CloudFlare에서 운영하는 사이트와 같은 특정 IPv6 사이트에서 https:// URL을 로드하려고 하면 IPv6 지원 홈 네트워크의 클라이언트 브라우저가 중단되고 시간 초과됩니다. 이러한 상황에서 내 방화벽의 라이브 로그는 원격 HTTPS 서버에서 많은 인바운드 RST 패킷을 자동으로 삭제하고 있음을 보여줍니다. 다음과 같은 기타 IPv6 사이트https://ipv6.google.com아무 문제 없이 즉시 로드되어 내 네트워크에 RST 패킷이 거의 또는 전혀 전송되지 않습니다. 현재 제가 가지고 있는 유일한 성공적인 해결 방법은 특정 IPv6 주소 범위에 대한 아웃바운드 HTTPS 액세스를 차단하여 브라우저가 IPv4를 통해 문제가 있는 HTTPS 서버에 효과적으로 도달하도록 하는 방화벽 정책입니다. 덜 매력적인 옵션은 6rd 및 radvd를 비활성화하여 IPv6를 완전히 끄는 것입니다.
다음은 환경과 관련된 몇 가지 세부 정보입니다.
- 인터넷 연결은 단일 고정 IPv4 주소를 사용하는 CenturyLink ADSL2+ PPPoE입니다.
- DSL 모뎀은액션텍 C1000A최신 펌웨어가 적용된
- 방화벽은소포스 UTM v9.2, DHCP, DNS 전달, 패킷 필터 및 내부 radvd를 처리합니다.
- 모뎀은 IPv4용 NAT와 IPv6용 NAT를 처리합니다.
- 모뎀 LAN과 방화벽 외부 인터페이스가 공유하는 네트워크는 192.168.0.0/24 및 fd00::/64입니다.
- 클라이언트 시스템과 방화벽 내부 인터페이스가 공유하는 네트워크는 192.168.1.0/24 및 2602:xxxx:xxxx:xxxx::/64입니다.
- 트래픽은 방화벽의 NAT 대신 모뎀의 고정 경로를 통해 모뎀 LAN에서 방화벽 외부 인터페이스로 라우팅됩니다.
IPv6를 통한 HTTPS의 경우 Google 사이트는 제대로 로드되는 반면 CloudFlare 호스팅 사이트는 항상 실패합니다. 둘 다 네트워킹 전문가 팀을 갖춘 대기업이므로 CloudFlare가 여기서 잘못하고 있는지조차 확신할 수 없습니다.
CloudFlare의 HTTPS 서버가 IPv6에서는 많은 재설정 패킷을 전송하지만 IPv4에서는 전송하지 않는 것을 본 사람이 있습니까?
내 ISP인 CenturyLink가 나를 돕거나 보호하기 위해 잘못된 시도로 RST 패킷을 위조할 수 있습니까?
내 브라우저가 서버 SSL 구현의 일부 측면에 만족하지 않기 때문에 재설정이 전송되는 것입니까?