Jde vám www.seznam.cz po IPv6?

Jde vám www.seznam.cz po IPv6?
« kdy: 14. 07. 2019, 22:51:49 »
Server odpoví na portu 80 hlavičkou 302, na portu 443 se sice spojení naváže, ale už nezobrazí žádnou odpověď.

Kód: [Vybrat]
$ wget --server-response -6O- http://www.seznam.cz
--2019-07-14 22:39:44--  http://www.seznam.cz/
Resolving www.seznam.cz (www.seznam.cz)... 2a02:598:4444:1::1, 2a02:598:3333:1::2, 2a02:598:4444:1::2, ...
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 302 Moved Temporarily
  Server: nginx
  Date: Sun, 14 Jul 2019 20:39:44 GMT
  Content-Type: text/html
  Content-Length: 154
  Connection: keep-alive
  Location: https://www.seznam.cz/
Location: https://www.seznam.cz/ [following]
--2019-07-14 22:39:44--  https://www.seznam.cz/
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:443... connected.

Jiná jejich doména, třeba https://napoveda.seznam.cz funguje bez problémů (jen je na jiném rozsahu adres).

Kód: [Vybrat]
$ wget --server-response -6O- http://napoveda.seznam.cz | more
--2019-07-14 22:41:01--  http://napoveda.seznam.cz/
Resolving napoveda.seznam.cz (napoveda.seznam.cz)... 2a02:598:a::78:154, 2a02:598:2::154
Connecting to napoveda.seznam.cz (napoveda.seznam.cz)|2a02:598:a::78:154|:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 301 Moved Permanently
  Server: nginx/1.14.1
  Date: Sun, 14 Jul 2019 20:41:01 GMT
  Content-Type: text/html
  Content-Length: 185
  Connection: keep-alive
  Location: https://napoveda.seznam.cz/
Location: https://napoveda.seznam.cz/ [following]
--2019-07-14 22:41:01--  https://napoveda.seznam.cz/
Connecting to napoveda.seznam.cz (napoveda.seznam.cz)|2a02:598:a::78:154|:443... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 302 Found
  Server: nginx/1.14.1
  Date: Sun, 14 Jul 2019 20:41:01 GMT
  Content-Type: text/html; charset=iso-8859-1
  Content-Length: 214
  Connection: keep-alive
  Location: https://napoveda.seznam.cz/cz/
Location: https://napoveda.seznam.cz/cz/ [following]
--2019-07-14 22:41:01--  https://napoveda.seznam.cz/cz/
Reusing existing connection to [napoveda.seznam.cz]:443.
HTTP request sent, awaiting response...
  HTTP/1.1 200 OK
  Server: nginx/1.14.1
  Date: Sun, 14 Jul 2019 20:41:02 GMT
  Content-Type: text/html; charset=utf-8
  Transfer-Encoding: chunked
  Connection: keep-alive
  Vary: Accept-Language,Cookie
  Content-Language: cs-cz
  Set-Cookie: page_helpful_trace=17482; Domain=napoveda.seznam.cz; expires=Sun, 14-Jul-2019 23:41:02 GMT; Max-Age=10800; Path=/
Length: unspecified [text/html]
Saving to: ‘STDOUT’


Re:Jde vám www.seznam.cz po IPv6?
« Odpověď #1 kdy: 14. 07. 2019, 23:20:59 »
To vypada jako kdyby se nekde na ceste objevilo MTU mensi nez 1500 a zaroven nekdo zahodil ICMPv6 Packet Too Big.
Mate nativni nebo tunelovanou konektivitu? Jaky je to ISP, jaky je ISP prefix Vasi site? (Klidne anonymizovany na uroven /40.)

