¿Qué podría estar causando que servidores HTTPS IPv6 específicos envíen una cantidad excesiva de paquetes RST?

tag-icon tag-icon firewall https ipv6 sniffing
¿Qué podría estar causando que servidores HTTPS IPv6 específicos envíen una cantidad excesiva de paquetes RST?

Los navegadores de los clientes en mi red doméstica habilitada para IPv6 se bloquean y se agotan cuando intento cargar URL https:// desde sitios IPv6 específicos, como los operados por CloudFlare. En esas situaciones, el registro en vivo en mi firewall muestra que está descartando silenciosamente muchos paquetes RST entrantes desde el servidor HTTPS remoto. Otros sitios IPv6 comohttps://ipv6.google.comcarga inmediatamente sin ningún problema, enviando pocos o ningún paquete RST a mi red. La única solución exitosa que tengo en este momento es una política de firewall que bloquea el acceso HTTPS saliente a rangos de direcciones IPv6 específicos, lo que obliga efectivamente a los navegadores a llegar a los servidores HTTPS problemáticos a través de IPv4. Una opción menos atractiva es desactivar IPv6 por completo desactivando 6rd y radvd.

A continuación se muestran algunos detalles pertinentes del entorno:

  • La conexión a Internet es CenturyLink ADSL2+ PPPoE con una única dirección IPv4 estática
  • El módem DSL esActiontec C1000Acon el último firmware aplicado
  • El cortafuegos esSophos UTM v9.2, que maneja DHCP, reenvío de DNS, filtro de paquetes y radvd interno
  • El módem maneja NAT para IPv4 y 6.º para IPv6
  • Las redes compartidas por la LAN del módem y la interfaz externa del firewall son 192.168.0.0/24 y fd00::/64
  • Las redes compartidas por las máquinas cliente y la interfaz interna del firewall son 192.168.1.0/24 y 2602:xxxx:xxxx:xxxx::/64
  • El tráfico se enruta desde la LAN del módem a la interfaz externa del firewall a través de rutas estáticas en el módem en lugar de NAT en el firewall

Cuando se trata de HTTPS sobre IPv6, los sitios de Google se cargan bien para mí, mientras que los sitios alojados en CloudFlare invariablemente fallan. Ambas son grandes empresas con equipos de expertos en redes, por lo que ni siquiera estoy seguro de si CloudFlare está haciendo algo mal aquí.

¿Alguien más ve que los servidores HTTPS de CloudFlare envían muchos paquetes de reinicio en IPv6 pero no en IPv4?

¿Podría mi ISP, CenturyLink, estar falsificando los paquetes RST en algún intento equivocado de ayudarme o protegerme?

¿Los reinicios se envían porque mi navegador no está satisfecho con algún aspecto de la implementación SSL del servidor?

información relacionada