проблема с Google ресурсами с Android

[kisa]

День добрый!

 

Помогите пожалуйста найти способ решения, диагностирования следующей проблемы.

 

Перестали проигрываться видео c youtube и скачиваться приложения с андроид маркета.

Все это только на андроид устройствах. Проблема появилась после перехода с статической маршрутизации и использования PA адресов

на использование bgp и PI адреса. Не на андроидах проблемы нет. На втором канале через другого провайдера проблем тоже нет. На каждого

из провайдеров анонсируется /24 и /23. Т.е. то, что работает на втором провайдере - работает через другую /24 подсеть.

 

 

Аплинки пока не могут ничего подсказать.

Написал в гугл, попросил посмотреть видеть ли они мои анонсы - видят. Но, что странно, не видят анонс /24 сети, который идет через второго аплинка,

через который как раз все работает.

 

Куда копать?

Спасибо.

[MMM]

mtu/mss нормальные?

[kisa]

mtu/mss нормальные?

Доступ через accel pptp

min-mtu=1000

mtu=1400

mru=1400

 

Была бы в них проблема, не работало бы с PA адресами или через другой аплинк, нет?

[asdvortsov]

У нас такая же трабла, только с обоими аплинками. Пока решено временно "костылём". Суть костыля - натить всех, обращающихся к гугловским сервисам на IP одного из аплинков. Ни каких vpn тоннелей по пути к серверам гугла, согласно заверениям вышестоящих нет. MTU/MRU на всех интерфейсах одинаковые. Что это за хрень и из-за чего появилась, вообще не ясно.

[Ivan_83]

А подебажить не?

Запускаем tcpdump на стендовом роутере и смотрим что подопечный шлёт и что получает.

[mousus]

роут объекты в райпе нормально созданы? и для /23 и для /24 префиксов? что looking glass показывают? что показывают средства мониторинга доступности вашей AS с сетей других операторов?

[kisa]

роут объекты в райпе нормально созданы? и для /23 и для /24 префиксов? что looking glass показывают? что показывают средства мониторинга доступности вашей AS с сетей других операторов?

Роут объекты созданы для всех префиксов. Всего 3 роут объекта. Looking glass различных операторов показывает, что все ок.

одна /24 доступна через одного оператора, другая /24 через другого. Вот с /23 в лукинг гласс немного для меня непонятно, по идее

они должны показывать два маршрута для /23, но на практике я вижу только один маршрут /23. Возможно, показывается только лучший.

 

Looking glass google я не нашел, но я отписал их noc. Они видят /24, /23 через через 1ого аплинка, с которого как раз не работает. НО! не видят /24 маршрут, который должен идти через 2ого аплинка, на котором как раз все ок.

 

А подебажить не?

Запускаем tcpdump на стендовом роутере и смотрим что подопечный шлёт и что получает.

Я это делал, нарыл кучу айпишников. Проверил доступны ли они. Доступны. А что делать дальше с этими дампами? Известно, что для работы андроид маркета должен быть открыт определенный tcp порт, не помню сейчас уже какой. Но фильтров нигде нет, у нас нет, у операторов тоже.

Edited July 3, 2012 by kisa

[mousus]

попробуйте обоим аплинкам анонсировать обе /24 и суммарную /23 отдельными префиксами, плюс проверьте нет ли фильтрации у проблемного аплинка на ваши префиксы -- может они чего то не докрутили

[kisa]

попробуйте обоим аплинкам анонсировать обе /24 и суммарную /23 отдельными префиксами, плюс проверьте нет ли фильтрации у проблемного аплинка на ваши префиксы -- может они чего то не докрутили

Так я не могу сделать, у нас 2 пограничных роутера, на каждом свой нат, таблицы не синхронизируются, польется через оба канала, нат не сработает.

