Faszinierend....

Seit gestern 19 Uhr irgendwas habe ich Glasfaser von der Telekom. Alles (heise, DTAG DNS, IPv4 Cloudflare,....) hat kürzere Latenzen nur IPv6 zu Cloudflare ist zu normalen Zeiten schlechter als vorher per DSL 😣

Heute ist es wieder besonders schlimm ...

Ich hänge mich hier auch mal mit dran, bei mir gibts auch praktisch jeden Abend diese Probleme (Raum München).

Ping ist oft tatsächlich noch akzeptabel, aber durch 10+% Paketverlust ist die Verbindung trotzdem unbrauchbar.

Außer cloudflare ist ab und zu auch Amazon CloudFront (bis jetzt nur bei Video bemerkbar) und einige andere kleinere AS betroffen.

DTAG routet heute mal wieder direkt in die USA (Newark) statt nach Franfurt.
100+ ms sinnlose Latenz (IPv4+6). Bin gespannt wie das dann erst am Abend wieder aussieht 😠

3 nyc-sb5-i.NYC.US.NET. DTAG .DE [62.154.5.237]
4 87.128.239.250
5 if-ae-0-2.tcore3.njy-newark.as6453.net [216.6.90.14]
6 66.198.70.2
7 162.158.156.3
8 172.67.144.xxx

3 2003:3c0:1300:5::1
4 2003:3c0:1300:5::2
5 if-ae-2-2.tcore2.n0v-newyork.ipv6.as6453.net [2001:5a0:4500:100::a]
6 if-ae-23-2.tcore4.njy-newark.ipv6.as6453.net [2001:5a0:400:700::55]
7 if-ae-1-3.tcore3.njy-newark.ipv6.as6453.net [2001:5a0:f00::23]
8 2001:5a0:f00::1e
9 2400:cb00:11:3::
10 2606:4700:3034::6815:xxxx

Hier mal ein Update zu meinem Post vom 31.01.2024 (Routing über die USA/Newark) für alle die selbst Cloudflare-Services nutzen.

Der gezeigte Trace aus dem DTAG -Netz stammt von einer Website (sagen wir mal devsite.com) die momentan bei uns in der Entwicklung ist und auf CF Workers basiert. Ein Trace auf portal.devsite.com ging letztlich über die gleiche Route wie devsite.com nach Newark, wobei CF in diesem Fall einfach als Proxy zu einem Server in FRA konfiguriert ist. DTAG Ping-Zeiten konstant 110-120ms. Pings von Cloud-Instanzen bei AWS, Azure, Google, Hetzner… an (portal.)devsite.com lagen dagegen im "gewohnten" einstelligen Millisekunden-Bereich. IPs dieser beiden Endpunkte stammten aus dem CF-Netz mit dem Netname "CLOUDFLARENET-EU"

Ich habe dann mal den Trace mit einem älteren Produktivsystem (sagen wir hier mal prosite.com) verglichen. Diese Site wurde im DTAG -Netz nach wie vor aus CF EU-POPs ausgeliefert (in meinem Fall FRA) und die Ping-Zeiten aus dem DTAG -Netz lagen sowohl für den Worker als auch für die konfigurierten Subdomains (CF Proxy-Mode) konstant im Bereich 8-10ms. Diese IPs kamen aus dem CF-Netz "CLOUDFLARENET" und wurden über xxxx.frankfurt.opentransit.net und cloudflare-10.gw.opentransit.net (Orange) geroutet.

Ein letzter Vergleich mit einem dritten (Test-)System (testsite.com) war dann wieder identisch mit devsite.com, Traffic ebenfalls über Newark.  

Alle Sites gehören zu unterschiedlichen Cloudflare-Accounts, waren aber auf den ersten Blick identisch konfiguriert. Einziger Unterschied: prosite.com war im CF Plan PRO (~23€/m) angesiedelt, während devsite.com und testsite.com noch im FREE Plan liefen. Ich habe dann devsite.com auf den PRO-Tarif umgestellt und innerhalb von wenigen Minuten(!) hatte ich zwei neue IPs für (portal.)devsite.com, die nun ebenfalls aus "CLOUDFLARENET" kommen. Pings danach wieder einstellig und Routing wie bei prosite.com. Faszinierend.

Fazit: Cloudflare ist wohl irgendwann Ende Januar 2024 dazu übergegangen, EU-Accounts im FREE Plan über Newark auszuliefern. Ob dies der neue Dauerzustand im DTAG -Netz ist, muss man abwarten und über die Gründe dafür kann man jetzt beliebig spekulieren. Am Ende des Tages wird es wohl am Peering -Clinch mit der DTAG liegen.

HTH

Seit einigen Tagen ist es Abends wieder ganz schlimm - sogar mit abgeschalteten AAAA Records.

Leite ich alle CF IP Ranges (https://www.cloudflare.com/ips-v4/#) über VPN (direkt in OPNsense), dann läuft alles schnuff durch, leider scheitern dann einige Geräte (z.B. mein Ring Intercom) an Verbindungen, weil wahrscheinlich ein Botfilter greift wegen der vielgenutzten Surfshark Adresse.

Da muss sich jetzt endlich mal was tun! Docker und Github Adressen leite ich schon lange über VPN aber den ganzen CF Bereich kann und möchte ich so nicht betreiben müssen.

Das Problem ist nach wie vor nicht behoben. Es betrifft vor allem Websites, die Cloudflare's Free Plan benutzen. Ich hab von jemandem im Cloudflare Discord eine inoffizielle debug Seite erhalten, die anzeigt in welches data center man geroutet wird. Her sieht man (bei "local-free-v4" und "local-free"), dass man in EWR (Ostküste USA) landet.

https://debug.chaika.me/?findColo=true

Und ja, es ist ein Telekom Problem. Mit VPN oder über andere Provider geht das problemlos. Traceroute bestätigt es.

Bitte, bitte, liebe Telekom einigt euch doch endlich mal und sträubt euch nicht gegen vernünftiges Peering ! Mir ist es in letzter Zeit wieder ganz schlimm aufgefallen. Websites, die es betrifft sind einfach unnutzbar langsam. 

Es tut sich endlich was zum Thema Peering Probleme bei der DTAG . Jeder der genug davon hat bitte auf https://netzbremse.de eintragen.

Lasst uns gemeinsam gegen die Praktiken der DTAG vorgehen!

Es tut sich endlich was zum Thema Peering Probleme bei der DTAG . Jeder der genug davon hat bitte auf https://netzbremse.de eintragen.

Lasst uns gemeinsam gegen die Praktiken der DTAG vorgehen!