site inaccessible
Le
Eric Belhomme
bonjour,
Je suis confronté à un problème vraiment étrange, que je ne sais pas
expliquer Certains de mes utilisateurs se plaignant de ne pouvoir
accéder au site web http://www.clubic.fr je me décide à regarder cela de
plus près.
je commence donc par un traceroute tcp sur le port 80 :
tcptraceroute -F 195.88.194.30 80
Selected device br0, address 172.16.66.21, port 41252 for outgoing packets
Tracing the path to 195.88.194.30 on TCP port 80 (www), 30 hops max
1 172.16.67.254 1.079 ms 0.955 ms 0.854 ms
2 172.16.1.1 0.179 ms 0.138 ms 0.127 ms
3 eveteam-fibre-27-113.fib.nerim.net (178.132.27.113) 1.522 ms 0.995
ms 0.972 ms
4 eveteam-fibre-18-225.fib.nerim.net (178.132.18.225) 4.901 ms 3.079
ms 7.958 ms
5 gi3-21-na-courbevoie-1.nerim.net (194.79.136.105) 3.220 ms 2.983
ms 2.936 ms
6 te2-3-73-nb-courbevoie-1.nerim.net (194.79.136.17) 2.954 ms 3.005
ms 2.975 ms
7 te2-1-91-nb-voltaire-2.nerim.net (194.79.131.142) 2.966 ms 3.009
ms 2.974 ms
8 cyrealis.sfinx.tm.fr (194.68.129.146) 4.234 ms 2.713 ms 4.234 ms
9 gw-m6web.cyrealis.com (193.22.143.242) 2.725 ms 3.081 ms 2.979 ms
10 * * *
11 195-88-194-30.rev.m6web.fr (195.88.194.30) [open] 2.605 ms 3.003
ms 2.973 ms
A priori, tout est normal. Je tente donc de m'y connecter en telnet, là
encore, ça fonctionne. Avec elinks, itou !
Mais dès que j'essaie avec un navigateur graphique (j'ai essayé firefox,
chrome, et ie8) rien ne vient, jusqu'à obtenir une timeout !
Je ne sais vraiment pas quoi en penser Des suggestions ?
--
Rico
C'est souvent avec une femme idiote qu'on vit en bonne intelligence.
-+- Albert Willemetz (1887-1962) -+-
Je suis confronté à un problème vraiment étrange, que je ne sais pas
expliquer Certains de mes utilisateurs se plaignant de ne pouvoir
accéder au site web http://www.clubic.fr je me décide à regarder cela de
plus près.
je commence donc par un traceroute tcp sur le port 80 :
tcptraceroute -F 195.88.194.30 80
Selected device br0, address 172.16.66.21, port 41252 for outgoing packets
Tracing the path to 195.88.194.30 on TCP port 80 (www), 30 hops max
1 172.16.67.254 1.079 ms 0.955 ms 0.854 ms
2 172.16.1.1 0.179 ms 0.138 ms 0.127 ms
3 eveteam-fibre-27-113.fib.nerim.net (178.132.27.113) 1.522 ms 0.995
ms 0.972 ms
4 eveteam-fibre-18-225.fib.nerim.net (178.132.18.225) 4.901 ms 3.079
ms 7.958 ms
5 gi3-21-na-courbevoie-1.nerim.net (194.79.136.105) 3.220 ms 2.983
ms 2.936 ms
6 te2-3-73-nb-courbevoie-1.nerim.net (194.79.136.17) 2.954 ms 3.005
ms 2.975 ms
7 te2-1-91-nb-voltaire-2.nerim.net (194.79.131.142) 2.966 ms 3.009
ms 2.974 ms
8 cyrealis.sfinx.tm.fr (194.68.129.146) 4.234 ms 2.713 ms 4.234 ms
9 gw-m6web.cyrealis.com (193.22.143.242) 2.725 ms 3.081 ms 2.979 ms
10 * * *
11 195-88-194-30.rev.m6web.fr (195.88.194.30) [open] 2.605 ms 3.003
ms 2.973 ms
A priori, tout est normal. Je tente donc de m'y connecter en telnet, là
encore, ça fonctionne. Avec elinks, itou !
