當我嘗試從特定 IPv6 網站(例如由 CloudFlare 營運的網站)載入 https:// URL 時,啟用 IPv6 的家庭網路上的用戶端瀏覽器會掛起並逾時。在這些情況下,防火牆上的即時日誌顯示它正在悄悄地從遠端 HTTPS 伺服器丟棄大量入站 RST 封包。其他 IPv6 站點,例如https://ipv6.google.com立即加載,沒有任何問題,向我的網路發送很少或不發送 RST 資料包。我目前唯一成功的解決方法是防火牆策略,該策略阻止對特定 IPv6 位址範圍的出站 HTTPS 訪問,從而有效地強制瀏覽器透過 IPv4 存取有問題的 HTTPS 伺服器。一個不太有吸引力的選擇是透過停用 6rd 和 radvd 來完全關閉 IPv6。
以下是環境的一些相關詳細資訊:
- 網際網路連線為具有單一靜態 IPv4 位址的 CenturyLink ADSL2+ PPPoE
- DSL 數據機是Actiontec C1000A應用最新韌體
- 防火牆是Sophos UTM v9.2,它處理 DHCP、DNS 轉送、封包過濾器和內部 radvd
- 數據機處理 IPv4 的 NAT 和 IPv6 的 6rd
- 數據機 LAN 和防火牆外部介面共享的網路為 192.168.0.0/24 和 fd00::/64
- 用戶端電腦和防火牆內部介面共享的網路為 192.168.1.0/24 和 2602:xxxx:xxxx:xxxx::/64
- 流量透過數據機上的靜態路由(而不是防火牆上的 NAT)從數據機 LAN 路由到防火牆外部接口
當談到基於 IPv6 的 HTTPS 時,Google 網站對我來說載入得很好,而 CloudFlare 託管的網站總是失敗。兩家公司都是擁有網路專家團隊的大公司,所以我甚至不確定 CloudFlare 在這裡是否做錯了什麼。
還有其他人看到 CloudFlare 的 HTTPS 伺服器在 IPv6 上傳送大量重設封包,但在 IPv4 上卻沒有嗎?
我的 ISP CenturyLink 是否會偽造 RST 資料包,試圖幫助或保護我?
發送重置是否是因為我的瀏覽器對伺服器 SSL 實現的某些方面不滿意?