[Berlin-wireless] conntrack auf icvpn02 voll

Bastian fly at d00m.org
So Feb 21 22:55:17 CET 2016 

Danke! steht jetzt in der /etc/rc.local

On 02/21/2016 10:49 PM, Philipp Borgers wrote:
> Entweder rufst du nach dem Booten nochmal sysctl --system auf oder du lädst die
> entsprechenden Kernel-Module vor dem Start des Init-Scripts.
> 
> On Sun, Feb 21, 2016 at 10:38:00PM +0100, Bastian wrote:
>> Nachtrag:
>>
>> icvpn02:~$ cat /etc/sysctl.d/20-better-NAT-performance.conf
>> net.netfilter.nf_conntrack_generic_timeout = 120
>> net.netfilter.nf_conntrack_max = 131072
>> net.netfilter.nf_conntrack_tcp_timeout_established = 120
>> net.nf_conntrack_max = 131072
>>
>> Das sind die Settings, die eigentlich bisher aktiv sein sollten.
>> icvpn02:~$ uptime
>>  22:36:14 up 5 days,  3:34,  3 users,  load average: 0.17, 0.16, 0.16
>>
>> Wenn ich mir den RRD-Graphen dazu so angucke scheinen die sysctl file
>> beim reboot nicht sauber eingesetzt zu werden :/
>>
>> On 02/21/2016 10:29 PM, Bastian wrote:
>>> Hallo,
>>>
>>> da hat wohl wieder die conntrack table auf icvpn02 zugeschlagen:
>>> http://monitor.berlin.freifunk.net/detail.php?p=conntrack&t=conntrack&h=icvpn02.berlin.freifunk.net&s=604800&x=800&y=350
>>>
>>> Ich hab die limits weiter angehoben und jetzt tut das erstmal wieder.
>>> Auf Dauer muss da aber eine saubere Loesung her.
>>>
>>> @VPN03 Admins:
>>>
>>> Sind eure conntrack settings irgendwo public? Ihr hab da doch sicher
>>> reichlich Erfahrung.
>>>
>>> Cheers, Bastian
>>>
>>> On 02/21/2016 09:57 PM, Fischkeks wrote:
>>>> Guten Abend.
>>>>
>>>> Augenblicklich ist das Internet über das Freifunknetz von meinem Router
>>>> aus fast nicht mehr benutzbar. Es braucht Minuten, bis eine angeforderte
>>>> Webseite sich aufbaut. Gleiches Setup funktionierte vorher Monate
>>>> tadellos. Nichts verändert und mit verschiedenen Geräten das selbe
>>>> Phänomen. Testdownload von 2001:bf7:830:1102::1 sehr gut.
>>>>
>>>> traceroute to 2001:67c:1562::14 (2001:67c:1562::14) from
>>>> 2001:bf7:830:201:5456:fc3a:fc3b:12bb, 30 hops max, 24 byte packets
>>>>  1  2001:bf7:830:201::1 (2001:bf7:830:201::1)  0.419 ms  0.539 ms  0.369 ms
>>>>  2  2001:bf7:830:1102::1 (2001:bf7:830:1102::1)  1.403 ms  1.209 ms
>>>> 1.105 ms
>>>>  3  icvpn02.olsr (2001:bf7:750:1530::2)  5.03 ms  3.867 ms  2.332 ms
>>>>  4  2001:bf7:b201::1 (2001:bf7:b201::1)  2.312 ms  3.778 ms  2.559 ms
>>>>  5  * 2001:7f8:19:1::aca2:2 (2001:7f8:19:1::aca2:2)  28.664 ms *
>>>>  6  * 2a00:13c8:2:1:: (2a00:13c8:2:1::)  4.729 ms  50.1 ms
>>>>  7  * 2a00:13c8:10:b:: (2a00:13c8:10:b::)  93.204 ms *
>>>>  8  * * *
>>>>  9  * * 2001:1900:107:1::8 (2001:1900:107:1::8)  14.903 ms
>>>> 10  2001:1900:5:1::22d (2001:1900:5:1::22d)  24.348 ms *  155.899 ms
>>>> 11  2001:1900:5:1::211 (2001:1900:5:1::211)  20.787 ms  20.79 ms  18.997 ms
