Frage
Antwort
Lösung
Hallo Vodafone-Team,
ich wende mich an das Community-Team, da wir ein schwerwiegendes, netzweites Routing- und Peering-Problem festgestellt haben, das Kunden im gesamten Vodafone-Netz (sowohl GigaCube/Mobilfunk als auch Kabel/Festnetz) betrifft.
Das Problem: Die Webseite buchungen.memomed.de (wird via CNAME auf memomed.wundercoach.net weitergeleitet) ist aus dem Vodafone-Netz heraus nicht erreichbar. Aus Netzen anderer Anbieter (Telekom, o2) funktioniert der Zugriff dagegen einwandfrei.
Technische Analyse & Beweise: Ein tracert auf die Domain zeigt, dass die Namensauflösung funktioniert, der Traffic jedoch ab Schritt 15/16 (Übergang vom Twelve99-Backbone zu DigitalOcean/Cloudflare) ins Leere läuft bzw. blockiert wird.
Die genaue Ursache konnten wir über einen detaillierten curl-Aufruf isolieren. Es liegt ein schwerwiegender SSL/TLS-Handshake-Fehler über IPv6 vor. Windows bricht die Verbindung mit der Fehlermeldung SEC_E_ILLEGAL_MESSAGE (0x80090326) hart ab. Das deutet darauf hin, dass auf dem IPv6-Weg zwischen Vodafone und Cloudflare Datenpakete fragmentiert oder korrumpiert werden (wahrscheinlich ein MTU-/MSS-Konflikt im Backbone), wodurch der Krypto-Handshake fehlschlägt.
Zwingt man den Client über IPv4 (curl -4), läuft die Verbindung fehlerfrei durch. Da Cloudflare jedoch standardmäßig IPv6 erzwingt, scheitern reguläre Webaufrufe von Vodafone-Kunden im Browser komplett.
Hier der relevante Log des Verbindungsabbruchs:
C:\Users\user>curl -v https://buchungen.memomed.de * Host buchungen.memomed.de:443 was resolved. * IPv6: 2606:4700:3031::6815:2f30, 2606:4700:3033::ac43:9077 * IPv4: 104.21.47.48, 172.67.144.119 * Trying [2606:4700:3031::6815:2f30]:443... * schannel: disabled automatic use of client certificate * ALPN: curl offers http/1.1 * schannel: next InitializeSecurityContext failed: SEC_E_ILLEGAL_MESSAGE (0x80090326) – This error usually occurs when a fatal SSL/TLS alert is received (e.g. handshake failed). More detail may be available in the Windows System event log. * closing connection #0 curl: (35) schannel: next InitializeSecurityContext failed: SEC_E_ILLEGAL_MESSAGE (0x80090326)
Zusammenfassung für die Technik:
Ziel-IPs (Cloudflare-Anycast): 2606:4700:3031::6815:2f30
Fehlerort: IPv6-Backbone-Übergang zu Cloudflare / AS14061 (DigitalOcean)
Symptom: Korrupte Paketübertragung beim TLS-Handshake über IPv6.
Da der betroffene Dienst ein Buchungssystem für Kunden ist, entsteht hierdurch aktuell ein wirtschaftlicher Schaden, da Vodafone-Kunden nicht buchen können. Bitte leitet diese Daten an das Netzwerk-Engineering / Core-Technik weiter, damit das Peering bzw. die MTU-Verarbeitung auf diesem IPv6-Routingpfad überprüft wird.
Vielen Dank für die Unterstützung!
