Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
uweber

Fragmentierte ICMP Packete werden von Unitymedia blockiert

Warum werden fragmentierte ICMP Pakete von Unitymedia verworfen?
Widerspricht dieser Eingriff nicht der Netzneutralität?
Leitung ist ein Business Anschluss mit vollwertiger IPv4 Adresse.
UDP scheint nicht betroffen zu sein, nur ICMP.

Pakete scheinen intern auf einer Firewall von Unitymedia verworfen zu werden.
So sind interne Router im Unitymedia Netzwerk teilweise erreichbar, z.b

# ping -s 2000 -c 3 heise.de
PING heise.de (193.99.144.80) 2000(2028) bytes of data.

--- heise.de ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2048ms

# traceroute heise.de
traceroute to heise.de (193.99.144.80), 30 hops max, 60 byte packets
 1  gateway (10.0.0.1)  0.367 ms  0.319 ms  0.301 ms
 2  192.168.0.1 (192.168.0.1)  1.585 ms  2.410 ms  3.386 ms
 3  hsi-kbw-37-49-16-1.hsi14.kabel-badenwuerttemberg.de (37.49.16.1)  15.852 ms  24.631 ms  25.201 ms
 4  ip-81-210-146-50.hsi17.unitymediagroup.de (81.210.146.50)  25.519 ms  25.452 ms  25.651 ms
 5  de-str01c-rc1-ae-21-0.aorta.net (84.116.190.241)  26.676 ms  26.705 ms  26.708 ms
 6  de-fra01b-rc1-ae-4-0.aorta.net (84.116.140.201)  26.380 ms  34.852 ms  35.360 ms
 7  de-fra01b-ri1-ae-0-0.aorta.net (84.116.134.6)  35.786 ms  32.259 ms  32.420 ms
 8  213.46.177.114 (213.46.177.114)  33.350 ms  27.201 ms  22.620 ms
 9  ae2-2025.fra30.core-backbone.com (5.56.17.26)  22.879 ms  21.188 ms  25.329 ms
10  core-backbone.plusline.net (5.56.18.114)  26.103 ms  25.921 ms  25.795 ms
11  213.83.1.132 (213.83.1.132)  23.550 ms 213.83.1.133 (213.83.1.133)  26.857 ms 213.83.1.131 (213.83.1.131)  24.781 ms
12  213.83.1.137 (213.83.1.137)  24.567 ms  23.845 ms  23.772 ms
13  * * *
14  213.83.1.6 (213.83.1.6)  20.174 ms  26.105 ms  26.301 ms
15  82.98.102.1 (82.98.102.1)  20.381 ms 82.98.102.3 (82.98.102.3)  25.745 ms  26.169 ms
16  82.98.102.10 (82.98.102.10)  24.898 ms  32.679 ms 82.98.102.14 (82.98.102.14)  32.755 ms
17  82.98.102.23 (82.98.102.23)  32.473 ms  32.461 ms 82.98.102.65 (82.98.102.65)  31.808 ms

# ping -s 2000 -c 3 84.116.134.6
PING 84.116.134.6 (84.116.134.6) 2000(2028) bytes of data.
2008 bytes from 84.116.134.6: icmp_seq=1 ttl=56 time=16.9 ms
2008 bytes from 84.116.134.6: icmp_seq=2 ttl=56 time=19.3 ms
2008 bytes from 84.116.134.6: icmp_seq=3 ttl=56 time=16.9 ms

--- 84.116.134.6 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 16.856/17.699/19.297/1.130 ms

Auf der Gegenseite sehe ich das erste Fragment mit dem ICMP Header, jedoch fehlen die weiteren Fragmente. Nach kurzer Zeit Antwortet die Gegenseite dann mit "ip reassembly time exceeded", was ich aber auch nicht lokal empfange...
Speichern Abbrechen
Konnte dir geholfen werden?
  • Ja
Dieser Beitrag wurde geschlossen.
Es ist nicht möglich, Kommentare zu schreiben. Du kannst aber jederzeit eine Frage stellen.
Frage stellen
20 Kommentare
2019-11-19T20:55:55Z
  • Dienstag, 19.11.2019 um 21:55 Uhr
ping -n 100 heise.de Probier mal.
2019-11-19T21:27:54Z
  • Dienstag, 19.11.2019 um 22:27 Uhr
Kann ich bestätigen. Aber nun ja, ICMP ist halt generell sehr weit unten angesetzt und wird auch also normaler Echorequest schon oft verworfen.
2019-11-19T22:44:24Z
  • Dienstag, 19.11.2019 um 23:44 Uhr
Ah so sorry, hier gehts im Linux, my Mistake.

Aber klappt bei mir auch nicht bei heise.de

Zu meinem Rootserver (meine-bandbreite.de) klappt es jedoch.


Scheint also kein Unitymedia Problem zu sein.

