Erreichbarkeit einiger webseiten

Was haben die sites von postbank, dhl, wdr, ndr und einige andere gemeinsam? Diese kann ich nur mit WinXP erreichen. Reibungslose Verbindung habe ich hingegen mit den meisten anderen sites.

Opensuse 10.2, DSL mit Siemens Modem von Alice, Dyn. Zuweisung der DNS, andere DNS Server bieten kein besseres Ergebnis, mtu 1492, ipv6 abgeschaltet. Und jetzt dies:


--- alice-dsl.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 78.760/78.760/78.760/0.000 ms
jakubeit@linux-mijy:~> ping -s 1464 -c 1 -M do postbank.de
PING postbank.de (62.180.72.89) 1464(1492) bytes of data.
From 166-49-134-162.eu.bt.net (166.49.134.162): icmp_seq=1 Packet filtered

--- postbank.de ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0ms

jakubeit@linux-mijy:~> ping -s 1464 -c 1 -M do dhl.de
PING dhl.de (160.44.239.219) 1464(1492) bytes of data.
From 160.44.238.11: icmp_seq=1 Packet filtered

--- dhl.de ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0ms

jakubeit@linux-mijy:~> ping -s 1464 -c 1 -M do wdr.de
PING wdr.de (149.219.195.51) 1464(1492) bytes of data.

--- wdr.de ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

Die Pings sagen leider nichts aus, denn Ping und http(s) Traffic ist ja was unterschiedliches. Außerdem kann bei einem Ping schonmal was verloren gehen. Die "Paket filtered" Infos sagen aus das da eine Firewall das ganze gestoppt hat. Die Postbank möchte halt nicht angepingt werden.

Hat dein Modem auch MTU 1492 oder hat das nur dein Rechner?

Eine Modemkonfiguration habe ich nicht vorgenommen, also Rechner MTU 1492. Übrigens kleinere Werte bringen gar nichts. Hier noch ein Versuch mit dig und ping wdr:
<<>> DiG 9.3.2 <<>> wdr.de
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35111
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;wdr.de. IN A

;; ANSWER SECTION:
wdr.de. 80261 IN A 149.219.195.51

;; Query time: 44 msec
;; SERVER: 213.191.92.82#53(213.191.92.82)
;; WHEN: Sat Aug 25 15:47:37 2007
;; MSG SIZE rcvd: 40

jakubeit@linux-mijy:~> ping -c1 wdr.de
PING wdr.de (149.219.195.51) 56(84) bytes of data.

--- wdr.de ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

Der wdr gehört nicht zu denen, die nicht angepingt werden wollen. Warum geht das oder die Pakete verloren?

Der wdr gehört nicht zu denen, die nicht angepingt werden wollen. Warum geht das oder die Pakete verloren?

Zum Vergrößern anklicken....

In dem Fall wohl, weil ein hirntoter Admin meint, es wäre ne gute Idee, Pings zu blockieren, weil man dann ja "unsichtbar" ist.

Den kannst Du also aus Deiner Liste streichen, das liegt nicht an Dir.

Greetz,

RM

juergenj schrieb:

Was haben die sites von postbank, dhl, wdr, ndr und einige andere gemeinsam? Diese kann ich nur mit WinXP erreichen.

Zum Vergrößern anklicken....

also ich kann diese Seiten Problemlos mit Linux erreichen (Startseite der jeweiligen Homepage). Wieso sollte denn das auch nicht gehen?

Ja Jägerschnüffler, das genau ist hier die Frage!!!!!!!!!!!

Und Rain_Maker: das löst auch nicht mein Problem. Ich will die ja auch nicht anpingen sondern mit meinem Opensuse 10.2 auf deren website. Angekommen?javascript:emoticon('')

Blockt vlt. dein interne Firewall Pings nach aussen?!

Hallo juergenj,

welche Ausgabe erhältst Du denn auf dieses Kommando:

Viele Grüße,
gameboy.

Ich habe mir mal mit wireshark den Unterschied zwischen dhl.de/wdr.de und google.de angesehen. Bei den ersten beiden wird eine mss von 1452 vom client angeboten und der Server offeriert dann 1460, d.h. die MSS wird zwischen den Kommunikationspartnern ausgehandelt und geändert. google bleibt bei 1452.

