如何解决此网络连接超时问题?

tag-icon tag-icon networking
如何解决此网络连接超时问题?

我遇到了一个奇怪的网络问题,这是我以前从未见过的。

我无法从本地计算机访问远程服务器,但我可以从办公室网络外的其他计算机访问它:https://raa.namecheap.com/

经过抵达, 我是说HTTP路由追踪

连接超时。没有响应标头。

我的办公室网络连接没有什么特别之处;这是一个普通的康卡斯特住宅帐户,没有代理,没有防火墙,没有 URL 阻止,什么都没有。这是一个普通的有线连接;基本上在 DMZ 中。

服务器运行良好,仅位于我的办公室位置

语境

Namecheap 向我发送了一封验证电子邮件,其中有一个链接需要我访问,但无法从我的办公室位置加载:

https://raa.namecheap.com/ConfirmProfile.aspx?VerificationKey=xxx

故障排除

我尝试了以下方法:

  • Namecheap 技术人员确认 raa.namecheap.com 没有阻止我的 IP
  • 从我的办公室位置加载原始 Win10 VM,安装全新的 Chrome。没有用
  • 更换了我的康卡斯特调制解调器;获得了新的公共 IP 分配。没有用
  • 使用了几个不同的 DNS 服务器,包括默认的 Comcast。没有用
  • 使用 kproxy.com 成功连接
  • 使用 Lynx 通过 SSH 成功连接到我的远程服务器
  • 已成功通过手机 5G 连接

我联系过的许多 Namecheap 技术人员中的一位表示,这可能是从我的办公室到目标服务器的某一个跳转过程中的缓存问题。

Namecheap 技术人员必须单击链接才能让我完成验证,但问题仍然存在,到底发生了什么?

编辑

这是来自我办公室本地 Debian VM 的跟踪路由。我不知道如何排除故障SSH 端口转发,正如下面的评论所建议的那样。

跟踪路由

MTR 显示的路线与我从 Windows 主机看到的路线相同:

在此处输入图片描述

编辑

如果有人愿意发布带有故障排除想法的答案,我会研究它并发布我的结果。我真的想知道发生了什么。这让我发疯了。如果无法修复,我可以忍受,但我真的很想知道发生了什么。

编辑

添加了一些调制解调器防火墙设置和内部调制解调器 ping/traceroute 测试的屏幕截图。

调制解调器防火墙设置

调制解调器 ping/跟踪路由测试

编辑

tcptraceroute根据以下建议,这是输出。

tcptraceroute

答案1

在开始更改自己网络上的所有内容之前,你可以使用康卡斯特路由器自己的路由视图服务器检查其连接性:ssh[电子邮件保护]

********************************************************************************
                       Comcast Backbone Route Server
        This route server is provided by Comcast National Engineering to provide 
visibility into the Internet routing table from the perspective of Comcast's 
network.  

Supported IPv4 Commands  
ping x.x.x.x <cr>       
traceroute x.x.x.x <cr> 
show bgp x.x.x.x <cr> 
show bgp x.x.x.x/y <cr> 
show bgp x.x.x.x/y longer-prefixes <cr> 

Supported IPv6 Commands       
ping ipv6 x:x:x::x <cr> 
traceroute ipv6 x:x:x::x <cr> 
show bgp ipv6 unicast x:x:x:x::x  <cr> 
show bgp ipv6 unicast x:x:x:x::x/y  <cr> 
show bgp ipv6 unicast x:x:x:x::x/y longer-prefixes <cr> 

Note: Due to high CPU utilization on this device, ping and traceroute results
may be unreliable.  This route server should not be used to measure network
performance as a result.

