Браузеры клиентов в моей домашней сети с поддержкой IPv6 зависают и время ожидания при попытке загрузить https: // URL-адреса с определенных сайтов IPv6, например сайтов, управляемых CloudFlare. В этих ситуациях журнал в реальном времени на моем брандмауэре показывает, что он молча отбрасывает множество входящих RST-пакетов с удаленного HTTPS-сервера. Другие сайты IPv6, такие как https://ipv6.google.com загрузка сразу без проблем, отправка небольших или нулевых пакетов RST в мою сеть. Единственный успешный обходной путь, который у меня есть сейчас, - это политика брандмауэра, которая блокирует исходящий HTTPS-доступ к определенным диапазонам адресов IPv6, эффективно вынуждая браузеры обращаться к проблемным HTTPS-серверам по IPv4. Менее привлекательный вариант - полностью отключить IPv6, отключив 6rd и radvd.

Вот некоторые подробности об окружающей среде:

  • Интернет-соединение - CenturyLink ADSL2 + PPPoE с одним статическим IPv4-адресом.
  • DSL модем есть Actiontec C1000A с применением последней прошивки
  • Брандмауэр есть Sophos UTM v9.2 , который обрабатывает DHCP, пересылку DNS, фильтр пакетов и внутри radvd
  • Модем обрабатывает NAT для IPv4 и 6-й для IPv6
  • Сети, совместно используемые модемом LAN и внешним интерфейсом брандмауэра: 192.168.0.0/24 и fd00 :: / 64
  • Сети, совместно используемые клиентскими компьютерами и внутренним интерфейсом брандмауэра: 192.168.1.0/24 и 2602: xxxx: xxxx: xxxx :: / 64
  • Трафик направляется из локальной сети модема во внешний интерфейс брандмауэра через статические маршруты на модеме вместо NAT на брандмауэре

Когда дело доходит до HTTPS через IPv6, сайты Google загружаются нормально, в то время как сайты, размещенные в CloudFlare, неизменно дают сбой. Обе это большие компании с командами сетевых экспертов, поэтому я даже не уверен, что CloudFlare делает что-то здесь не так.

Кто-нибудь еще видел, как HTTPS-серверы CloudFlare отправляют множество пакетов сброса по IPv6, но не по IPv4?

Может ли мой провайдер CenturyLink подделывать пакеты RST в какой-то ошибочной попытке помочь или защитить меня?

Отправляется ли сброс, потому что мой браузер недоволен каким-то аспектом реализации SSL на сервере?

Fred Sobotka
источник