[Freedom server:] twee IPv6 DNS root servers onbereikbaar

Ik heb een RIPE Atlas probe aan mijn FRITZ!Box hangen.
Handig om te zien hoe gezond het interweb is :wink:

Ik zie al een hele tijd (weken, geen uren) dat er twee IPv6 DNS root servers onbereikbaar zijn vanaf het Freedom netwerk.

Ik heb geen idee waar dit zit, vermoedelijk ergens ‘upstream’.

Het leek me niet serieus genoeg om een ticket in te schieten, maar misschien is er hier iemand die er iets mee kan.

Het gaat om a.root-servers.net en j.root-servers.net.

Op deze links kun je de actuele rapportage van RIPE zien voor de probes in het Freedom-netwerk.
klik en klik

voor mij lijkt het te werken:

% dig -t ns nl. @a.root-servers.net

; <<>> DiG 9.10.6 <<>> -t ns nl. @a.root-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55375
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 7
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1472
;; QUESTION SECTION:
;nl.                            IN      NS

;; AUTHORITY SECTION:
nl.                     172800  IN      NS      ns1.dns.nl.
nl.                     172800  IN      NS      ns2.dns.nl.
nl.                     172800  IN      NS      ns3.dns.nl.

;; ADDITIONAL SECTION:
ns1.dns.nl.             172800  IN      A       194.0.28.53
ns2.dns.nl.             172800  IN      A       194.146.106.42
ns3.dns.nl.             172800  IN      A       194.0.25.24
ns1.dns.nl.             172800  IN      AAAA    2001:678:2c::194:0:28:53
ns2.dns.nl.             172800  IN      AAAA    2001:67c:1010:10::53
ns3.dns.nl.             172800  IN      AAAA    2001:678:20::24

;; Query time: 6 msec
;; SERVER: 198.41.0.4#53(198.41.0.4)
;; WHEN: Thu Oct 29 15:58:10 CET 2020
;; MSG SIZE  rcvd: 221

Hmm, ik kan a.root-servers.net en j.root-servers.net niet pingen over IPv6 (wel over IPv4), maar DiG werkt bij mij net als bij @mcfab wel voor zowel a als j.

Andere root-servers kan ik wel pingen over IPv6.

Het verschil tussen dig en ping ontgaat me, ik dacht dat het gelijke resultaten zou moeten opleveren.

Maar dat doet er ook niet zoveel toe denk ik.

Op de links die ik gaf kan je zien dat er op het moment dat ik dit schrijf 15 probes actief zijn op het Freedom netwerk, en alle 15 kunnen ze de DNS servers in kwestie niet bereiken.

De probe die ik hier heb draait op een nanopi-neo-plus2, ik zou denken dat daar iets Linuxerigs op draait en dus dattie dig doet.
Maar RIPE heeft het over ping…:confused:

Anyway, of het nou pingt of digt, het lijkt me niet goed dat de probes die servers niet kunnen bereiken.

[edit]
O wacht…
RIPE zegt UDP Unreachable: 15, TCP Unreachable: 0
Kan je diggen met UDP?
(ik weet niks van Linux, behalve dat ik er vlekken van in mijn nek krijg :smile:)

DiG doet DNS-lookups. Die gaan over UDP-poort 53. Ping gebruikt een heel ander protocol, namelijk ICMP. Dus geen TCP of UDP.

inderdaad, alleen IPv4 werkt, IPv6 niet

traceroute lijkt te suggereren dat ik het netwerk wel soort van uitkom, maar niks resolved, dus geen idee hoever ik kom.

Heb even vanaf een andere (niet Freedom) verbinding hetzelfde geprobeerd, en inderdaad daar werkt het IPv6 pad wel.