Mais dès que j'essaie avec un navigateur graphique (j'ai essayé firefox,
chrome, et ie8) rien ne vient, jusqu'à obtenir une timeout !
Je ne sais vraiment pas quoi en penser Des suggestions ?
--
Rico
C'est souvent avec une femme idiote qu'on vit en bonne intelligence.
-+- Albert Willemetz (1887-1962) -+-
Poser une question
Si tu essayais une analyse de trame par elinks puis en suite firefox,
pour voir se qui en retourne ?
Idée en vrac du plus au moins probable.
- Proxy au niveau du navigateur ?
- Des images, Des pub, bloqué volontairement ?
Il peut arrive, me semble-t-il, que le blocage d'un nom de domaine
considéré comme indésirable est bloqué par un proxy. A pour conséquence,
lors du chargement de la page, il commence par le domaine bloqué puis il
tourne en rond jusqu’à te dire timeout.
Si tu as trouvé, pourrais-tu me communiquer qu'elle était l’anomalie et
la solution apporté.
Merci.
ZarkXe
On 05/24/2012 05:15 PM, Eric Belhomme wrote:
Je mettrais bien 10¤ sur une transition vers IPv6 mal finie.
Ici (et à la maison aussi), on a été obligé de désactiver l'IPv6 sur
plein de postes :
une requête DNS renvoie un A *et* un AAAA, mais le serveur, lui,
n'écoute que sur tcp4:80 J'en ai une liste d'une douzaine, comme ça...
Evidemment un traceroute[6] ne t'apprendra rien. Seul un nmap -6 révèle
le loup. Et as-tu essayé lynx -6 ?
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Xavier
Ou sur un trou de mtu. Ça peut faire des trucs comme ça aussi...
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
J'ai essayé aussi, sans rien régler. C'étaient à 100% (méthode
expérimentale reproductible) des sites que annonçaient un AAAA sans
écouter sur tcp6:80. Le dernier en date : doodle.com, débuggé pendant
plus d'une heure par mes soins, sous Win XP/Vista/7, MacOSX, et FreeBSD
Et une fois le problème identifié, ça se règle en 5 secondes.
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
dans le message
Une impossibilité d'accès à Clubic est révélateur d'une communication IP
présentant une "anomalie" (dans le sens le plus général du terme) car ils
ont des firewalls assez alambiqués.
Ce peut être en effet un problème de MTU.
--
Raphael Bouaziz.
Xavier a écrit :
Ce n'est pas le cas de clubic. Pas d'enregistrement AAAA.
Mais cela peut venir d'un élément inclus dans la page. Pour vérifier il
suffit de désactiver la résolution IPv6 dans le navigateur (facile avec
firefox).
Sinon, tcpdump/wireshark/etc est son ami.
C'est pour cela qu'il faut utiliser tcptraceroute6 sur le port considéré.
j'ai fait une capture de paquets avec wireshark et Chrome pour Debian 64
bits sur ma station de travail : j'ai 5 poignées de main TCP qui
aboutissent, puis un paquet GET / HTTP/1.1 et après, c'est le néant : le
HTTP GET n'obtient pas de réponse, la pite TCP tente des retransmissions,
puis j'ai un timeout
Ma MTU est à 1500, et passe correctement sur Internet... du moins
jusqu'aux sites web de Nerim et de google ;)
--
Rico
Je réponds ordinairement a ceux qui me demandent raison de mes voyages :
que je sais bien ce que je fuis, mais non ce que je cherche.
-+- Michel de Montaigne, Essais -+-
dans le message
Ca y ressemble tout à fait, j'aurais tendance à confirmer mon avis.
Il doit y avoir une réduction de la MTU sur le parcours, et le firewall
de Clubic empêche le fonctionnement normal d'IP pour traiter ce problème.
Lorsqu'on a mis en place la collecte 3G, on a utilisé le site de Clubic
pour définir les valeurs :-). Sur le réseau mobile il y a en effet pas mal
de points de "contraction" de MTU, et il a fallu définir une taille maximale
de MSS de 1360 octets.
Essaye de faire du MSS clamping à une valeur de ce type, et regarde ce
que ça peut donner sur cette session HTTP.
--
Raphael Bouaziz.