Problema con web que usan Cloudflare
Hola, buenas tardes. Parece que Movistar está bloqueando las conexiones a webs (entre ellas la mía) que usan Cloudflare o está teniendo problemas de enrutamiento. Ocurre solo con fibra, desde redes m...
Foro
Para que quede claro, las pruebas no fueron realizadas en igualdad de condiciones. La conexión de O2 es fibra óptica, mientras que la conexión de Yoigo se realizó mediante tethering 4G con un móvil antiguo y con cobertura media.
A priori, la conexión de O2 debería ser mucho más rápida y eficiente pero funciona y nadie nos llama vendiendo mas cosas.
Sin embargo, es precisamente en esa conexión donde se produce la anomalía en el traceroute y donde aparecen los errores Soft 404 reflejados en GSC. Esto demuestra que el problema no es la velocidad de la conexión, sino la forma en que Telefónica/O2 está gestionando el tráfico. Un traceroute debería mostrar la ruta de conexión independientemente de la velocidad. El hecho de que con O2 no se vea la ruta hacia Cloudflare es, cuanto menos, sospechoso. De hecho, si nos ponemos a pensar un poco... parece un "secuestro" de manual.
Me parece injusto que se intente desacreditar mis pruebas, realizadas con rigor, simplemente porque una conexión es más rápida que la otra. Lo que importa aquí es la ruta que sigue el tráfico, no la velocidad a la que lo hace. Y esa ruta, en el caso de O2, no es la correcta. No voy a permitir que se beneficien de mis resultados de investigación sin que se reconozca la gravedad del problema que he expuesto y sin que se me ofrezca una solución.
Ahora si mi ultimo post y me voy de aquí:
Hola Theliel,
Agradezco tu explicación, pero sigo sin estar de acuerdo con tu interpretación. Dices que es "normal" que el tráfico pase por la red de Telefónica, pero olvidas un detalle fundamental: no soy cliente de Telefónica/O2, ni he solicitado que intervengan en mi conexión.
Insistes en que "es simplemente como funciona Internet", pero el traceroute a creatia.app a través de O2 no muestra los nodos de Cloudflare que sí aparecen con otros operadores. Eso no es normal.
El problema no es que el tráfico pase por la red de Telefónica, sino que Telefónica/O2 parece estar resolviendo las peticiones a mi web desde su propia infraestructura, sin pasar por Cloudflare. Eso es lo que indica el traceroute y eso es lo que, a mi entender, se asemeja a un "middleman" no autorizado, aunque no sea el clásico.
Dices que "Movistar está enrutando el tráfico por su red hacia el destino, sin más". Pero, ¿por qué no enruta hacia Cloudflare, que es donde está alojada mi web? ¿Por qué los errores Soft 404 solo ocurren con O2? ¿Por qué, como tú mismo indicas, se ha caído estos días el acceso a webs en planes gratuitos de Cloudflare desde Movistar, y no desde otros operadores? ¿Qué tiene que ver la configuración gratuita de Cloudflare para que Telefónica se salte a Cloudflare y enrute a su antojo?
Tú mismo reconoces que Telefónica tiene un "peer propio" con Cloudflare. Entonces, ¿por qué no lo usa en este caso? ¿Por qué el tráfico se desvía por la infraestructura de Telefónica en lugar de seguir la ruta directa hacia Cloudflare?
Me preocupa que se normalice una situación en la que un operador, sin mi consentimiento, decide cómo y dónde se sirve mi web. Esto, a mi juicio, afecta a la neutralidad de la red y a la seguridad de las comunicaciones, y me deja en una situación de completa indefensión como titular del dominio.
Insisto en que no se trata de un problema de latencia o eficiencia, sino de una cuestión de principios y de control sobre mi propia web.
Si Telefónica/O2 no estuviera interceptando y cacheando el tráfico, los cambios realizados por Cloudflare no habrían provocado la caída de mi web ni los errores Soft 404.
Agradecería que, en lugar de justificar la actuación de Telefónica/O2, se investigara a fondo este problema y se diera una explicación clara y transparente. Los usuarios merecemos saber qué está pasando con nuestro tráfico en Internet.
Por cierto, la respuesta de INCIBE-CERT, borrada por moderación (curioso, ¿no?), aunque no clasificaba el incidente como de seguridad, sí reconocía problemas de conexión entre Telefónica y Cloudflare.
