Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: honzahommer 14. 07. 2019, 22:51:49
-
Server odpoví na portu 80 hlavičkou 302, na portu 443 se sice spojení naváže, ale už nezobrazí žádnou odpověď.
$ wget --server-response -6O- http://www.seznam.cz
--2019-07-14 22:39:44-- http://www.seznam.cz/
Resolving www.seznam.cz (www.seznam.cz)... 2a02:598:4444:1::1, 2a02:598:3333:1::2, 2a02:598:4444:1::2, ...
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 302 Moved Temporarily
Server: nginx
Date: Sun, 14 Jul 2019 20:39:44 GMT
Content-Type: text/html
Content-Length: 154
Connection: keep-alive
Location: https://www.seznam.cz/
Location: https://www.seznam.cz/ [following]
--2019-07-14 22:39:44-- https://www.seznam.cz/
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:443... connected.
Jiná jejich doména, třeba https://napoveda.seznam.cz (https://napoveda.seznam.cz) funguje bez problémů (jen je na jiném rozsahu adres).
$ wget --server-response -6O- http://napoveda.seznam.cz | more
--2019-07-14 22:41:01-- http://napoveda.seznam.cz/
Resolving napoveda.seznam.cz (napoveda.seznam.cz)... 2a02:598:a::78:154, 2a02:598:2::154
Connecting to napoveda.seznam.cz (napoveda.seznam.cz)|2a02:598:a::78:154|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 301 Moved Permanently
Server: nginx/1.14.1
Date: Sun, 14 Jul 2019 20:41:01 GMT
Content-Type: text/html
Content-Length: 185
Connection: keep-alive
Location: https://napoveda.seznam.cz/
Location: https://napoveda.seznam.cz/ [following]
--2019-07-14 22:41:01-- https://napoveda.seznam.cz/
Connecting to napoveda.seznam.cz (napoveda.seznam.cz)|2a02:598:a::78:154|:443... connected.
HTTP request sent, awaiting response...
HTTP/1.1 302 Found
Server: nginx/1.14.1
Date: Sun, 14 Jul 2019 20:41:01 GMT
Content-Type: text/html; charset=iso-8859-1
Content-Length: 214
Connection: keep-alive
Location: https://napoveda.seznam.cz/cz/
Location: https://napoveda.seznam.cz/cz/ [following]
--2019-07-14 22:41:01-- https://napoveda.seznam.cz/cz/
Reusing existing connection to [napoveda.seznam.cz]:443.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx/1.14.1
Date: Sun, 14 Jul 2019 20:41:02 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Language,Cookie
Content-Language: cs-cz
Set-Cookie: page_helpful_trace=17482; Domain=napoveda.seznam.cz; expires=Sun, 14-Jul-2019 23:41:02 GMT; Max-Age=10800; Path=/
Length: unspecified [text/html]
Saving to: ‘STDOUT’
-
To vypada jako kdyby se nekde na ceste objevilo MTU mensi nez 1500 a zaroven nekdo zahodil ICMPv6 Packet Too Big.
Mate nativni nebo tunelovanou konektivitu? Jaky je to ISP, jaky je ISP prefix Vasi site? (Klidne anonymizovany na uroven /40.)
-
To vypada jako kdyby se nekde na ceste objevilo MTU mensi nez 1500 a zaroven nekdo zahodil ICMPv6 Packet Too Big.
Mate nativni nebo tunelovanou konektivitu? Jaky je to ISP, jaky je ISP prefix Vasi site? (Klidne anonymizovany na uroven /40.)
Používám tunnel od HE (a jsem si jistý, že to dříve fungovalo). Zkoušel jsem z prefixů 2001:470:5c42::/48 (PRG) a 2001:470:70d9::/48 (FRA).
-
Taky mám tunel od HE a nefunguje. Poslední týdny se to občas děje, pak se to samo rozjede, pak zase nejde.
-
Děje se to přímo na koncovém bodu tunelu, nebo až na dalším počítači? Skutečně to vypadá na problém s nefunkční Path MTU Discovery. Doporučuji sledovat wiresharkem, co chodí v tunelu. Pokud to občas chodí a občas ne, je možné, že někdo v cestě mezi koncem tunelu na straně HE a Seznamem částečně filtruje ICMPv6 zprávy.
Jako workaround pro TCP spojení by mělo pomoci na odchozím směru nakonfigurovat MSS clamping na hodnotu MTU tunelu, nebo snížit hodnotu MTU v celé síti.
EDIT: Na mém koncovém bodu tunelu od HE to funguje bez problému.
-
Děje se to přímo na koncovém bodu tunelu, nebo až na dalším počítači? Skutečně to vypadá na problém s nefunkční Path MTU Discovery. Doporučuji sledovat wiresharkem, co chodí v tunelu. Pokud to občas chodí a občas ne, je možné, že někdo v cestě mezi koncem tunelu na straně HE a Seznamem částečně filtruje ICMPv6 zprávy.
Jako workaround pro TCP spojení by mělo pomoci na odchozím směru nakonfigurovat MSS clamping na hodnotu MTU tunelu, nebo snížit hodnotu MTU v celé síti.
EDIT: Na mém koncovém bodu tunelu od HE to funguje bez problému.
Nejde to již na routeru. Narychlo jsem vyřešil blokací AAAA záznamů pro zóny seznam.cz a www.seznam.cz DNS resolveru.
Edit: Tak dnes to funguje bez problémů...
$ wget --server-response -6O- http://www.seznam.cz | more
--2019-07-15 11:02:48-- http://www.seznam.cz/
Resolving www.seznam.cz (www.seznam.cz)... 2a02:598:4444:1::1, 2a02:598:4444:1::2, 2a02:598:3333:1::2, ...
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:80... connected.
HTTP request sent, awaiting response...
HTTP/1.1 302 Moved Temporarily
Server: nginx
Date: Mon, 15 Jul 2019 09:02:48 GMT
Content-Type: text/html
Content-Length: 154
Connection: keep-alive
Location: https://www.seznam.cz/
Location: https://www.seznam.cz/ [following]
--2019-07-15 11:02:48-- https://www.seznam.cz/
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:443... connected.
HTTP request sent, awaiting response...
HTTP/1.1 200 OK
Server: nginx
Date: Mon, 15 Jul 2019 09:02:49 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
X-Frame-Options: SAMEORIGIN
Content-Security-Policy: frame-ancestors 'self'
Content-Encoding: gzip
Length: unspecified [text/html]
Saving to: ‘STDOUT’