Traceroute…
Dit is wat ‘mijn’ probe zegt voor a.root-servers.net


Latest Traceroute Result for Measurement #2009

2020-10-29 16:07 UTC

Traceroute to 2001:503:ba3e::2:30 (2001:503:ba3e::2:30), 40 byte packets
1 2a10:3781:436:1:2e3a:fdff:feeb:f3c5 AS206238 1.91ms 1.789ms 1.71ms
2 * * *
3 2a10:3780::1:1 AS206238 12.776ms 11.788ms 10.547ms
4 2a00:a7c0:20:1197:b::1 AS57866 11.836ms 10.493ms 10.295ms
5 2a00:a7c0:e20a:19::2 AS57866 11.698ms 11.192ms 11.032ms
6 2001:2000:3080:1184::1 adm-b1-link.telia.net AS1299 12.199ms * *
7 * * *
8 2001:2000:3018:13d::1 adm-b10-v6.telia.net AS1299 13.044ms 11.553ms *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
255 * * *

Het enige wat je hiermee kunt zien is dat de routering via telia loopt,voor de andere nameservers is er een ander pad. Iemand met verstand van internet routering kan er misschien iets over zeggen.

Vreemd genoeg(?) heeft j geen IPv6 adres, en IPv4 werkt voor mij. Dat moet dus een ander probleem zijn als die voor @herman niet werkt?

Jawel hoor:

kevin@vanadium:~$ dig j.root-servers.net AAAA

; <<>> DiG 9.16.1-Ubuntu <<>> j.root-servers.net AAAA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30824
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;j.root-servers.net.		IN	AAAA

;; ANSWER SECTION:
j.root-servers.net.	2489345	IN	AAAA	2001:503:c27::2:30

;; Query time: 16 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: do okt 29 18:34:59 CET 2020
;; MSG SIZE  rcvd: 75

Vanaf één van m’n servers is die ook gewoon over IPv6 te pingen:

 Host                                                                                    Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. 2001:9c0:1:24::1                                                                      0.0%    21    0.8   0.6   0.5   1.0   0.1
 2. 2001:9c0:1:301:213:5fff:fe21:4580                                                     0.0%    21    0.4   0.8   0.4   6.0   1.2
 3. et-0-0-5.pr1.edge-fo.ams5.vrsn.net                                                   35.0%    20    1.4   1.8   1.2   6.3   1.4
 4. ???
 5. j.root-servers.net                                                                    0.0%    20    1.9   1.8   1.1   2.6   0.4

Ik zie hier wel degelijk een IPv6 adres voor j.rootservers-net

Ik weet niet of ik nog veel kan toevoegen met mijn beperkte kennis van deze materie.

Het blijft m.i. opvallend dat alle 15 probes die gehost worden door Freedom-klanten dit verschijnsel zien.

Ik hoop eigenlijk dat een Freedom techneut dit oppikt, hoewel het probleem vermoedelijk niet bij Freedom ligt

De routering voor zowel a als j loopt via telia.net voor IPv6. De rest van de root-servers die ik getest heb, hebben een ander pad dat niet via telia.net loopt. (Let ook op dat a en j allebei door VeriSign worden beheerd en in de VS gehost worden.)

Alle hops tussen mijn router en de eerste Telia-router zijn van Fusix Networks, wat ook te verwachten is, want Fusix is Freedom’s enige BGP peer, dus alle traffic van Freedom gaat daar over de transit.

Als ik dit zo zie, lijkt het mis te gaan bij Telia. Als je dat echt zeker wilt weten, moeten we een manier vinden om op een andere manier via Telia’s transit naar één van deze twee servers gerouteerd te worden. Als je toevallig vrienden in Zweden hebt, vraag het hen dan, want de kans is groot dat het voor hen het kortste pad is.
Anders zou je het nog kunnen melden bij Fusix, want zij peeren met Telia en daar gaat het fout.

Over IPv4 is de route overigens geheel anders. Voor a.root-servers.net gaat dat vanaf Fusix via Liberty Global (aorta.net) en Lemuria. Voor j.root-servers.net loopt het via Zayo, Globenet, en dan kennelijk via Brazilië?

Wanneer ik overigens de lookups met DiG forceer over IPv6 (door het IP te gebruiken), werkt het helemaal niet:

kevin@vanadium:~$ dig -t ns nl. @2001:503:ba3e::2:30

; <<>> DiG 9.16.1-Ubuntu <<>> -t ns nl. @2001:503:ba3e::2:30
;; global options: +cmd
;; connection timed out; no servers could be reached

kevin@vanadium:~$ dig -t ns nl. @2001:503:c27::2:30

; <<>> DiG 9.16.1-Ubuntu <<>> -t ns nl. @2001:503:c27::2:30
;; global options: +cmd
;; connection timed out; no servers could be reached

Dus die eerste query van @mcfab zal over IPv4 gegaan zijn, waardor het leek te werken.

