site inaccessible

Le
Eric Belhomme
bonjour,

Je suis confronté à un problème vraiment étrange, que je ne sais pas
expliquer Certains de mes utilisateurs se plaignant de ne pouvoir
accéder au site web http://www.clubic.fr je me décide à regarder cela de
plus près.

je commence donc par un traceroute tcp sur le port 80 :

tcptraceroute -F 195.88.194.30 80
Selected device br0, address 172.16.66.21, port 41252 for outgoing packets
Tracing the path to 195.88.194.30 on TCP port 80 (www), 30 hops max
1 172.16.67.254 1.079 ms 0.955 ms 0.854 ms
2 172.16.1.1 0.179 ms 0.138 ms 0.127 ms
3 eveteam-fibre-27-113.fib.nerim.net (178.132.27.113) 1.522 ms 0.995
ms 0.972 ms
4 eveteam-fibre-18-225.fib.nerim.net (178.132.18.225) 4.901 ms 3.079
ms 7.958 ms
5 gi3-21-na-courbevoie-1.nerim.net (194.79.136.105) 3.220 ms 2.983
ms 2.936 ms
6 te2-3-73-nb-courbevoie-1.nerim.net (194.79.136.17) 2.954 ms 3.005
ms 2.975 ms
7 te2-1-91-nb-voltaire-2.nerim.net (194.79.131.142) 2.966 ms 3.009
ms 2.974 ms
8 cyrealis.sfinx.tm.fr (194.68.129.146) 4.234 ms 2.713 ms 4.234 ms
9 gw-m6web.cyrealis.com (193.22.143.242) 2.725 ms 3.081 ms 2.979 ms
10 * * *
11 195-88-194-30.rev.m6web.fr (195.88.194.30) [open] 2.605 ms 3.003
ms 2.973 ms

A priori, tout est normal. Je tente donc de m'y connecter en telnet, là
encore, ça fonctionne. Avec elinks, itou !
Mais dès que j'essaie avec un navigateur graphique (j'ai essayé firefox,
chrome, et ie8) rien ne vient, jusqu'à obtenir une timeout !

Je ne sais vraiment pas quoi en penser Des suggestions ?

--
Rico
C'est souvent avec une femme idiote qu'on vit en bonne intelligence.
-+- Albert Willemetz (1887-1962) -+-
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
ZarkXe
Le #24504561
Salut Éric,

Si tu essayais une analyse de trame par elinks puis en suite firefox,
pour voir se qui en retourne ?

Idée en vrac du plus au moins probable.
- Proxy au niveau du navigateur ?
- Des images, Des pub, bloqué volontairement ?
Il peut arrive, me semble-t-il, que le blocage d'un nom de domaine
considéré comme indésirable est bloqué par un proxy. A pour conséquence,
lors du chargement de la page, il commence par le domaine bloqué puis il
tourne en rond jusqu’à te dire timeout.

Si tu as trouvé, pourrais-tu me communiquer qu'elle était l’anomalie et
la solution apporté.

Merci.

ZarkXe

On 05/24/2012 05:15 PM, Eric Belhomme wrote:
bonjour,

Je suis confronté à un problème vraiment étrange, que je ne sais pas
expliquer... Certains de mes utilisateurs se plaignant de ne pouvoir
accéder au site web http://www.clubic.fr je me décide à regarder cela de
plus près.

je commence donc par un traceroute tcp sur le port 80 :

tcptraceroute -F 195.88.194.30 80
Selected device br0, address 172.16.66.21, port 41252 for outgoing packets
Tracing the path to 195.88.194.30 on TCP port 80 (www), 30 hops max
1 172.16.67.254 1.079 ms 0.955 ms 0.854 ms
2 172.16.1.1 0.179 ms 0.138 ms 0.127 ms
3 eveteam-fibre-27-113.fib.nerim.net (178.132.27.113) 1.522 ms 0.995
ms 0.972 ms
4 eveteam-fibre-18-225.fib.nerim.net (178.132.18.225) 4.901 ms 3.079
ms 7.958 ms
5 gi3-21-na-courbevoie-1.nerim.net (194.79.136.105) 3.220 ms 2.983
ms 2.936 ms
6 te2-3-73-nb-courbevoie-1.nerim.net (194.79.136.17) 2.954 ms 3.005
ms 2.975 ms
7 te2-1-91-nb-voltaire-2.nerim.net (194.79.131.142) 2.966 ms 3.009
ms 2.974 ms
8 cyrealis.sfinx.tm.fr (194.68.129.146) 4.234 ms 2.713 ms 4.234 ms
9 gw-m6web.cyrealis.com (193.22.143.242) 2.725 ms 3.081 ms 2.979 ms
10 * * *
11 195-88-194-30.rev.m6web.fr (195.88.194.30) [open] 2.605 ms 3.003
ms 2.973 ms

A priori, tout est normal. Je tente donc de m'y connecter en telnet, là
encore, ça fonctionne. Avec elinks, itou !
Mais dès que j'essaie avec un navigateur graphique (j'ai essayé firefox,
chrome, et ie8) rien ne vient, jusqu'à obtenir une timeout !

Je ne sais vraiment pas quoi en penser... Des suggestions ?

xavier
Le #24504641
Eric Belhomme
Je ne sais vraiment pas quoi en penser... Des suggestions ?



