Manche Seiten sind ueber https nicht erreichbar
9 years ago
Hi folks,
seit dem Umstieg auf VDSL gestern sind einige Seiten ueber https nicht mehr erreichbar, z.B. https://amazon.de/, aber auch https://telekom.de/. Ueber http habe ich bisher keine Ausfaelle festgestellt.
Die Telekom hat zuerst mal abgeblockt, dann wurde ich an einen Leitungspruefer durchgestellt, der hat mich dann an eine andere IT Abteilung weitergeleitet, aber die hatten dann ausser dem (anscheinend kostenpflichtigen) Tip, ich moege meinen Router resetten, nichts zur Verbesserung beizusteuern.
Apropos Router: Ich betreibe ein Vigor130 als VDSL Modem (passthrough). Dahinter steht ein OpenBSD Gateway/Firewall (selbstgebaut), der auch den PPPoE Tunnel bereitstellt. Unter ADSL hatte ich ein anderes Modem (natuerlich), aber der Gateway wurde nicht veraendert. Mit ADSL hat https keine Probleme bereitet.
tcpdump auf dem Gateway zeigt den https Verbindungsaufbau ueber den PPPoE Tunnel, aber keine Antwort. Natuerlich kann ich den Web Server der Telekom anpingen, aber https geht nicht.
tracepath zeigt mir eine PMTU von 1492 an, wie erwartet.
Hat irgendjemand in diesem Forum eine Idee?
Regards
Harri
Note:
Note:
702
0
0
This could help you too
6 years ago
3811
2
4
in
167
0
3
Popular tags last 7 days
You might also be interested in
Request purchasing advice
Fill out our online contact form quickly and easily so that we can advise you personally in a timely manner.
View offers
Informieren Sie sich über unsere aktuellen Internet-Angebote.
9 years ago
Hallo harald.dunkel,
ich würde an deiner Stelle das ganze erst mal mit einem ganz normalen DSL Router (Fritzbox, Speedport, Zyxel, etc.) testen um auszuschließen das das Problem nicht doch irgendwie in deinem eigenen Netz liegt. Sollte es dann immer noch Probleme mit dem Aufruf von https geben, müsste man sich den Trace mal genauer anschauen.
Viele Grüße
Björn
0
from
9 years ago
Das Problem ist die exotische MTU beim PPPoE der Telekom: 1492 Bytes. Normal sind im Internet 1500 Bytes. Damit der jeweilige Absender die TCP/IP Pakete auf 1492 Bytes fragmentieren kann, sind control messages zwischen den Gateways notwendig (ueber ICMP oder ICMP6). Leider lassen einige Gateways ICMP/ICMP6 nicht ungehindert passieren, womit dann der SSL Handshake haengen bleibt.
Die BNGs der Telekom unterstuetzen auch Baby Jumbo Frames von 1508 Bytes, womit dann die uebliche MTU von 1500 Bytes dem Kunden zur Verfuegung gestellt werden koennte, aber da beisst man bei der Telekom auf Granit.
0
9 years ago
@harald.dunkel
Ich finde den Vorschlag von @bjoernfi gut.
Dein Fehler ist etwas "exotisch"
0
9 years ago
schön, dass du dich in unserer Community gemeldet hast.
Konntest du den Sachverhalt schon mit einem "herkömmlichen Router" testen?
Liebe Grüße Steffi B.
0
0