>>>> 12  2001:1900:104:8::a (2001:1900:104:8::a)  21.355 ms  21.322 ms  19.605 ms
>>>> 13  2001:978:3::161 (2001:978:3::161)  21.552 ms  22.375 ms  21.481 ms
>>>> 14  2001:550:0:1000::8275:d (2001:550:0:1000::8275:d)  20.168 ms  20.545
>>>> ms  20.856 ms
>>>> 15  * * *
>>>> 16  * * *
>>>> 17  2001:550:0:1000::9a36:3a45 (2001:550:0:1000::9a36:3a45)  38.725 ms
>>>> 39.2 ms  44.576 ms
>>>> 18  2001:550:0:1000::9a36:2ca5 (2001:550:0:1000::9a36:2ca5)  119.444 ms
>>>>  102.128 ms  102.896 ms
>>>> 19  2001:550:2:2c::15:2 (2001:550:2:2c::15:2)  103.228 ms  103.436 ms
>>>> 101.798 ms
>>>> 20  orobas.canonical.com (2001:67c:1562::14)  101.372 ms  101.809 ms
>>>> 102.294 ms
>>>>
>>>>
>>>> traceroute spiegel.de
>>>> spiegel.de: Der Name oder der Dienst ist nicht bekannt
>>>> Cannot handle "host" cmdline arg `spiegel.de' on position 1 (argc 1)
>>>>
>>>> traceroute spiegel.de
>>>> traceroute to spiegel.de (62.138.116.3), 30 hops max, 60 byte packets
>>>>  1  Desmond.olsr (10.230.109.65)  0.298 ms  0.329 ms  0.374 ms
>>>>  2  mid11.rhxb-rt1.olsr (10.31.1.42)  1.870 ms  1.905 ms  2.481 ms
>>>>  3  * * *
>>>>  4  * * *
>>>>  5  * * *
>>>>  6  * * *
>>>>  7  * * *
>>>>  8  * * *
>>>>  9  * * *
>>>> 10  * * *
>>>> 11  * * *
>>>> 12  * * *
>>>> 13  * * *
>>>> 14  * * *
>>>> 15  * * *
>>>> 16  * * *
>>>> 17  * * *
>>>> 18  * * *
>>>> 19  * * *
>>>> 20  * * *
>>>> 21  * * *
>>>> 22  * * *
>>>> 23  * * *
>>>> 24  * * *
>>>> 25  * * *
>>>> 26  * * *
>>>> 27  * * *
>>>> 28  * * *
>>>> 29  * * *
>>>> 30  * * *
>>>>
>>>>
>>>> Ich hoffe die Mail geht über Freifunk überhaupt raus.
>>>> Gruß Fischkeks
>>>>
>>>>
>>>>
>>>> Am 21.02.2016 um 09:54 schrieb Bastian:
>>>>> Hallo Fischkeks,
>>>>>
>>>>> IPv6 ist bei uns immer faul, das ist nichts neues. Aber zumindest das
>>>>> von dir genannte Ziel funktioniert von der Zwingli aus...
>>>>>
>>>>> root at Zwingli-Core:~# ping6 2001:67c:1562::14
>>>>> PING 2001:67c:1562::14 (2001:67c:1562::14): 56 data bytes
>>>>> 64 bytes from 2001:67c:1562::14: seq=0 ttl=49 time=119.672 ms
>>>>> 64 bytes from 2001:67c:1562::14: seq=1 ttl=49 time=119.552 ms
>>>>>
>>>>> Kannst du mal einen traceroute6/mtr von deiner workstation aus posten?
>>>>>
>>>>>
>>>>> Was du vorhin beschrieben hast war kein konkretes "Problem mit 104er
>>>>> IPs". Wir beziehen inzwischen auch Upstream vom FFRL, der wiederum
>>>>> bilaterales Transit-Peering mit Hamburg hat. Hamburg hat uns aber in der
>>>>> Kette vergessen, und deswegen gab es da eine Lücke im Internet...
>>>>>
>>>>> Cheers,
>>>>> Bastian
>>>>>
>>>>> On 02/20/2016 03:28 PM, 100.78090 at germanynet.de wrote:
>>>>>>  Vielen Dank, dass Windows und Apple Updates wieder gehen, allerdings scheint zudem noch etwas mit ipv6 faul zu sein.
>>>>>>
>>>>>> Von meinem Freifunkrechner bekomme ich keine Antwort auf einen traceroute to 2001:67c:1562::14