2019-11-20T08:52:14Z
  • Mittwoch, 20.11.2019 um 09:52 Uhr
Bist du sicher, dass du über IPv4 gegangen bist und nicht IPv6?
Falls ja, kannst du bitte ein traceroute machen?

Über IPv4 komm ich hier auch nicht mit fragmentierten ICMP Pakete nach meine-bandbreite.de
Habe das Problem an 3 Unitymedia Business Anschlüssen in Karlsruhe, Stuttgart und Köln.

Ping unter Windows:
ping -s 2000 -4 heise.de

Von Unitymedia würde mich interresieren, warum sie fragmentierte ICMPv4 Pakete verwerfen. Und ist das das "einzige" was sie blockieren, oder verwerfen sie auch noch "andere" Pakete.
2019-11-20T13:40:24Z
  • Mittwoch, 20.11.2019 um 14:40 Uhr
uweber:
Bist du sicher, dass du über IPv4 gegangen bist und nicht IPv6?
Falls ja, kannst du bitte ein traceroute machen?

Über IPv4 komm ich hier auch nicht mit fragmentierten ICMP Pakete nach meine-bandbreite.de
Habe das Problem an 3 Unitymedia Business Anschlüssen in Karlsruhe, Stuttgart und Köln.

Ping unter Windows:
ping -s 2000 -4 heise.de

Von Unitymedia würde mich interresieren, warum sie fragmentierte ICMPv4 Pakete verwerfen. Und ist das das "einzige" was sie blockieren, oder verwerfen sie auch noch "andere" Pakete.

 Wofür der Befehl -s ?


Eine Normale Pingabfrage(test) ist: ping -4 (für v4) und dann die Adresse.

Auch dieser Befehl sendet doch normale ICMP Pakete?

2019-11-20T13:58:58Z
  • Mittwoch, 20.11.2019 um 14:58 Uhr

Ah sorry mein Fehler, es sollte "ping -4 -l 2000 heise.de" unter Windows heißen.


Linux: ping -s 2000 heise.de

Windows: ping -l 2000 heise.de


Da die MTU normalerweise 1500 Bytes ist werden hier dann zwei Pakete generiert,

wobei das erste Fragment noch von der Unitymedia Firewall durchgelassen wird,

jedoch nicht die weiteren Fragmente...

2019-11-20T15:45:50Z
  • Mittwoch, 20.11.2019 um 16:45 Uhr
Funzt nicht.

Intern klappt es jedoch, also scheint UM da wirklich was zu filtern.


Aber warum ist dir das so wichtig?

2019-11-20T17:13:30Z
  • Mittwoch, 20.11.2019 um 18:13 Uhr
Generell stelle ich mir die Frage was Unitymedia noch so alles
"filtert". Zudem ist mir kein Provider bekannt der fragmentierte ICMP
Pakete verwirft.

Ein Internet Provider sollte sich darauf beschränken Layer 3 Pakete zu routen und nicht in den Packetfluss Eingriff nehmen...

ICMP steht für Internet Control Message Protocol, hier Eingriff zu nehmen halte ich für Bedenklich, denn die höheren Protokolle verwenden dieses, z.b. im Fehlerfall.

Durch das blockieren habe ich zb. aktuell keine Möglichkeit zum erkennen, ob die Fragmentierung Fehlerfrei funktioniert.
2019-11-20T17:15:33Z
  • Mittwoch, 20.11.2019 um 18:15 Uhr
uweber:
Generell stelle ich mir die Frage was Unitymedia noch so alles
"filtert". Zudem ist mir kein Provider bekannt der fragmentierte ICMP
Pakete verwirft.

Ein Internet Provider sollte sich darauf beschränken Layer 3 Pakete zu routen und nicht in den Packetfluss Eingriff nehmen...

ICMP steht für Internet Control Message Protocol, hier Eingriff zu nehmen halte ich für Bedenklich, denn die höheren Protokolle verwenden dieses, z.b. im Fehlerfall.

Durch das blockieren habe ich zb. aktuell keine Möglichkeit zum erkennen, ob die Fragmentierung Fehlerfrei funktioniert.

Okay, also ich habe bisher im laufenden Betrieb, und ich betreibe unter anderen 2 NAS zu Hause & ein Rootserver im RZ, keinerlei Probleme festgestellt.


Auch Monitoringdienste verrichten Ihren Dienst einwandfrei.


Ändern kannst du es so oder so nicht.

2019-11-20T17:58:57Z
  • Mittwoch, 20.11.2019 um 18:58 Uhr

Hallo @Scoopi,

ich hab mal
geteste (meine-bandbreite.de) ist es gut ? Ich hab DS LITE 150er &
10up

achjaa, warum kann ich seid langen hier kein link mehr hinzufügen?

Gruß Recon99_UM.VF