Je mettrais bien 10¤ sur une transition vers IPv6 mal finie.

Ici (et à la maison aussi), on a été obligé de désactiver l'IPv6 sur
plein de postes :
une requête DNS renvoie un A *et* un AAAA, mais le serveur, lui,
n'écoute que sur tcp4:80 J'en ai une liste d'une douzaine, comme ça...

Evidemment un traceroute[6] ne t'apprendra rien. Seul un nmap -6 révèle
le loup. Et as-tu essayé lynx -6 ?

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
JKB
Le #24504691
Le Thu, 24 May 2012 20:17:19 +0200,
Xavier
Eric Belhomme
Je ne sais vraiment pas quoi en penser... Des suggestions ?



Je mettrais bien 10€ sur une transition vers IPv6 mal finie.



Ou sur un trou de mtu. Ça peut faire des trucs comme ça aussi...

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
xavier
Le #24504761
JKB
Ou sur un trou de mtu. Ça peut faire des trucs comme ça aussi...



J'ai essayé aussi, sans rien régler. C'étaient à 100% (méthode
expérimentale reproductible) des sites que annonçaient un AAAA sans
écouter sur tcp6:80. Le dernier en date : doodle.com, débuggé pendant
plus d'une heure par mes soins, sous Win XP/Vista/7, MacOSX, et FreeBSD

Et une fois le problème identifié, ça se règle en 5 secondes.

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Raphael Bouaziz
Le #24506131
Le Thu, 24 May 2012 18:21:37 +0000 (UTC), JKB a écrit
dans le message
Le Thu, 24 May 2012 20:17:19 +0200,
Xavier
Eric Belhomme
Je ne sais vraiment pas quoi en penser... Des suggestions ?



Je mettrais bien 10??? sur une transition vers IPv6 mal finie.



Ou sur un trou de mtu. Ça peut faire des trucs comme ça aussi...



Une impossibilité d'accès à Clubic est révélateur d'une communication IP
présentant une "anomalie" (dans le sens le plus général du terme) car ils
ont des firewalls assez alambiqués.

Ce peut être en effet un problème de MTU.

--
Raphael Bouaziz.
Pascal Hambourg
Le #24509741
Salut,

Xavier a écrit :

Ici (et à la maison aussi), on a été obligé de désactiver l'IPv6 sur
plein de postes :
une requête DNS renvoie un A *et* un AAAA, mais le serveur, lui,
n'écoute que sur tcp4:80 J'en ai une liste d'une douzaine, comme ça...



Ce n'est pas le cas de clubic. Pas d'enregistrement AAAA.
Mais cela peut venir d'un élément inclus dans la page. Pour vérifier il
suffit de désactiver la résolution IPv6 dans le navigateur (facile avec
firefox).
Sinon, tcpdump/wireshark/etc est son ami.

Evidemment un traceroute[6] ne t'apprendra rien.



C'est pour cela qu'il faut utiliser tcptraceroute6 sur le port considéré.
Eric Belhomme
Le #24534201
Le Fri, 25 May 2012 09:53:53 +0000, Raphael Bouaziz a écrit :

Une impossibilité d'accès à Clubic est révélateur d'une communication IP
présentant une "anomalie" (dans le sens le plus général du terme) car
ils ont des firewalls assez alambiqués.



j'ai fait une capture de paquets avec wireshark et Chrome pour Debian 64
bits sur ma station de travail : j'ai 5 poignées de main TCP qui
aboutissent, puis un paquet GET / HTTP/1.1 et après, c'est le néant : le
HTTP GET n'obtient pas de réponse, la pite TCP tente des retransmissions,
puis j'ai un timeout

Ce peut être en effet un problème de MTU.



Ma MTU est à 1500, et passe correctement sur Internet... du moins
jusqu'aux sites web de Nerim et de google ;)


--
Rico
Je réponds ordinairement a ceux qui me demandent raison de mes voyages :
que je sais bien ce que je fuis, mais non ce que je cherche.
-+- Michel de Montaigne, Essais -+-
Raphael Bouaziz
Le #24534511
Le 04 Jun 2012 07:57:25 GMT, Eric Belhomme a écrit
dans le message
j'ai fait une capture de paquets avec wireshark et Chrome pour Debian 64
bits sur ma station de travail : j'ai 5 poignées de main TCP qui
aboutissent, puis un paquet GET / HTTP/1.1 et après, c'est le néant : le
HTTP GET n'obtient pas de réponse, la pite TCP tente des retransmissions,
puis j'ai un timeout

Ce peut être en effet un problème de MTU.





Ca y ressemble tout à fait, j'aurais tendance à confirmer mon avis.

Ma MTU est à 1500, et passe correctement sur Internet... du moins
jusqu'aux sites web de Nerim et de google ;)



Il doit y avoir une réduction de la MTU sur le parcours, et le firewall
de Clubic empêche le fonctionnement normal d'IP pour traiter ce problème.

Lorsqu'on a mis en place la collecte 3G, on a utilisé le site de Clubic
pour définir les valeurs :-). Sur le réseau mobile il y a en effet pas mal
de points de "contraction" de MTU, et il a fallu définir une taille maximale
de MSS de 1360 octets.

Essaye de faire du MSS clamping à une valeur de ce type, et regarde ce
que ça peut donner sur cette session HTTP.

--
Raphael Bouaziz.
Publicité
Poster une réponse
Anonyme