Duckduckgo werkt niet meer

Hoi,

Ik heb hier iets vreemds aan de gang op geen van mijn computers in het netwerk werkt duckduckgo niet meer
sinds vandaag.
Ik kan wel pingen en traceroute werkt 30 hops maar geen verbinding naar duckduckgo.
Dus het lijkt mij geen firewall probleem.

Krijg alleen maar The connection has timed out.

Met een tor-browser werkt het wel.

Verder werkt alles gewoon.
Er is gisteren wel onderhoud aan mijn verbinding geweest, maar lijkt me sterk dat dat er iets mee te maken heeft.

Iemand een idee of suggesties

Duckduck go werkt hier gewoon nog.

3 ae5.core1.fi001.nl.freedomnet.nl (185.93.175.215) 5.534 ms 4.832 ms 5.024 ms
4 ams-ix-2.microsoft.com (80.249.209.21) 6.754 ms 5.426 ms 5.441 ms
5 ae29-0.icr02.ams30.ntwk.msn.net (104.44.239.81) 9.931 ms 6.008 ms 5.606 ms
6 be-102-0.ibr01.ams30.ntwk.msn.net (104.44.22.217) 22.038 ms 29.158 ms 21.359 ms
7 be-15-0.ibr01.lon22.ntwk.msn.net (104.44.31.0) 22.806 ms 21.949 ms 21.099 ms
8 be-14-0.ibr01.dub07.ntwk.msn.net (104.44.17.133) 20.905 ms 21.621 ms 21.241 ms
9 ae106-0.icr04.dub07.ntwk.msn.net (104.44.23.157) 20.384 ms 22.809 ms 20.558 ms
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 52.142.124.215 [open] 22.219 ms 22.675 ms 21.916 ms

1 like

Heb even met DuckDuckGo gezocht, en kwam dit tegen:

De weg is wel korter geworden.
Zit nu op 15 hops in het laatste stuk.
De rest is gelijk aan @Noci

 14     *        *        *     Request timed out.
 15    19 ms    19 ms    19 ms  52.142.124.215

Als je 30 hops hebt gehad, was er iets stuk in een laatste deel van de route, denk ik.
Als je niet in een paar hops bij Freedom bent, is het in Nederland wat mis gegaan.

Ok nog geen verbetering ik snap er niets van.
Even met een windows 7 die op een laptop staat gekeken.

Tracing route to duckduckgo.com [52.142.124.215]
over a maximum of 30 hops:

2 13 ms 13 ms 13 ms lo0-3.bras1.fi001.nl.freedomnet.nl [185.93.175.233]
3 14 ms 15 ms 18 ms connected.by.freedom.nl [185.93.175.244]
4 18 ms 14 ms 15 ms ams-ix-2.microsoft.com [80.249.209.21]
5 19 ms 15 ms 16 ms ae25-0.icr02.ams21.ntwk.msn.net [104.44.239.77]
6 31 ms 34 ms 31 ms be-122-0.ibr02.ams21.ntwk.msn.net [104.44.22.245]
7 33 ms 29 ms 31 ms be-1-0.ibr02.ams30.ntwk.msn.net [104.44.16.147]
8 30 ms 29 ms 31 ms be-15-0.ibr02.lon22.ntwk.msn.net [104.44.31.2]
9 30 ms 31 ms 30 ms be-13-0.ibr02.dub07.ntwk.msn.net [104.44.19.23]
10 32 ms 35 ms 30 ms be-1-0.ibr02.dub08.ntwk.msn.net [104.44.7.242]
11 33 ms 34 ms 33 ms ae122-0.icr02.dub08.ntwk.msn.net [104.44.11.82]
12 * * * Request timed out.
13 * * * Request timed out.
14 * * * Request timed out.
15 * * * Request timed out.
16 * * * Request timed out.
17 30 ms 29 ms 30 ms 52.142.124.215

Trace complete.

Dus ik kan er van uitgaan dat dns werkt.

Maar als ik een browser opstart firefox, vivaldi of chromium dan kom ik niet bij duckduckgo
en krijg de melding The connection has timed out

Iemand nog enig idee wat er aan dehand kan zijn.

Daar begrijp ik even niets van maar ik heb dacht ik geen DNS problemen.

Probeer’s op de commandline : curl -v duckduckgo.com
Puur om te zien of & waar dat - inhoudelijk - op uitkomt en eventuele upper-layers (browsers) te negeren.

