Was könnte die Ursache dafür sein, dass bestimmte IPv6-HTTPS-Server eine übermäßige Anzahl von RST-Paketen senden?

tag-icon tag-icon firewall https ipv6 sniffing
Was könnte die Ursache dafür sein, dass bestimmte IPv6-HTTPS-Server eine übermäßige Anzahl von RST-Paketen senden?

Client-Browser in meinem IPv6-fähigen Heimnetzwerk bleiben hängen und es kommt zu einer Zeitüberschreitung, wenn sie versuchen, https://-URLs von bestimmten IPv6-Sites zu laden, wie sie beispielsweise von CloudFlare betrieben werden. In diesen Situationen zeigt das Live-Protokoll meiner Firewall, dass sie stillschweigend viele eingehende RST-Pakete vom Remote-HTTPS-Server verwirft. Andere IPv6-Sites wiehttps://ipv6.google.comlädt sofort und ohne Probleme und sendet nur wenige oder gar keine RST-Pakete an mein Netzwerk. Die einzige erfolgreiche Problemumgehung, die ich derzeit habe, ist eine Firewall-Richtlinie, die ausgehenden HTTPS-Zugriff auf bestimmte IPv6-Adressbereiche blockiert und Browser effektiv dazu zwingt, die problematischen HTTPS-Server über IPv4 zu erreichen. Eine weniger attraktive Option ist, IPv6 vollständig auszuschalten, indem 6rd und radvd deaktiviert werden.

Hier sind einige relevante Details zur Umgebung:

  • Die Internetverbindung ist CenturyLink ADSL2+ PPPoE mit einer einzelnen statischen IPv4-Adresse
  • DSL-Modem istActiontec C1000Amit der neuesten Firmware
  • Firewall istSophos UTM v9.2, das DHCP, DNS-Weiterleitung, Paketfilter und innerhalb von radvd verwaltet
  • Modem verarbeitet NAT für IPv4 und 6rd für IPv6
  • Die vom Modem-LAN und der externen Firewall-Schnittstelle gemeinsam genutzten Netzwerke sind 192.168.0.0/24 und fd00::/64
  • Von Client-Rechnern und der internen Firewall-Schnittstelle gemeinsam genutzte Netzwerke sind 192.168.1.0/24 und 2602:xxxx:xxxx:xxxx::/64
  • Der Datenverkehr wird vom Modem-LAN zur externen Firewall-Schnittstelle über statische Routen auf dem Modem geleitet, statt über NAT auf der Firewall.

Wenn es um HTTPS über IPv6 geht, werden Google-Sites bei mir problemlos geladen, während von CloudFlare gehostete Sites ausnahmslos abstürzen. Beide sind große Unternehmen mit Teams von Netzwerkexperten, daher bin ich mir nicht einmal sicher, ob CloudFlare hier etwas falsch macht.

Sieht sonst noch jemand, dass die HTTPS-Server von CloudFlare viele Reset-Pakete über IPv6, aber nicht über IPv4 senden?

Könnte mein ISP, CenturyLink, die RST-Pakete in einem fehlgeleiteten Versuch fälschen, mir zu helfen oder mich zu schützen?

Werden die Zurücksetzungen gesendet, weil mein Browser mit einem Aspekt der SSL-Implementierung des Servers unzufrieden ist?

verwandte Informationen