Wellicht moeten we carrier-csc@teliacompany.com of peering@telia.net eens mailen?

Dus die eerste query van @mcfab zal over IPv4 gegaan zijn, waardor het leek te werken.

uit mijn dig response:

;; SERVER: 198.41.0.4#53(198.41.0.4)

ik had toen idd nog niet door dat het IPv6 pad niet werkte.

Je analyse is erg uitgebreid, interessant!

Ik sluit me aan bij @mcfab over je analyse, top! :+1:

Het is vast wel verstandig als die partijen weten dat het ergens niet helemaal goed gaat, maar of wij dat moeten doen?
Ik beheers het jargon niet eens dat bij deze discipline hoort :grin:

Veel van de root servers zijn geen enkelvoudige systemen, maar hebben replica’s die via anycast beschikbar zijn.
Dus niet iedereen hoeft hetzelfde beeld van het internet te hebben. Vanuit een ISP waarschijnlijk wel, maar golbaal gezien niet.

Hier is een artikel met iets meer achtergrond: ZDnet over anycast DNS of Cloudflare over anycast.

Het faal patroon doet mij denken aan het ontbreken van een retour route.

1 like

Zoals Noci ook al vermeldde, worden de root-servers niet in 1 locatie gehost, maar d.m.v. anycast zijn ze over de hele wereld verdeeld.
Het lijkt me goed om dit probleem bij Fusix aan te melden.

Je kan forceren dat dig IPv6 gebruikt door een -6 argument te gebruiken.

Ik zie vanuit mijn DSL verbinding hetzelfde probleem: twee root servers zijn niet bereikbaar.

Daarnaast heb ik het idee (maar geen harde gegevens) dat af en toe IPv6 connectiviteit minder is dan het zou moeten. Packet loss en servers die onbereikbaar zijn. Servers die via een andere Ipv6 verbinding gewoon bereikbaar blijken. IK zal de komende tijd eens wat metingen doen als ik tijd kan vinden.

Zowel A als J-root worden door Verisign beheert. Ik heb Verisign hier al meerdere keren over gemaild zonder ook maar een antwoord te krijgen. En zoals al eerder is opgemerkt wordt gebruik gemaakt van anycast. Wat het ook een best een naar geval maakt om op te lossen.

Kortom dit is een bekend probleem. Dat heel eerlijk gezegd ook niet een hoge prio heeft. Er zijn immers 11 andere root-DNS-servers over die prima over IPv6 te bereiken zijn.

Bovendien denk ik dat dit zichzelf gaat oplossen wanneer Freedom wat meer vet op de botten heeft en kan gaan peeren met wie weet Verisign.

1 like

zojuist hierover een ticket geopend.

Met mijn beperkte toegang ziet het er uit als een routeringsprobleem ergens op internet.
Ik zie vanuit mijn modem wel verkeer verstuurd worden naar A en J root-servers, maar nooit antwoord.

Vanuit het netwerk van mijn werkgever en van de partij waar ik een VPS heb kan ik ze wel bereiken, al zitten de subnets dan wel achter een ander AS (anycast netwerken)

Voor atlas bezitters in het Freedom netwerk lijkt het nadeel te zijn dat ze niet aan de benodigde 95% icmp replies komen voor de tags “IPv6 Stable …d”

Stability

These tags indicate a level of stability and reliability beyond that signified by the “Capable” and “Works” tags (see above). In order for a probe to qualify for a Stable tag, it must have at least a 95% success rate for at least 95% of the time for the ICMP ping measurements that it performs. This means that occasional outages or connectivity problems are allowed so long as they are short and infrequent. The effects of widely unreliable or unreachable targets are controlled for by considering the success rate relative to measurements by other RIPE Atlas probes to the same targets.

Met dank aan @arien en de vrienden bij Fusix zijn de root-servers A en J weer bereikbaar.

Nu alleen nog 24h in spanning afwachten of mijn atlas probe ook de tag IPv6 Stable 1d krijgt.

4 likes

Als je hem netjes aan laat staan zal dat wel lukken :innocent:
Fijn dat de verbindingen met die rootservers weer tot leven gewekt zijn trouwens :ok_hand:

2 likes