Re:Jde vám www.seznam.cz po IPv6?
« Odpověď #2 kdy: 15. 07. 2019, 01:17:48 »
To vypada jako kdyby se nekde na ceste objevilo MTU mensi nez 1500 a zaroven nekdo zahodil ICMPv6 Packet Too Big.
Mate nativni nebo tunelovanou konektivitu? Jaky je to ISP, jaky je ISP prefix Vasi site? (Klidne anonymizovany na uroven /40.)

Používám tunnel od HE (a jsem si jistý, že to dříve fungovalo). Zkoušel jsem z prefixů 2001:470:5c42::/48 (PRG) a 2001:470:70d9::/48 (FRA).

McFly

  • *****
  • 560
    • Zobrazit profil
    • E-mail
Re:Jde vám www.seznam.cz po IPv6?
« Odpověď #3 kdy: 15. 07. 2019, 07:42:57 »
Taky mám tunel od HE a nefunguje. Poslední týdny se to občas děje, pak se to samo rozjede, pak zase nejde.

Re:Jde vám www.seznam.cz po IPv6?
« Odpověď #4 kdy: 15. 07. 2019, 09:07:56 »
Děje se to přímo na koncovém bodu tunelu, nebo až na dalším počítači? Skutečně to vypadá na problém s nefunkční Path MTU Discovery. Doporučuji sledovat wiresharkem, co chodí v tunelu. Pokud to občas chodí a občas ne, je možné, že někdo v cestě mezi koncem tunelu na straně HE a Seznamem částečně filtruje ICMPv6 zprávy.

Jako workaround pro TCP spojení by mělo pomoci na odchozím směru nakonfigurovat MSS clamping na hodnotu MTU tunelu, nebo snížit hodnotu MTU v celé síti.

EDIT: Na mém koncovém bodu tunelu od HE to funguje bez problému.


Re:Jde vám www.seznam.cz po IPv6?
« Odpověď #5 kdy: 15. 07. 2019, 11:03:49 »
Děje se to přímo na koncovém bodu tunelu, nebo až na dalším počítači? Skutečně to vypadá na problém s nefunkční Path MTU Discovery. Doporučuji sledovat wiresharkem, co chodí v tunelu. Pokud to občas chodí a občas ne, je možné, že někdo v cestě mezi koncem tunelu na straně HE a Seznamem částečně filtruje ICMPv6 zprávy.

Jako workaround pro TCP spojení by mělo pomoci na odchozím směru nakonfigurovat MSS clamping na hodnotu MTU tunelu, nebo snížit hodnotu MTU v celé síti.

EDIT: Na mém koncovém bodu tunelu od HE to funguje bez problému.

Nejde to již na routeru. Narychlo jsem vyřešil blokací AAAA záznamů pro zóny seznam.cz a www.seznam.cz DNS resolveru.

Edit: Tak dnes to funguje bez problémů...
Kód: [Vybrat]
$ wget --server-response -6O- http://www.seznam.cz | more
--2019-07-15 11:02:48--  http://www.seznam.cz/
Resolving www.seznam.cz (www.seznam.cz)... 2a02:598:4444:1::1, 2a02:598:4444:1::2, 2a02:598:3333:1::2, ...
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 302 Moved Temporarily
  Server: nginx
  Date: Mon, 15 Jul 2019 09:02:48 GMT
  Content-Type: text/html
  Content-Length: 154
  Connection: keep-alive
  Location: https://www.seznam.cz/
Location: https://www.seznam.cz/ [following]
--2019-07-15 11:02:48--  https://www.seznam.cz/
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:443... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 200 OK
  Server: nginx
  Date: Mon, 15 Jul 2019 09:02:49 GMT
  Content-Type: text/html; charset=UTF-8
  Transfer-Encoding: chunked
  Connection: keep-alive
  Vary: Accept-Encoding
  Cache-Control: no-cache, no-store, must-revalidate
  Pragma: no-cache
  X-Frame-Options: SAMEORIGIN
  Content-Security-Policy: frame-ancestors 'self'
  Content-Encoding: gzip
Length: unspecified [text/html]
Saving to: ‘STDOUT’