Root.cz přes IPv6 se nezobrazí ve Firefoxu

Re:Root.cz přes IPv6 se nezobrazí ve Firefoxu
« Odpověď #15 kdy: 06. 12. 2024, 01:10:12 »
O.K. tak si sám napíšu update.
Vrtalo mi to hlavou a ozkoušel jsem si to na Mikrotiku s VDSL modemem v bridge režimu (O2, Cetin).
PPPoE klient nastavený na MTU 1492, to chodilo podle předpokladu dobře.

Vyzkoušel jsem si všechny zmíněné scénáře

- Nenastavovat nic dál, nechat to na dynamické zjišťování PMTU až ke klientovi
ICMPv6 je ve výchozím nastavení RouterOS povolené, zpráva packet too big (PTB) prochází na stanice.
První spojení se nenaváže, ale vytvoří se záznam v lokální routovací tabulce s menším MTU pro hosta venku (server). Dá se v Linuxu ověřit přes ip -6 route show cache. Další spojení pak proběhne v pohodě s použitím nové MTU.

Horší pak je, jak se tohle chování projeví se standardními aplikacemi. Chrome i FF dlouho čeká na timeout s chybou, nebo se musí načítání stránky přerušit a refreshnout. Druhé spojení pak načte základní stránku, ale pak se typicky čeká znovu (další servery s reklamou, skripty, diskuzí atp.), takže zas přerušit a dát refresh. Totéž pak třeba telefon s iOSem. Prakticky nepoužitelné.

To btw. vysvětluje i to zdánlivě divné chování, co popisoval tazatel. Není to tak, že by to chodilo v konkrétním browseru a jiném ne. Pokud to zkouší nejprve v jedné aplikaci, tak se to nenačte, ale udělá se PMTU záznam a v druhé, co zkouší později, už to pak po dobu jeho platnosti záznamu chodí.

- MSS clamping
Na RouterOS jsem to naklikal v GUI pro mangle tabulku a forward chain. Případně přes konzoli něco jako:
Kód: [Vybrat]
/ipv6 firewall mangle add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes
protocol=tcp tcp-flags=syn

Tohle zafunguje vcelku spolehlivě a vyřeší problémy s načítáním většiny stránek.
Nevýhoda je, že to logicky funguje jen na TCP spojení. UDP spojení to neřeší, nemají MSS field.
Takže by se muselo spoléhat na to, že ty aplikace, co UDP používají, si vyřeší reconnect po zjištění PMTU (viz předchozí způsob). Nevím například, jak to je s aktuálním použitím QUIC/HTTP3, co běží přes UDP, jaké mají servery MTU, a jestli je dobré na tenhle workaround spoléhat do budoucna.

- snížení inzerovaného MTU v RA (ND) na 1492
To samozřejmě řeší komunikaci všemi protokoly, aby to prošlo přes WAN síť, a funguje spolehlivě. Nevýhoda už tu byla předtím zmíněná, pokud spolu klienti komunikují v LAN mezi sebou po IPv6, používají také menší MTU.
Otázka je, jak velký je tohle prakticky problém.. za mě je to pořád preferovaná varianta, jak to řešit pro většinu menších sítí.

Takže - pick your poison. A víceméně mi to odpovídá na otázku, proč třeba někteří výrobci SOHO routerů/modemů, které jsem viděl, měli ve výchozím nastavení všechno naráz - bylo povolené ICMPv6, MSS clamping a ještě k tomu replikovali MTU od upstream linky v RA.
« Poslední změna: 06. 12. 2024, 01:14:12 od Michal Šmucr »


Re:Root.cz přes IPv6 se nezobrazí ve Firefoxu
« Odpověď #16 kdy: 06. 12. 2024, 03:30:20 »
Mám router Mikrotik s nastavenou IPv6 a některé weby (root.cz, freebsd.org,...) se ve Firefoxu nenačtou, ale v Chrome ano. Po zobrazení v Chrome se ukáží i ve Firefoxu.

Když použiji router TP-Link Archer C7, tak vše běží bez problému. Tam se dají zapnout nějaké autokonfigurace, takže nevidím dovnitř nastavení.

curl načte http:// bleskově, ale tam je přesměrování na https:// a tam se už zasekne. root.cz

Měl jsem Mikrotika s IPv6 několik let a vše běželo dobře. Teď jsem koupil novější model a současně přešel z WiFi providera na DSL/PPPoE.

Router je dostupný na vnější IPv6 adrese a routuje i na global IPv6 co jsou ve vnitřní síti. Konfigurace by měla být v pořádku.

Nejsem první, kdo se s tím párá: https://www.reddit.com/r/ipv6/comments/qdk8kf/firefox_cant_open_some_ipv6_websites/

Bohužel nevidím řešení. Poskytovatel taky ne, prodejce routeru taky ne.

Děkuji předem za pomoc.

Problém s IPv6 (na DSL cetinu) jsem také měl jakmile vyšla verze firmware 7.16 takže jsem se vrátil na 7.15.3 jelikož nebyl čas to řešit a problém zmizel.

Teď už myslím verze 7.16.2 takže zkuste nejdříve na nejnovější a pokud ne zvažte downgrade.

Jimmyx

  • ***
  • 173
    • Zobrazit profil
    • E-mail
Re:Root.cz přes IPv6 se nezobrazí ve Firefoxu
« Odpověď #17 kdy: 06. 12. 2024, 07:45:50 »
Problém s IPv6 (na DSL cetinu) jsem také měl jakmile vyšla verze firmware 7.16 takže jsem se vrátil na 7.15.3 jelikož nebyl čas to řešit a problém zmizel.

Teď už myslím verze 7.16.2 takže zkuste nejdříve na nejnovější a pokud ne zvažte downgrade.
Nebyl problém v tomto viz change log 7.16.2 ?
*) route - fixed possible issue with inactive routes after reboot (introduced in v7.16);

Re:Root.cz přes IPv6 se nezobrazí ve Firefoxu
« Odpověď #18 kdy: 06. 12. 2024, 09:14:18 »
Problém s IPv6 (na DSL cetinu) jsem také měl jakmile vyšla verze firmware 7.16 takže jsem se vrátil na 7.15.3 jelikož nebyl čas to řešit a problém zmizel.

Teď už myslím verze 7.16.2 takže zkuste nejdříve na nejnovější a pokud ne zvažte downgrade.

Nemyslím si, že by to byl ten primární problém, o kterém píše. Jak pak vyplynulo z další diskuze, tak je to spíš věcí konfigurace (správná velikost MTU v PPPoE klientovi, případně její posílání v ND (RA) nebo přidání pravidla pro MSS clamping). Viz můj dlouhý post výše. Nesouvisí to až tak s případným bugem, pokud to není dobře nastaveno.

Mikrotik, který jsem používal na testy, měl firmware s RouterOS 7.13 tuším někdy z loňska.
Teď po testech jsem to aktualizoval 7.16.2, chovalo se to úplně stejně.


Re:Root.cz přes IPv6 se nezobrazí ve Firefoxu
« Odpověď #19 kdy: Dnes v 10:38:33 »
Ahoj, dobrý den,

konečně jsem se dostal k tomu, abych vaše návrhy vyzkoušel. Pomohlo snížení MTU na 1480. Číslo jsem převzal z vnějšího rozhraní, kde je toto MTU dáno asi od Cetinu. Nastavil jsem to jak pro RA do vnitřní sítě, tak v interfaces (Debian).

Proč se to nepřizpůsobilo automaticky netuším, ale je možné že právě Mikrotik "sám sobě" ten ICMP6 packet too big neposílá...

Díky moc za vaše rady a nápovědy.

Viktor