Lies mal über MSS und da im besonderen über IP Fragmentation und den Zusammenhang mit ICMP. Ich vermute Du hast Deine FW zu restriktiv eingestellt.

hallo gameboy, dies ist die Antwort:
jakubeit@linux-mijy:~> netcat -vz wdr.de 80
DNS fwd/rev mismatch: wdr.de != www01.wdr.de
wdr.de [149.219.195.51] 80 (http) open
jakubeit@linux-mijy:~>

bin leider nicht so firm, dass ich dies interpretiern könnte!

Hallo framp,
firewall steht auf suse standard? Ich poste mal die Einstellungen:
linux-mijy:/home/jakubeit # iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
input_ext 0 -- anywhere anywhere
input_ext 0 -- anywhere anywhere
LOG 0 -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
DROP 0 -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
LOG 0 -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state NEW,RELATED,ESTABLISHED
LOG 0 -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references)
target prot opt source destination

Chain input_ext (2 references)
target prot opt source destination
DROP 0 -- anywhere anywhere PKTTYPE = broadcast
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp address-mask-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp protocol-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABLISHED icmp redirect
ACCEPT esp -- anywhere anywhere
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp dpt:domain flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootpc
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:ipsec-nat-t
ACCEPT udp -- anywhere anywhere udp dpt:isakmp
reject_func tcp -- anywhere anywhere tcp dpt:ident state NEW
LOG 0 -- anywhere anywhere limit: avg 3/min burst 5 PKTTYPE = multicast LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
DROP 0 -- anywhere anywhere PKTTYPE = multicast
LOG tcp -- anywhere anywhere limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG icmp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG udp -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
LOG 0 -- anywhere anywhere limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
DROP 0 -- anywhere anywhere

Chain reject_func (1 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT 0 -- anywhere anywhere reject-with icmp-proto-unreachable

Hallo juergenj,

juergenj schrieb:

hallo gameboy, dies ist die Antwort:
jakubeit@linux-mijy:~> netcat -vz wdr.de 80
DNS fwd/rev mismatch: wdr.de != www01.wdr.de
wdr.de [149.219.195.51] 80 (http) open
jakubeit@linux-mijy:~>

bin leider nicht so firm, dass ich dies interpretiern könnte!

Zum Vergrößern anklicken....

also nach meinem Verständnis bedeutet das, daß Dein Rechner in der Lage ist, eine TCP-Verbindung mit wdr.de auf Zielport 80 aufzubauen. Daraus schließe ich, daß z.B. die auf Deinem Linux-Rechner laufende Firewall als Fehlerquelle ausscheidet.

Welches Ergebnis liefert denn folgender Aufruf?

Viele Grüße,
gameboy.

hallo gameboy , vielleicht kommen wir hiermit dem Problem auf die Spurjakubeit@linux-mijy:~> wget -O - wdr.de
--11:28:09-- http://wdr.de/
=> `-'
Auflösen des Hostnamen »wdr.de«.... 149.219.195.51
Verbindungsaufbau zu wdr.de|149.219.195.51|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 302 Found
Platz: http://www.wdr.de/[folge]
--11:28:09-- http://www.wdr.de/
=> `-'
Auflösen des Hostnamen »www.wdr.de«.... 149.219.195.51
Verbindungsaufbau zu www.wdr.de|149.219.195.51|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 302 Found
Platz: http://www.wdr.de/themen/homepages/homepage.jhtml[folge]
--11:28:09-- http://www.wdr.de/themen/homepages/homepage.jhtml
=> `-'
Verbindungsaufbau zu www.wdr.de|149.219.195.51|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort...

dies "warte auf Antwort" irritiert mich schon

nach endloser Wartezeit kam dann noch dies:Lesefehler (Die Verbindung wurde vom Kommunikationspartner zurückgesetzt) beim Vorspann (header).

Hallo juergenj,

also ehrlich gesagt weiß ich nun auch nicht wirklich weiter...

