte auch Kunden passieren die "nur" natives IPv4 haben.

Nein, laut meinen Informationen liegt es an der Umwandlung von IPv6 nach IPv4 und dem dort benutzten Pool, kann die entsprechenden Quellen aber gerade nicht finden.

PeterBW hat geschrieben:Auf die Idee, anstelle der Adresse apotheken.de direkt die IP-Adresse im Browser vorzugeben bin ich auch schon gekommen, ...

Das meinte ich aber nicht, denn z. B. auf meinen Systemen funktioniert die IP-Adresse direkt im Browser, (absichtlich) nie und das ist gut so:

Ich habe deine aufgeführten Befehle - so weit möglich - unverändert ausgeführt, ich habe nur zusätzlich diese Option früher schon getestet um DNS-Probleme auszuschließen und bei mir ist die Eingabe von IP-Adressen im Browser erlaubt. Ein weiterer DNS-Test war die Benutzung von Googles DNS-Servern.

BTW: ping macht die Namensauflösung so wie der Browser (... und nicht wie die dns-/bind-utils), und deshalb hier der Ping nicht an die IP-Adresse.

War mir bekannt, habe ich aber auch in der Live-DVD genau so ausgeführt.
Was mir jetzt fehlt, ist deine Konsequenz aus meinen Resultaten von der Linux-Live-DVD. Meines Wissens nach zeigen diese, dass der Fehler auf Seiten von UM liegt und nicht auf meiner Seite, zumal der Fehler auch direkt mit einem nagelneuen PC aufgetreten ist. Bei dem Test mit dem neuen PC war nur dieser PC per LAN am Router angeschlossen, die weiteren LAN-Anschlüsse hatte ich ausgesteckt und am WLAN war kein Gerät angemeldet.
Den TC7200.U betrachte ich dabei als zu UM gehörig.

[OlliL]

Interessant wäre z.B. nochmal zu wissen welche IPv4 Adresse du z.B. nach aussen hin hast (das erfährt man ja auf diversen Seiten) und, wo denn genau die Verbindung "gestoppt" wird. dazu wäre ein tracert (Windows) bzw. traceroute (Linux, BSD, ...) interessant. Der ist jetzt auch noch nicht 100%ig zielführend, da mal traceroute UDP Pakete anders in einer Firewall blockieren könnte als die HTTP Requests auf dem TCP Port 80, aber vielleicht ja schonmal ein Anfang...

Meine ganz persönliche Vermutung: Es gibt mehr oder weniger "Zuordnungen" von IP Netzen zu Staaten. (weil die RIPE weiss wem sie welche Netze zuteilt). Die sorgen z.B. dafür das man wenn man in Belgien im Hotel sitzt, nicht auf die Mediathek von ARD und ZDF zugreifen kann usw.
Ich habe aus anderer Quelle mal mitgenommen, das UM in der Lage war IPv4 Netze aus "dem amerikanischen Raum" über windige Kanäle zu kaufen um ihren immer ärmer werdenden Pool an freien Adressen aufzustocken.
Blöd wäre halt nun, wenn ein AFTR-Gateway welches quasi die "Umsetzung" von vielen DS-Lite-Kunden von IPv6 zu IPv4 macht genau so eine Adresse aus so einem Pool hätte. Daher wäre die Adresse mal interessant.

Hier mal ein Traceroute von mir auf apotheken.de (unter Windows):

Code: Alles auswählen

C:\>tracert apotheken.de

Routenverfolgung zu apotheken.de [83.246.89.76] über maximal 30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  geheim ;) [10.0.1.1]
  2     7 ms     4 ms     5 ms  de-cgn01a-rt01-ve4.cgn.unity-media.net [80.69.105.254]
  3    58 ms     7 ms     6 ms  1311a-mx960-02-ae0.cgn.unity-media.net [80.69.106.134]
  4    13 ms    12 ms    11 ms  de-fra04a-rc1-ae11.fra.unity-media.net [80.69.107.94]
  5    12 ms    12 ms    12 ms  us-was02a-ri1-ge-4-1-0.aorta.net [84.116.130.206]
  6    12 ms    13 ms    12 ms  DE-CIX4.de.lambdanet.net [80.81.192.74]
  7    18 ms    22 ms    63 ms  ae4.irt1.dus03.de.as13237.net [217.71.96.65]
  8    17 ms    17 ms    16 ms  xe3-0-0.irt1.dus53.de.as13237.net [217.71.96.113]
  9    23 ms    21 ms    21 ms  xe0-2-0.irt1.han87.de.as13237.net [217.71.96.77]
 10    21 ms    22 ms    24 ms  217.71.99.93
 11    22 ms    21 ms    21 ms  fr3.h.as24679.net [195.47.229.53]
 12    22 ms    22 ms    20 ms  k0108-1.apotheken.de [83.246.89.76]

Ablaufverfolgung beendet.