>>>>>> Vom http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-traceroute.php geht das ganz hervorragend. Hängt das mit dem anderen Problem zusammen? Hey Basti, was genau war nun eigentlich das Problem mit den 104er-Adressen?
>>>>>>
>>>>>> Beste Grüße
>>>>>> Fischkeks
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> ----- Original Nachricht ----
>>>>>> Von:     Bastian <fly at d00m.org>
>>>>>> An:      berlin at berlin.freifunk.net
>>>>>> Datum:   19.02.2016 11:04
>>>>>> Betreff: Re: [Berlin-wireless] 104er Adressen machens mir schwer
>>>>>>
>>>>>>> Dank Leo in Hamburg sollten routen via FFHH nun sauber funktionieren!
>>>>>>>
>>>>>>>
>>>>>>> On 02/19/2016 10:16 AM, Bastian wrote:
>>>>>>>> Hallo,
>>>>>>>>
>>>>>>>> das scheint kein Problem im OLSR zu sein:
>>>>>>>>
>>>>>>>> 1. bgp02.berlin.freifunk.net     <- wir (IPB)
>>>>>>>> 2. freifunk-a36s.bcix.de         <- wir (Speedbone)
>>>>>>>> 3. freifunk.ber.ecix.net         <- Freifunk Rheinland
>>>>>>>> 4. ecix.iphh.hamburg.freifunk.net<- Freifunk Hamburg
>>>>>>>> 5. ???
>>>>>>>>
>>>>>>>> Wir beziehen inzwischen auch Upstream vom FFRL, der wiederum bilaterales
>>>>>>>> Transit-Peering mit Hamburg hat.
>>>>>>>>
>>>>>>>> Mal bei den Hamburgern nachfragen...
>>>>>>>>
>>>>>>>> Cheers, Bastian
>>>>>>>>
>>>>>>>> On 02/19/2016 08:58 AM, Stefan Sperling wrote:
>>>>>>>>> On Fri, Feb 19, 2016 at 04:00:04AM +0100, 100.78090 at germanynet.de wrote:
>>>>>>>>>> a176.g1.akamai.net [104.96.2.137], über 
>>>>>>>>>> configuration.apple.com
>>>>>>>>>> e5153.a.akamaiedge.net [104.102.21.172] mit 32 Bytes Daten:
>>>>>>>>>
>>>>>>>>>> 104.102.18.110
>>>>>>>>>> 104.102.35.246 (support.microsoft.com /  e3843.g.akamaiedge.net)
>>>>>>>>>>  [2a02:26f0:10b:186::e59]
>>>>>>>>>>
>>>>>>>>>> Kann da mal bitte jemand nachsehen warum die Adressen nicht zu erreichen
>>>>>>> sind? 
>>>>>>>>>
>>>>>>>>> Könnte man in der Freifunk Firmware den olsrd anweisen 104/8 routen aus
>>>>>>>>> dem OLSR Mesh zu ignorieren? Per patch oder config option (falls es dazu
>>>>>>>>> eine gibt)?
>>>>>>>>>
>>>>>>>>> Wer bis jetzt noch nicht renumbered hat wirds wohl vergessen haben und
>>>>>>>>> auch nicht mehr dazu kommen.
>>>>>>
>>>>
>>>> _______________________________________________
>>>> Berlin mailing list
>>>> Berlin at berlin.freifunk.net
>>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
>>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> Berlin mailing list
>>> Berlin at berlin.freifunk.net
>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>> Diese Mailingliste besitzt ein �ffentlich einsehbares Archiv
>>>
>>
> 
> 
> 
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein ?ffentlich einsehbares Archiv
> 
> 
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein �ffentlich einsehbares Archiv
> 

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160221/881a79ef/attachment.sig>

Mehr Informationen über die Mailingliste Berlin