O que pode estar fazendo com que servidores HTTPS IPv6 específicos enviem um número excessivo de pacotes RST?

tag-icon tag-icon firewall https ipv6 sniffing
O que pode estar fazendo com que servidores HTTPS IPv6 específicos enviem um número excessivo de pacotes RST?

Os navegadores clientes em minha rede doméstica habilitada para IPv6 travam e atingem o tempo limite ao tentar carregar URLs https:// de sites IPv6 específicos, como aqueles operados pela CloudFlare. Nessas situações, o log ao vivo no meu firewall mostra que ele está descartando silenciosamente muitos pacotes RST de entrada do servidor HTTPS remoto. Outros sites IPv6, comohttps://ipv6.google.comcarregue imediatamente sem nenhum problema, enviando poucos ou nenhum pacote RST para minha rede. A única solução alternativa bem-sucedida que tenho no momento é uma política de firewall que bloqueia o acesso HTTPS de saída a intervalos de endereços IPv6 específicos, forçando efetivamente os navegadores a acessar os servidores HTTPS problemáticos por IPv4. Uma opção menos atraente é desligar totalmente o IPv6 desativando o 6rd e o radvd.

Aqui estão alguns detalhes pertinentes do meio ambiente:

  • A conexão com a Internet é CenturyLink ADSL2+ PPPoE com endereço IPv4 estático único
  • O modem DSL éActiontec C1000Acom firmware mais recente aplicado
  • Firewall éSophos UTM v9.2, que lida com DHCP, encaminhamento de DNS, filtro de pacotes e dentro do radvd
  • O modem lida com NAT para IPv4 e 6º para IPv6
  • As redes compartilhadas pela LAN do modem e pela interface externa do firewall são 192.168.0.0/24 e fd00::/64
  • As redes compartilhadas pelas máquinas clientes e pela interface interna do firewall são 192.168.1.0/24 e 2602:xxxx:xxxx:xxxx::/64
  • O tráfego é roteado da LAN do modem para a interface externa do firewall através de rotas estáticas no modem em vez de NAT no firewall

Quando se trata de HTTPS sobre IPv6, os sites do Google carregam bem para mim, enquanto os sites hospedados no CloudFlare invariavelmente falham. Ambas são grandes empresas com equipes de especialistas em redes, então nem tenho certeza se a CloudFlare está fazendo algo errado aqui.

Alguém mais está vendo os servidores HTTPS da CloudFlare enviando muitos pacotes de redefinição em IPv6, mas não em IPv4?

Poderia meu ISP, CenturyLink, estar forjando os pacotes RST em alguma tentativa equivocada de me ajudar ou proteger?

As redefinições estão sendo enviadas porque meu navegador está insatisfeito com algum aspecto da implementação SSL do servidor?

informação relacionada