[PeterBW]

Danke für den Hinweis, Tracerout habe ich auch schon häufiger getestet, endet immer mit einer Zeitraumüberschreitung meist ab Zeile 8 bis 10. Das Problem mit den Mediatheken habe ich nur, wenn ich den Workaround mit NAT64 nutze. Meine IPv4-Adresse lautet aktuell 109.90.23x.xx (die letzten 3 Stellen habe ich unkenntlich gemacht).
Ein aktuelles Tracerout unter Windows:

Code: Alles auswählen

C:\>tracert apotheken.de

Routenverfolgung zu apotheken.de [83.246.89.76] über maximal 30 Abschnitte:

  1     6 ms     6 ms     5 ms  de-msr01a-rt01-ve4.msr.unity-media.net [81.210.141.42]
  2    53 ms    15 ms    34 ms  7111a-mx960-02-ae11.fra.unity-media.net [80.69.107.150]
  3    13 ms    13 ms    12 ms  84.116.132.186
  4    27 ms    12 ms    13 ms  DE-CIX4.de.lambdanet.net [80.81.192.74]
  5    17 ms    17 ms    17 ms  ae4.irt1.dus03.de.as13237.net [217.71.96.65]
  6    17 ms    17 ms    17 ms  xe3-0-0.irt1.dus53.de.as13237.net [217.71.96.113]
  7    24 ms    25 ms    23 ms  xe0-2-0.irt1.han87.de.as13237.net [217.71.96.77]
  8    21 ms    21 ms    24 ms  217.71.99.93
  9    21 ms    21 ms    21 ms  fr3.h.as24679.net [195.47.229.53]
 10     *       22 ms     *     fr3.h.as24679.net [195.47.229.53]
 11     *        *        *     Zeitüberschreitung der Anforderung.
 12     *        *        *     Zeitüberschreitung der Anforderung.
 13     *        *        *     Zeitüberschreitung der Anforderung.
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.
 16     *        *        *     Zeitüberschreitung der Anforderung.
 17     *        *        *     Zeitüberschreitung der Anforderung.
 18     *        *        *     Zeitüberschreitung der Anforderung.
 19     *        *        *     Zeitüberschreitung der Anforderung.
 20     *        *        *     Zeitüberschreitung der Anforderung.
 21     *        *        *     Zeitüberschreitung der Anforderung.
 22     *        *        *     Zeitüberschreitung der Anforderung.
 23     *        *        *     Zeitüberschreitung der Anforderung.
 24     *        *        *     Zeitüberschreitung der Anforderung.
 25     *        *        *     Zeitüberschreitung der Anforderung.
 26     *        *        *     Zeitüberschreitung der Anforderung.
 27     *        *        *     Zeitüberschreitung der Anforderung.
 28     *        *        *     Zeitüberschreitung der Anforderung.
 29     *        *        *     Zeitüberschreitung der Anforderung.
 30     *        *        *     Zeitüberschreitung der Anforderung.

Ablaufverfolgung beendet.

[OlliL]

OK, also kommst du auf jedenfall schonmal bis unmittelbar vor apotheken.de (vergleiche mit meiner Ausgabe von tracert) und lediglich apotheken.de "blockt" dich ab. Deine IP Adresse ist jedenfalls aus einem ganz anderen IP Netz als meine. Laut utrace wird aber korrekt Deutschland erkannt. Ist aber die Frage was apotheken.de da für eine Logik benutzt....

http://www.utrace.de/?query=109.90.231.1

Über mein AFTR Gateway bin ich mit 37.201.240.245 in der IPv4 Welt unterwegs (unkritisch die komplette Adresse zu nennen, da hinter dem Gateway x Kunden hocken die alle mit der gleichen IP unterwegs sind ).