[asdvortsov]

У нас на пример одна /22 сетка в одном городе и /24 в другом. Висят в одной AS но фактически ни как не пересекаются. 2 магистральщика. Пробовал из конфига выкидывать все фильтры, защиты as-path и прочее, оставляя одного магистральщика и минимально допустимую конфигурацию для того, чтобы сеточка поднялась. Переписал конфиг на параметры от другого магистральщика. Ни какого эффекта. Что в одном городе, что в другом. Ничего не изменилось.

[mousus]

возможно при вашей конфигурации получается так, что входящий и исходящий трафик до конкретного префикса у гугла идут разными путями по двум вашим аплинкам и топравляясь по одному не возвращаются по второму, у вас не поднята между бордерами iBGP сессия?

[asdvortsov]

возможно при вашей конфигурации получается так, что входящий и исходящий трафик до конкретного префикса у гугла идут разными путями по двум вашим аплинкам и топравляясь по одному не возвращаются по второму, у вас не поднята между бордерами iBGP сессия?

 

Пробовал из конфига выкидывать все фильтры, защиты as-path и прочее, оставляя одного магистральщика.

Т.Е. оставался один аплинк. Второй даже физически выключался!

[kisa]

возможно при вашей конфигурации получается так, что входящий и исходящий трафик до конкретного префикса у гугла идут разными путями по двум вашим аплинкам и топравляясь по одному не возвращаются по второму, у вас не поднята между бордерами iBGP сессия?

iBGP поднят, это бы не было проблемой.

 

Проблема оказалось в другом, только что 1-ый магистральный провайдер уменьшил mtu до 1500. После этого все заработало.

Edited July 3, 2012 by kisa

[asdvortsov]

kisa

Проблема оказалось в другом, только что 1-ый магистральный провайдер уменьшил mtu до 1500. После этого все заработало.

Не могли бы вы по подробнее об этом?

[kisa]

kisa

Проблема оказалось в другом, только что 1-ый магистральный провайдер уменьшил mtu до 1500. После этого все заработало.

Не могли бы вы по подробнее об этом?

У аплинка на интерфейсе к нам был mtu большее 1500.

 

При скачивании видео видимо идут пакеты большее 1500, для нашего аплинка это ок, вот в нашей сети такие большие пакеты могли просто теряться даже не доходя до пограничного маршрутизатора, или что более вероятно они очень не нравились андроиду. Как только аплинк уменьшил мту до 1500 все заработало.

[martin74]

или же у вас на маршрутизаторе слишком много icmp закрыто ;)

[st_re]

А тисипидамп установления сессии можно глянуть? на предмет options [mss ХХХХ от андроида ? Через что оно подключено, что mtu вышел больше 1500 ?

[kisa]

или же у вас на маршрутизаторе слишком много icmp закрыто ;)

Да вроде нет.

icmp везде обрабатывается вот такой цепочкой:

 

 

iptables -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT

iptables -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT

iptables -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT

iptables -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT

iptables -A icmp-acc -p icmp --icmp-type ping -j ACCEPT

iptables -A icmp-acc -p icmp --icmp-type pong -j ACCEPT

[kisa]

Поработало один и снова отвалилось ((

[Gor1k]

такая же проблема.

связана она с ip AS

подставляли в NAT ip адреса другого провайдера.. все работает.

общаюсь пока с поддержкой google youtube

 

да кстати, андройд маркет у меня заработал, но не понятно почему, вроде как сам.. :)

а ютуб не работает на андройде и иос .

 

по словам народа не работает с середины июня

[kisa]

У аплинка на интерфейсе к нам был mtu большее 1500.

 

При скачивании видео видимо идут пакеты большее 1500, для нашего аплинка это ок, вот в нашей сети такие большие пакеты могли просто теряться даже не доходя до пограничного маршрутизатора, или что более вероятно они очень не нравились андроиду. Как только аплинк уменьшил мту до 1500 все заработало.

Изменение мту оказалось просто совпадением. В этот день bgpd по каким-то причинам не отдавал анонсы второму аплинку и весь мир видел /24 и /23 только через первого аплинка. Т.е. все работает, когда нет анонсов через второй канал. Продолжаю разбираться.