Unerklärlicher Packetloss nur bei IPv6
-
Problem ist dass es momentan wieder gut ist und ich keinen Packetloss habe. Das ist es ja, es ist kein System dahinter erkennbar, daher vermute ich dass das Problem bei Unitymedia liegt. Aber ich teste das mit der MTU sobald es wieder Packetloss gibt.
-
So aktuell geht es wieder los. Ich habe nun WAN auf 1450 und LAN auf 1280 gesetzt, bringt jedoch auch nicht wirklich was.
-
Hallo,
gibt es eine Maßnahme, die hilft, in Zeiten des Paketloss, die Situation zu verbessern? Also Reboot der Pfsense oder Modem Reboot?
Manche WAN Router verwerfen schon mal ICMP Pakete, wenn unter Stress, da kann auch Qos im WAN Bereich mitspielen, deswegen der ping test mit langer payload, wenn Paketloss auftritt. Wenn die langen Pakete nicht verworfen werden und die kurzen schon, wäre es ein möglicherweise ein normales Verhalten.Wenn das alles nix hilft, würde ich einen Thread im englischen Teil aufmachen und versuchen, damit Aufmerksamkeit zu erregen. Vielleicht weiß noch jemand was. Nachdem das Verhalten aber nicht allgemein auffällt, dürfte der Fehler wohl individuell sein, also ISP-Modem-Pfsense. Ob man die Pfense da rausnehmen kann, ist schwer zu beurteilen. Wenn es wirklich stört, müsstest du halt auf IPv4 bleiben.
-
@pete35 daran habe ich auch schon gedacht. Ich habe seit einiger Zeit auch meine vorgeschaltete Kabel-Fritte in Verdacht ab und an die Grätsche zu machen. UM will da aber kein Problem sehen. Mein Problem ist aber, dass plötzlich die Verbindung abgrundtief schlecht wird (Packet loss >75%) und irgendwann gar kein GW mehr erreichbar ist. Neustart der FB behebt das Problem meistens, manchmal ein zweiter aber dann ist meist das Problem wieder weg. Darum habe ich da sehr stark die FB in Verdacht, aber da hadere ich noch mit UM herum ob die das irgendwann einsehen.
-
Es hilft die pfSense neuzustarten. Das Modem schließe ich aus, da es ein reines dummes Modem ist welches nichts macht als eine IP durchzureichen.
Kann es sein dass ich keine ICMPv6 Type 2 (Packet too big) Pakete erhalte? Ich habe explizit diese Regel auf dem WAN und LAN erstellt, sehe aber keinerlei Daten durch die Regel laufen. Manchmal schlägt auch der Test bei https://test-ipv6.com/ fehl weil keine großen Pakete empfangen werden konnten. Auch Netalyzr meldet hier einen Fehler:
-
Warum nicht alles ICMP6 rein lassen? Und seis nur testhalber?
-
Weil ich explizit sehen wollte ob die Type 2 überhaupt rein kommen. Ich lasse jetzt ICMP komplett durch auf WAN und LAN sowie Floating. Damit sollte ich wohl alles erschlagen haben, oder?
-
WAN und LAN reicht, Floating wäre ja nur für beide Interfaces zusammen. Nutze das ungern, weil Floating VOR Gruppen und Einzelinterfaces abgearbeitet wird und dadurch gern die Reihenfolgen durcheinander bringt ;) Aber ja, wenn überall offen, dann sollte das kein Thema sein.
-
OK dann werde ich das nun mal so austesten und berichten. Es irritiert mich nur dass es mit der VDSL Leitung sauber läuft und nur mit der Unitymedia Leitung die Probleme gibt. Weiterhin kann ich selbst wenn vom LAN nur noch Packetloss ist, von der pfSense selbst wenn ich WAN Interface wähle pingen. Wähle ich das LAN Interface, habe ich den exakt gleichen Paketloss.
-
-
Danke! Was genau bewirkt das und kann das Nachteile haben?