[PeterBW]

Also apotheken.de ist es egal, ob ich aus Deutschland komme oder nicht, denn wenn ich Nat64 nutze (s. ersten Beitrag in diesem Thread), komme ich nicht aus Deutschland, komme aber problemlos auf apotheken.de. Nur nicht mehr auf deutsche Mediatheken.

[OlliL]

Die Frage mag blöd klingen, aber hast du schonmal versucht den tech-c von apotheken.de anzuschreiben warum sein Server "deine" IP blockt und kein Zugriff auf die Seite möglich ist?

[PeterBW]

Hallo,

musste mir erst Zugang zu einen anderen Internetzugang beschaffen um die Kontaktadresse der Seite lesen zu können.
Habe die Antwort erhalten, dass die Seite über Unitymedia immer wieder von einem Searchbot besucht wird, der die Load auf deren Server extrem nach oben treibt, weshalb deren Hoster den IP-Block immer wieder sperren muss.
Das ist anscheinend ein weiteres Problem von Unitymedia, ich kann häufiger auch keine E-Mails per SMTP versenden. Die Fehlermeldung lautet sinngemäß Policy Rejection - Blacklisted Abuse. Wobei hier auf diesen Rechnern definitiv kein Virus ist, habe neben Tests mit diversen Sicherheitstools den Netzwerkverkehr bereits mehrmals entsprechend analysiert.
Meistens können am Folgetag wieder E-Mails versandt werden, aber so etwas nervt nur.

[OlliL]

Du hättest auch übewr denic.de bei der Domain Abfrage (erweitert) die tech-c Kontaktdaten bekommen können. Das aber nur so am Rande, da du ja nun die Infos hast... wenn auch unzufriedenstellend und wahrscheinlich auch ohne das dir da jemand helfen kann (versuch sowas mal der Hotline zu erklären.... ha ha ha..... )

[piotr]

Hallo,

musste mir erst Zugang zu einen anderen Internetzugang beschaffen um die Kontaktadresse der Seite lesen zu können.
Habe die Antwort erhalten, dass die Seite über Unitymedia immer wieder von einem Searchbot besucht wird, der die Load auf deren Server extrem nach oben treibt, weshalb deren Hoster den IP-Block immer wieder sperren muss.

Die Ursache ist wohl eher beim Seitenbetreiber zu suchen, der es im Jahre 2015 verpennt hat, seine Seiten IPv6 fähig zu machen.

Wenn seine Seite über IPv6 erreichbar wäre, würde er nicht tausende Abfragen über dieselben IPv4 Adressen sehen.

Denn er zwingt mit seinem Verhalten, dass nur über IPv4 gegangen wird, die User bei den Providern mit Dualstack Lite über den Weg, wo alle diese IPs über ein NAT gehen.

Das ist anscheinend ein weiteres Problem von Unitymedia, ich kann häufiger auch keine E-Mails per SMTP versenden. Die Fehlermeldung lautet sinngemäß Policy Rejection - Blacklisted Abuse. Wobei hier auf diesen Rechnern definitiv kein Virus ist, habe neben Tests mit diversen Sicherheitstools den Netzwerkverkehr bereits mehrmals entsprechend analysiert.
Meistens können am Folgetag wieder E-Mails versandt werden, aber so etwas nervt nur.

Dieselbe Ursache wie oben und hat nichts mit UM zu tun.

Dein Mailanbieter hat es auch verpennt, IPv6 einzuführen.

Mailserver haben oft Schutzmechanismen, die nur eine bestimmte Anzahl von gleichzeitigen Verbindungen pro IP zulassen.
Manche blocken dann auch bei fehlerhaften Logins auch die ankommende IP für eine Zeit lang.
Das wirkt sich dann bei IPv4 IPs, hinter denen wie beim Dualstack Lite viele andere User sind, auf alle diese aus.

[hajodele]

Eine via IPv6 auch nicht erreichbare Website ist z.B. http://www.unitymedia.de/
Auch die haben offensichtlich den Wechsel verpennt

[SpaceRat]

Eine via IPv6 auch nicht erreichbare Website ist z.B. http://www.unitymedia.de/
Auch die haben offensichtlich den Wechsel verpennt

Yepp.

Dafür gehören die auch mit Anlauf in den A.... getreten und das permanent und mit wachsender Begeisterung.
Mich deucht, der Verein hat von "Eating Your Own Dog Food" noch nie was gehört.