Die Verbindung zum Webserver der Domain wdr.de kann wget auf jeden Fall herstellen. Die erhaltene Antwort ist zunächst einmal ein Redirect, den wget ja dann auch selbständig verfolgt und erneut einen Redirect als Antwort bekommt. Warum dann im dritten Anlauf der Request für http://www.wdr.de/themen/homepages/homepage.jhtml erfolglos abbricht, weiß ich leider nicht. Als Ergebnis sollte dann eigentlich die Antwort mit dem HTML-Code kommen...

Vielleicht hat noch jemand anderes eine Idee?

Viele Grüße,
gameboy.

Danke. Aber wo sind all die Cracks?
No solution, no help,no hope,shit!!!!!!!

Was sagt denn ifconfig über die Netzwerkkarte? Ist zwar unwahrscheinlich aber vielleicht hat die einen Schlag weg.

dsl0 Protokollunkt-zu-Punkt Verbindung
inet Adresse:85.177.144.207 P-z-P:213.191.76.23 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:14466 errors:0 dropped:0 overruns:0 frame:0
TX packets:11149 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:3
RX bytes:16817624 (16.0 Mb) TX bytes:1157923 (1.1 Mb)

eth0 Protokoll:Ethernet Hardware Adresse 00:0C:76:67:74:45
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1492 Metric:1
RX packets:14578 errors:0 dropped:0 overruns:0 frame:0
TX packets:11313 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:1000
RX bytes:17142676 (16.3 Mb) TX bytes:1437866 (1.3 Mb)
Interrupt:209 Basisadresse:0xb800

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:106 errors:0 dropped:0 overruns:0 frame:0
TX packets:106 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:0
RX bytes:54540 (53.2 Kb) TX bytes:54540 (53.2 Kb)

ich hoffe noch, denn das Problem begleitet mich nun schon 1 Jahr

hi jürgenj,

ich kann dir zwar nicht helfen, aber vielleicht tröstet es, mit dem Problem nicht allein zu sein.
Bei mir ist es zwar nicht die Postbank, die geht einwandfrei, aber einige andere Sites sind nicht erreichbar. Die üblichen Schrauben (MTU, resolv.conf, ipv6) sind alle schon geschraubt.
netcat meldet, dass der inverse hostname lookup scheitert, mit der Option -n und numerischer IP gibt es einen unknown host. wget scheitert ebenfalls am nicht erreichbaren host.

Wenn nicht nebenan der Kollege mit seinem Win-XP Rechner gleichzeitig munter auf der Site herumsurfen würde, die ich nicht erreichen kann, würde ich glauben, dass der Server tatsächlich nicht erreichbar ist. Daraus ergibt sich wohl auch, dass das Problem nicht am Router/DSL-Modem liegen kann. Auch die nameserver-Einträge auf der Win-Kiste sind die gleichen, wie bei mir.

Mir ist noch aufgefallen, dass auch whois auf die Problemadresse nicht funktioniert, also mit timeout abbricht.
Ansonsten bin ich ebenso ratlos, wie Du. Vielleicht gelingt es uns, das Problem weiter einzukreisen.

Ach so: SuSE 10.1
Eine der Problemseiten ist www. becom.com

net.cat

net.cat - Du bist nicht zufällig auch bei Alice?

nbkr schrieb:

net.cat - Du bist nicht zufällig auch bei Alice?

Zum Vergrößern anklicken....

Nein - netcologne.
Jetzt im Augenblick bin ich in einem anderen LAN eingeloggt, das aber ebenfalls einen DSL-Anschluss über denselben Provider hat. Ebenfalls eine SuSE 10.1. Und hier sagt netcat:
~> netcat -zv becom.com 80
Warning: inverse host lookup failed for 194.9.125.152: Unknown host
becom.com [194.9.125.152] 80 (http) open

also immer noch kein inverse lookup, aber die site ist erreichbar und wird auch im Browser korrekt angezeigt.

Das lässt darauf schließen, dass es jedenfalls kein permanentes DNS-Problem beim Provider gibt. Ob es ein temporäres Problem ist, werde ich morgen in dem anderen LAN wieder kontrollieren. Da die o.g. Adresse aber schon seit längerem von dort aus nicht erreichbar war, glaube ich nicht dran.
Der einzige Unterschied, der mir auf anhieb zwischen den beiden SuSEs einfällt, ist der, dass es einmal eine 64bit und einmal eine 32bit Version ist.

net.cat