Что может быть причиной отправки определенными серверами IPv6 HTTPS чрезмерного количества пакетов RST?

tag-icon tag-icon firewall https ipv6 sniffing
Что может быть причиной отправки определенными серверами IPv6 HTTPS чрезмерного количества пакетов RST?

Клиентские браузеры в моей домашней сети с поддержкой IPv6 зависают и выходят из строя при попытке загрузить https:// URL-адреса с определенных сайтов IPv6, например, с тех, которые обслуживаются CloudFlare. В таких ситуациях живой журнал на моем брандмауэре показывает, что он молча отбрасывает множество входящих пакетов RST с удаленного сервера HTTPS. Другие сайты IPv6, такие какhttps://ipv6.google.comзагружаются немедленно и без проблем, отправляя мало или вообще не отправляя RST-пакетов в мою сеть. Единственный успешный обходной путь, который у меня есть сейчас, — это политика брандмауэра, которая блокирует исходящий HTTPS-доступ к определенным диапазонам адресов IPv6, фактически заставляя браузеры обращаться к проблемным HTTPS-серверам через IPv4. Менее привлекательный вариант — полностью отключить IPv6, отключив 6rd и radvd.

Вот некоторые важные сведения об окружающей среде:

  • Интернет-подключение CenturyLink ADSL2+ PPPoE с одним статическим адресом IPv4.
  • DSL-модемActiontec C1000Aс последней версией прошивки
  • Брандмауэр - этоSophos UTM v9.2, который обрабатывает DHCP, пересылку DNS, фильтр пакетов и внутреннюю часть radvd
  • Модем обрабатывает NAT для IPv4 и 6rd для IPv6
  • Сети, совместно используемые локальной сетью модема и внешним интерфейсом брандмауэра, — 192.168.0.0/24 и fd00::/64.
  • Совместно используемые клиентскими машинами и внутренним интерфейсом брандмауэра сети — 192.168.1.0/24 и 2602:xxxx:xxxx:xxxx::/64
  • Трафик направляется из локальной сети модема во внешний интерфейс брандмауэра через статические маршруты на модеме вместо NAT на брандмауэре.

Когда дело доходит до HTTPS через IPv6, сайты Google загружаются у меня нормально, в то время как сайты, размещенные в CloudFlare, неизменно терпят неудачу. Обе компании — крупные компании с командами сетевых экспертов, так что я даже не уверен, делает ли CloudFlare что-то не так.

Кто-нибудь еще замечает, что HTTPS-серверы CloudFlare отправляют много пакетов сброса по IPv6, но не по IPv4?

Может ли мой интернет-провайдер CenturyLink подделывать пакеты RST в какой-то ошибочной попытке помочь мне или защитить меня?

Отправляются ли сбросы из-за того, что мой браузер не доволен каким-либо аспектом реализации SSL на сервере?

Связанный контент