Login with username: rviewsxr

Location:   New York City
Network:  Comcast Route Server
********************************************************************************

一旦连接,您就可以查看该地址是否可从康卡斯特路由器路由。

一些快速测试表明,您看到的结果不仅仅特定于您的网络:

RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#ping 198.54.117.244
Mon Aug  8 19:32:40.178 utc
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.54.117.244, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

如果终端节点阻止 ICMP,则进行路由跟踪

RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#traceroute 198.54.117.244
Mon Aug  8 19:38:00.349 utc

Type escape sequence to abort.
Tracing the route to 198.54.117.244

 1   *  *  * 
 2   *  *  * 
 3   *  *  * 
 4   *  *  * 
 <--SNIP-->
 30  *  *  * 
RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#

该路线存在于他们的表中,但康卡斯特和 Incapsula (ASN 19551) 之间发生了一些奇怪的事情

RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#show bgp 198.54.117.0/24
Mon Aug  8 19:35:04.378 utc
BGP routing table entry for 198.54.117.0/24
Versions:
  Process           bRIB/RIB  SendTblVer
  Speaker          280867491   280867491
Last Modified: Jul 15 06:03:10.014 for 1y03w
Paths: (1 available, best #1)
  Not advertised to any peer
  Path #1: Received by speaker 0
  Not advertised to any peer
  19551 22612, (received & used)
    66.208.229.9 from 66.208.229.9 (68.86.1.48)
      Origin IGP, metric 0, localpref 275, valid, internal, best, group-best
      Received Path ID 0, Local Path ID 0, version 280867491
      Community: 7922:402 7922:3020
      Originator: 68.86.1.48, Cluster list: 96.109.22.250, 96.109.22.30
RP/0/RSP0/CPU0:route-server.newyork.ny.ibone#

从表面上看,这不是本地网络问题。您可以尝试向 Comcast 开具一张票据,但您可能更愿意让 Namecheap 知道 XFinity/Comcast 用户无法访问他们的服务,并且他们应该通知他们的提供商(Incapsula)。

祝你好运!

答案2

已经过去好几年了,但我在康卡斯特网络上遇到过同样的问题。我注意到某些 IP 地址无法访问。就像你一样,traceroute 会显示几个可访问的跳数,然后在传输过程中死机。问题总是出现在我的网络之外。但事实证明并非如此。

这是调制解调器中的“网关智能数据包检测”设置。需要禁用它,默认情况下它是启用的。但是,我认为这可能是一个较旧的选项,我认为他们也开始默认禁用它,因为它太麻烦了。

但是,由于问题完全相同,如果他们以某种形式重新引入此功能,我也不会感到惊讶。 尤其是如果它是 SMC 设备。

如果我没记错的话,关闭调制解调器电源后再开机可以在短时间内解决问题。如果你的情况是那样,那么可以肯定是这个功能或其同类功能造成的。

这是我在旧设备上习惯使用的设置的屏幕截图:https://routerhelp.net/tips-and-tricks/disable-smart-packet-inspection-on-comcast-smc-gateway/

以下是它所导致的一些问题: https://support.therapynotes.com/article/89-comcast-gateway-smart-packet-detection

并且:

https://ckdake.com/content/2008/disable-gateway-smart-packet-detection

如果您运行的是静态 IP,您还应该使用“仅为真正的静态 IP 子网禁用防火墙”选项。或者,除了所有这些之外,根据您的调制解调器,确保在使用静态 IP 时它处于桥接模式 - 这需要在其后面有一个路由器。

答案3

传统的通过 UDP 传输的跟踪路由数据包在网络上被过滤/阻止/丢弃。

您可能想尝试 tcptraceroute 来查看不同的图片。

我发现有几个无法访问目标 IP 的原因:

  • 防火墙规则(本地,或沿途其他地方/目标网络;您似乎已删除“本地”选项);
  • 路径上路由表/BGP配置错误;
  • 康卡斯特的其他产品。

第二种情况可能是路由循环,即 ICMP 数据包陷入循环,并且路由跟踪超时。或者路由器可能在撒谎,并且实际上不知道如何继续下一步。

遗憾的是,我认为你无法强迫你的流量到达目的地通过中间主机(就像您在地图上可以从 A 经由 C 到达 B 一样)。

也许您可以打开一个与越来越远的主机的 VPN 连接,这样就可以完全绕过这些路由。

您是否尝试过使用不同的物理网络来获得新的网络接口?(例如通过您的手机热点、5G 网络等)

相关内容