Wie es scheint entsteht mein Problem sobald ich mein Failover Gateway bei IPv6 nutze. Lösche ich das Gateway und setze es nicht in den IPv6 Firewallregeln, habe ich seither keinen Packetloss mehr. Doch warum ist das nur bei der Unitymedia Leitung ein Problem und bei der Telekom nicht?
-
Nachdem die Dokumentation der Pfsense sehr ausführlich und genau ist (Sarkasmus aus) …. steht eh alles da. Kann mir schon Nebenwirkungen vorstellen, z.B. bei schrägen Angriffen. Aber einen Versuch ist es wert. Warum die zwei unterschiedlich sind, können dir nur die ISP beantworten. Allerdings müsste man langsam wirklich die gesamte FW Konfig durchschauen, ob da noch andere Punkte sind.
-
Also das hat leider keinen Unterschied gebracht. Ich kann es jedoch reproduzieren wenn ich das Failovergateway in die Rules setze oder nicht. Mit default läuft es! Doch wieso, wo ist der Haken?
Falls Du Teamviewer hast, könnte ich anbieten dass Du mal drüber schaust.
-
@mrsunfire Naja das Default Gateway ist das (einzelne), was gerade im System aktiv ist. Ggf. also das VDSL, nicht UM Gateway? Ansonsten ist das alles ziemlich verworren, wo das Problem herrühren könnte...
-
So, nachdem es nun seit gestern Abend mit dem default Gateway lief, fing plötzlich um 14:10 Uhr wieder der Paketloss an. An der Config habe ich nichts geändert.
Zudem erscheint in den Systemlogs seit heute Morgen 8 Uhr regelmäßig die Meldung:
"cannot forward src fe80:3::3138:bc66:96d5:ad08, dst 2a02:26f0:ef::5f65:4d21, nxt 6, rcvif igb2, outif igb0"Wieso? Was sagt mir das?
EDIT:
Ich habe nun explizit die pfSense als DNS Server in den Firewallregeln freigegeben, doch plötzlich kommt mein Ping nicht mehr ganz durch zu heise.de. Google.de läuft. Wie kann das sein?
EDIT2:
Es wird immer wilder. Jetzt kommt der Ping wieder durch, ist dafür jedoch durchweg 10ms höher?!
EDIT3:
OK, ich werde nun anders geroutet als zuvor, daher der höhere Ping. Doch wieso? Ich nutze noch immer die pfSense als DNS Resolver, nur diese Regel habe ich hinzugefügt:
-
@mrsunfire
Hör halt einfach auf mit dem halbgaren Unsinn. Schalte IPv6 entweder ganz ab oder hol dir einen He.net Tunnel, der kann dann auch zwischen den Gateways geswitched werden. -
Was ist daran halbgarer Unsinn? Ich habe natives IPv6 vom Provider mit /56 Prefix. Was will ich da mit einem Tunnelbroker hantieren?
-
@mrsunfire
Das hier: https://forum.netgate.com/topic/131644/mark-gateway-as-down-and-don-t-use-it
Das gleiche Problem mit unterschiedlichen Informationen in verschiedenen Threads zu diskutieren ist übrigends nicht zu empfehlen. -
Es geht dort nicht um das gleiche Problem. Das dort besprochene Problem bezieht sich auf Paketloss welcher durch Ingress im Kabelnetz entsteht und somit IPv4 sowie IPv6 sehr träge macht. Daher lasse ich auf die Telekomleitung umschalten. Diese kann ebenfalls Dualstack! Aber pfSense kann kein Failover mit dynamischen Prefixen, von daher nutze ich dort nur IPv4.
Mein Problem hier, betrifft rein IPv6 und dort nur der Traffic der aus dem LAN Interface kommt. Anderer IPv6 Traffic läuft sauber.
Siehe:
Von WAN
Von LAN
-
Interessant, wenn ich mich via IPsec auf die pfSense verbinde, ist der Paketloss weg!
Was bewirkt das also dass es dann geht?!