¡Hasta luego!
(este ha sido mi último post)
Oscar
Buenas odlfg
Da exactamente igual que seas o no cliente de Movistar para pasar por la red troncal de Telefónica, como te he dicho Telefonica es un Tier1 por el que circula tráfico de medio mundo. Y para nada estoy alegando ni mucho menos la latencia de la conexión para ello, que por cierto nada tiene que ver con la velocidad.
La ruta en ambos tracer son igualmente correctas. Dices que no pasa el tráfico a la red de CloudFlare? Claro que se enruta hacia ellos en ambas pruebas que has puesto:
9 188.114.108.57 (188.114.108.57) 14.617 ms
188.114.108.55 (188.114.108.55) 13.027 ms
188.114.108.53 (188.114.108.53) 11.617 ms
10 104.21.96.1 (104.21.96.1) 12.356 ms 12.231 ms 11.978 ms
Ese salto, es la red de CloudFlare, el contenido no te lo sirve Movistar!! En el salto 9 son sus servidores, nada tiene que ver con Movistar compañero. Del mismo modo en el otro tracert
9 cloudflare.alta.espanix.net (185.79.175.179) 75.048 ms 35.858 ms 52.702 ms
10 188.114.108.9 (188.114.108.9) 46.529 ms
188.114.108.55 (188.114.108.55) 61.191 ms 39.004 ms
11 104.21.64.1 (104.21.64.1) 47.438 ms 31.939 ms 38.343 ms
El salto 9 en este caso es el punto de intercambio de espanix con Clouflare, donde en el 10 está ya en la red de CloudFlare.
Ni mucho menos intento deslegitimar tus pruebas, es más, hablan por si mismas y cualquiera puede repetirlas si quiere, con diferentes resultados ya que desde cada ubicación serán diferentes. En ambos casos el trazado es totalmente correcto, y mucho mucho mucho menos quiere decir que exista ningún tipo de secuestro de tráfico o interceptación ni historias varias.
Es normal que si Telefonica tiene un peer con Cloudflare el tráfico pase por la red de Telefonica (que no Movistar, que es diferente) y entre en ClodFlare. Y esto tanto si tu conexión es de O2 o cualquier otra. Eso no quiere decir que el único camino posible hacia CloudFlare sea pasar por la red de Telefónica, si has mirado el enlace previo CloudFlare tiene cientos de Peer, con lo que el tráfico hacia ellos puede pasar en un momento dado por cualquiera de ellos... obviamente esto no es del todo correcto dado que depende enormemente la ubicación geográfica. En cualquier caso, es totalmente normal.
Respecto a la respuesta que copiaste/pegaste me llego el correo pro estar suscrito a este hilo. Seguramente salgó filtros de SPAM teniendo en cuenta el contenido que había, desde direcciones de correo, enlaces, y un largo etc... vamos, que es totalmente normal que se borrase. SI te hubieses limitado a copiar/pegar el texto no habría mayores problemas.
De echo, en el correo que haces alusión, sacado del copiar/pegar que pusiste, no se donde dices que pone que se aprecia algo raro, dice todo lo contrario:
"Debemos insistir en que, desde INCIBE-CERT, no apreciamos indicios de que exista un incidente de seguridad que esté comprendido en nuestras funciones, que puede consultar en el siguiente enlace"
"Insistimos en que su traza no demuestra que Telefónica esté secuestrando su tráfico, sino que está realizando una traza desde un recurso que usa su infraestructura al ser realizada desde una conexión a Internet que presta esta compañía, motivo por el que estas rutas estáticas no aparecen si sale a Internet por otro proveedor o a través de una VPN"
Honestamente, no veo en todo ello donde dicen que pasa algo raro. Lo que te están diciendo en el primer párrafo es que no existe indicio ni problemas que ellos deban siquiera investigar. Y en el segundo te explican a groso modo lo mismo que te he dicho previamente.
---------
Para terminar, en cualquier caso, y como ya te he dicho en mi anterior respuesta, cualquier detalle que no estés de acuerdo podemos debatirlo tranquilamente y sin problema alguno. Si no te parece adecuado, o como dices quieres dar el tema por zanjado, no hay tampoco mayor problema por mi parte.
Un saludo.
