Vodafone hat ein böses DNS-Server-Erreichbarkeits-Problem
Ein Leser hat mich auf ein Problem beim Provider Vodafone hingewiesen. Beim Routing zu Vodafone-Internet-Anschlüssen scheint es Paketverluste zu geben, weil die Vodafone DNS-Server aus dem Vodafone-Netz nicht zuverlässig erreichbar sind. Das Problem wurde vom Leser bei Tests eines Kundensystems gefunden. Ich greife mal die Beschreibung in einem Blog-Beitrag auf. Vielleicht gibt es ja noch mehr Betroffene, denen das weiterhilft.
Hinweis eines Lesers auf Vodafone DNS-Probleme
Blog-Leser Hendrik W. hatte sich kürzlich bei mir auf Facebook in einer privaten Nachricht gemeldet und über DNS-Probleme bei Internet-Anbieter Vodafone berichtet. Auf meine Nachfrage hat er dann noch einige Details per E-Mail nachgereicht. Ich bereite die Erkenntnisse nachfolgend auf.Szenario eines Kunden
Der Leser hat als IT-Dienstleister einen Kunden, der mehrere WAN-Anschlüsse an 3 Standorten betreibt. Als Internetanbieter kommen dort die Deutsche Telekom und Vodafone mit einem Kabelanschluss zum Einsatz. An den drei Standorten gibt es jeweils zwei WAN Anschlüsse, einen davon bei Vodafone Kabel.Neue Firewall im Lab vorbereitet
Für den Kunden wurde nun eine neue Firewall eingerichtet und ein Gateway Online-Monitoring aufgesetzt. Damit Firewalls "plug&play" beim Kunden laufen, hat man beim IT-Dienstleister jeweils eine entsprechende Lab-Umgebung eingerichtet, wo mit den echten IPv4 -Adressen Tunnels usw. getestet werden können. Die Verbindungen dürfen dann halt nur nicht "rein & raus" ins echte Internet schrieb der Leser.Beim IT-Dienstleister war im Lab als Gateway Monitoring IP der Vodafone Anschlüsse die IP-Adresse 81.210.129.4 eingetragen. Dies ist die IP-Adresse eines DNS-Servers, den der Kunde standardmäßig an seinem Anschluss zugewiesen bekam. Das Lab des Dienstleisters hängt nach außen an einem Telekom Glasfaser Anschluss – und alles funktionierte in der Testumgebung prima.
Probleme mit Ping auf Vodafone DNS-Server beim Kunden
Die Probleme finden an, als die Konfiguration der neuen Firewall beim Kunden in Betrieb ging. Es lief laut Aussage des Blog-Lesers "eine Woche", und dann gab es Probleme. Es kam zu Verbindungsabbrüchen, der WAN-Anschluss schaltete auf das Tier 2-Fallback, Telekom.Die Paketverluste beim Monitoring wurden mit 15-25% ausgewiesen. Mal funktionierte der Anschluss (es wurde auf Tier 1 umgeschaltet), und die dynamische Route suchte sich wieder den Weg über das Vodafone-Netz zu deren DNS-Server. Dann gab es wieder Paketverluste, es kam zum State-Kill und zum Tunnelwechsel in der Firewall.
Ein Arbeiten war nicht möglich. Sobald das Vodafone WAN beim Kunden deaktiviert wurde, lief die Firewall problemlos. Aber das ist dann ein Betrieb ohne Fallback auf Vodafone, falls die Telekom-Anschlüsse ausfallen, und umgekehrt.
Vodafone NS-Server im Vodafone-Netz nicht pingbar
Schnelle Erkenntnis: Die eigenen DNS-Server von Vodafone sind aus dem Vodafone eigenen Netz nicht ohne Paketverlust pingbar. Von extern sind Pings auf die DNS-Server von Vodafone kein Problem.Das führte dann letztendlich dazu, dass das dynamische Routing permanent nicht mehr wusste, wohin es Pakete senden soll. Bei rund 20-30% Paketverlust wurde das Gateway richtigerweise als offline eingestuft. Ein wichtiger Punkt, den der Leser erwähnte, ist, dass der Vodafone DNS-Server nie zur Namensauflösung der URLs verwendet wurde, sondern rein für den Trigger, ob der Anschluss online ist.