Ok

Dan krijg ik het volgende
bash-5.1$ curl -v duckduckgo.com

  • Trying 52.142.124.215:80…
  • Connected to duckduckgo.com (52.142.124.215) port 80 (#0)

GET / HTTP/1.1
Host: duckduckgo.com
User-Agent: curl/8.1.2
Accept: /

Dat werkt maar is wel poort 80
Dus wat zou het volgende kunnen zijn ben benieuwd.

Deze ook gedaan
bash-5.1$ curl -v -k https://duckduckgo.com

  • Trying 52.142.124.215:443…
  • Connected to duckduckgo.com (52.142.124.215) port 443 (#0)
  • ALPN: offers h2,http/1.1
  • TLSv1.3 (OUT), TLS handshake, Client hello (1):
    ^C

Poort 80 moet geen issue zijn.
Je krijgt tniet de rest daarachter ?

zoals:

< HTTP/1.1 301 Moved Permanently
< Server: nginx
< Date: Thu, 01 Jun 2023 … … …
< Content-Type: text/html
< Content-Length: 162
< Connection: keep-alive
< Location: https://duckduckgo.com/
< Permissions-Policy: interest-cohort=()
< Content-Security-Policy: … … [knip]
< X-Frame-Options: SAMEORIGIN
< X-XSS-Protection: 1;mode=block
< X-Content-Type-Options: nosniff
< Referrer-Policy: origin
< Expect-CT: max-age=0
< Expires: Fri, 31 May 2024 xx:xx:xx GMT
< Cache-Control: max-age=31536000
etc.

Probeer ook’s een query/zoekopdracht op de command line, bv.:
curl -v https://duckduckgo.com/?q=freedom.nl
of daar een html pagina/data uitrolt.

Nee dat krijg ik niet

en dit krijg ik met

bash-5.1$ curl -v freedom.nl at DuckDuckGo

  • Trying 52.142.124.215:443…
  • Connected to duckduckgo.com (52.142.124.215) port 443 (#0)
  • ALPN: offers h2,http/1.1
  • TLSv1.3 (OUT), TLS handshake, Client hello (1):
  • CAfile: none
  • CApath: /etc/ssl/certs
  • Recv failure: Connection reset by peer
  • OpenSSL SSL_connect: Connection reset by peer in connection to duckduckgo.com:443
  • Closing connection 0
    curl: (35) Recv failure: Connection reset by peer

Maak je ms gebruik van een proxy server en/of firewall ?

Los daarvan, code 35 duidt doorgaans op een (verouderde) cURL versie die - in geval van https - al of niet verkeerde certificaten hanteert en dan wordt gecanceld.

Wat ik zelf in deze situatie(s) doe is een maagdelijk Linux (Live Ubuntu boot bv) gebruiken om mogelijk zelf veroorzaakte issues uit te schakelen.

TTL/hopcount wordt hier uitgebreid uitgelegd: Time to live - Wikipedia
traceroute en tcptraouceroute op poort 80 of 443 zijn heel verschillend werkende
varianten, traceroute hetzij ICMP (windows) of UDP (unix) gebruikt terwijl tcptraceroute TCP/SYN pakketen gebruikt.
Moderne omgevingen routeren packet verschillend op poort niveau. naast IP adres.

cURL gebruikt in de kern de systeem certificaten.maar kan andere gebruiken.
Zijn de certificaten nog up to date is de openssl Stack nog bij de tijd.
TLS 1.2 is nu minimum, binnen afzienbare tijd zal TLS v1.3 het minimum worden. (ook voor duckduckgo).
(curl --tls-max 1.2 https://duckduckgo.com …)

Ik heb een firewall iptables maar alle traffic werkt en duckduckgo wordt niet gebloked.
Heb hier curl-8.1.2 dat is de laatste dacht ik.

Begin ook te denken aan certificaten maar weet nog niet hoe dat te onderzoeken.
We zoeken verder.
In ieder geval bedankt voor het mee denken.

curl -v … >/dev/null

laat je zien hoe een HTTP vraag antwoord spelletje loopt, het laat ook SSL / TLS transactie zien.

ok, dan krijg ik het volgende,

curl -v https://www.duckduckgo.com > /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:–:-- --:–:-- --:–:-- 0* Trying 52.142.124.215:443…

  • Connected to www.duckduckgo.com (52.142.124.215) port 443 (#0)
  • ALPN, offering h2
  • ALPN, offering http/1.1
  • successfully set certificate verify locations:
  • CAfile: /etc/ssl/certs/ca-certificates.crt
  • CApath: /etc/ssl/certs
    } [5 bytes data]
  • TLSv1.3 (OUT), TLS handshake, Client hello (1):
    } [512 bytes data]
    0 0 0 0 0 0 0 0 --:–:-- 0:02:32 --:–:-- 0* OpenSSL SSL_connect: Connection reset by peer in connection to www.duckduckgo.com:443
    0 0 0 0 0 0 0 0 --:–:-- 0:02:33 --:–:-- 0
  • Closing connection 0
    curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection to www.duckduckgo.com:443

zo te zien wordt de connectie na 2 minuut 33 verbroken
Valt hier een conclusie uit te trekken?

Kernfout blijft zitten in die error-code (35) die zou duiden dat het uitwisselen van certificaten niet goed/gaat.
kweet niet of dat al is gezegd/getest, maar krijg je dat op ook op (totaal) andere systemen in je netwerk ?
Zet/start bvk ergens Live-CD aan om dat te checken.

NB: Hierna , mits je weet hoe, kan je overwegen om met die Live-CD, rechtstreeks een PPPoE verbinding proberen te leggen om zo alles wat bij jouzelf zit als oorzaak uit te zetten. Denk je eigen media/router, die je eventueel als test kunt factory resetten.
Verder popt bij mij de vraag op wat voor media/router je gebruikt omdat je TOR-browser - dat via andere poorten gaat - nl. wel zou werken. Niet ondenkbaar is dat in die “router” een bit is gaan hangen.

Denk nu inderdaad ook aan het modem.
Zal morgen het modem naar factory resetten gebruik hier een vigor 165 in bridge mode.

Dat snijdt geen hout.
Het modem kan niet selectief duckduckgo sessies mollen. (onder normale omstandigheden).

Als het modem defect is waarom werken andere sessies nog wel.
wat is de datum van /etc/ssl/certs/ca-certificates.crt
(of eigenlijk van elk van de certificten die er in staan…)
Er zijn de afgelopen 2 jaar een hoop certificaten van CA’s vervallen en vervangen. (voor exemplaren met een latere datum).
Ook zijn er enkele CA’s definitief afgevoerd en andere nieuwe erbij gekomen. (letsencrypt heeft een andere keten van certificering bv.).

2 minuut 30 is een rare periode. 2 minuten zou TCP connect tijd zijn,
Zijn je eigen libraries op orde voor TLS v1.3, het wordt steeds breder ingevoerd, en TLS 1.2 zal langzamerhand ook verdwijnen.
(Redhat 7 en afgeleiden doen niet aan TLS v1.3), daarvoor is RH 8 e.v. nodig.

@mario
Zou dit een MTU issue kunnen zijn?
Kijkend naar je curl output dan stuur je wel je client hello uit, maar krijg je nooit een server response. De eerste response is meestal groot (cipher lists, certificaten, enz) die de volledige MTU gebruikt. Van pppoe is ook bekend dat het vaak dit soort dingen veroorzaakt. Zelf had ik daar ook last van toen ik van mijn vorige modem met pptp tunnel naar mijn huidige vigor 130 met pppoe ging.
Als dit het is kan je dit simpel testen door tijdelijk even de mtu van je pc naar beneden te zetten, doe maar even vrij grof nar 1400 ofzo. Als het dan wel werkt is het bingo,
De meest gebruikte workaround is om dan op de router een feature te gebruiken die de MSS van tcp aanpast naar de MTU, vaak mss-clamping genoemd. Als je die aanzet zou het automagisch goed moeten komen zonder aanpassingen op je PC.

1 like

@mario,
op glasvezel kabels (en mogelijk ook DSL) zou je kunnen proberen om de MTU op de WAN poort op 1508 (mini-jumbo) frames te zetten.
Dan is er ruimte voor ppp headers op het WAN zonder de MTU1500 van je LAN aan te hoeven passen. (MSS clamping maakt alle TCP packetten 8 bytes korter), dat is beter dan fragmentatie maar als iedereeen 1500 aankan is dat wel zo makkelijk.

Freedom staat je hier niet in de weg, alleen een mogelijke bekabelaar.