Ursachenforschung: Der lange Weg bis zur Erkenntnis
Was in obigem Abriss recht kurz zur Ursache führt, bedeutete in der Praxis eine länger Ursachenforschung und unendlich vielen Tickets bei Vodafone, einem Wechsel von Verstärkern und Modems und viel Zeit zum Testen.Der Leser schrieb, dass es "an einem Anschluss es schon immer Probleme mit dem Vodafone-Kabelanschluss gab. Alle Firmenstandorte des Kunden erzeugten an diesem WAN-Anschluss nicht korrigierbare Fehler im 10k Bereich pro Sekunde.
Es wurde ein Störungsticket bei Vodafone aufgemacht. Der Techniker von Vodafone kam vor Ort, prüfte, sprach "von überlasteter Leitung" und verschwand. Dann kam die Nachricht, dass das Ticket geschlossen wäre, da die Überlastung nicht mehr vorhanden seien.
Aber die Fehler in dem Vodafone-Kabelmodems blieben unverändert bestehen. Es wurde ein neues Störungsticket bei Vodafone eingereicht. Dann wurden die Verstärker getauscht und neu eingepegelt, sowie ein neues Kabelmodem getestet. Das half alles nichts, die Fehler blieben, so der Leser.
Du musst angemeldet sein, um Bilder zu sehen.
Grenzwerte digital (DVB-C und HSI/Phone) in BK-Netzen (Vodafone)
Die Werte des Kabelmodems sahen für den Leser alle nicht berauschend aus, ein entsprechendes Dokument (siehe obiges Bild) aus dem Vodafone Kabelforum kommentierte ein Techniker mit den Worten "die Werte sind veraltet". Vodafone beharrte darauf dass der Internetanschluss per Kabel nun funktionierte.
Das war der Punkt, an dem der Leser ins Grübeln geriet. Er war der Meinung, dass es Sinn mache, ein Monitoring auf Provider-Server zu machen. Denn es hilft nicht, wenn "bei einem anderen Provider etwas ausfällt, obwohl der Anschluss eigentlich funktional ist".
Ein Beitrag im Vodafone-Forum
Dann fand der Leser den Beitrag Vodafone DNS Server (ns1.vodafone-ip.de usw) sind nicht aus dem Vodafone Kabelnetz erreichbar, bei dem ein Puzzleteils ins Bild fiel und alles erklärte. Auch auf Computer Base gibt es einen solchen Foreneintrag, der auf Probleme hinweist.Der Verdacht: "Vielleicht sind ja tatsächlich nur vom Vodafone eigenen Netz die Server manchmal nicht erreichbar, obwohl deren Erreichbarkeit von extern aber konstant gegeben ist? Dass in obigem Forenbeitrag ein anderer Vodafone DNS-Server genannt wird, macht den Sachverhalt ja auch nicht besser.
Also hat der Leser die WAN-Verbindung zu Vodafone wieder aktiviert. Es gab wieder Paketverluste. Ein gleichzeitiger Ping aus dem Telekom-Netz zum Vodafone DNS-Server zeigte, dass dieser problemlos und durchgehend erreichbar war.
Anderer DNS-Server zu Monitoring hilft
Der Leser schrieb dann: "Heute arbeiten die Standorte problemlos, die Anschlüsse funktionieren wie gewünscht, auch wenn noch massive nicht korrigierbare Fehler das Kabel-Modem log fluten, so ein 256QAM Kanal 16 zum Beispiel." Die Lösung: Es wird zum Monitoring nun ein anderer DNS-Server verwendet, so dass die Firewall vernünftig routen kann und die WAN-Anschlüsse nicht als "offline" einstuft.Wie schreibt der Leser: "Zusammenfassend lässt sich sagen, dass der Service für Business Kunden bei Vodafone noch unterirdischer geworden ist, als es damals unter Unitymedia der Fall war. Man hat außerhalb des regulären Ticketsystems schlicht kaum Möglichkeiten [zur Klärung von Problemen]."
An dieser Stelle mein Dank an den Blog-Leser für die Informationen. Vielleicht hilft das dem ein oder anderen Administrator oder IT-Dienstleister weiter, der sich an den internen DNS-Server von Vodafone die Zähne ausbeißt. Der Leser meinte: "Ich bin sehr gespannt auf das Feedback in deinem Blog!" Noch jemand, der solche Erkenntnisse gewonnen hat?
Quelle: Vodafone hat ein böses DNS-Server-Erreichbarkeits-Problem
Anhänge
Du musst angemeldet sein, um die Anhangsliste zu sehen.
Zuletzt bearbeitet:
