Браузеры клиентов в моей домашней сети с поддержкой IPv6 зависают и время ожидания при попытке загрузить https:// URL-адреса с определенных сайтов IPv6, например, управляемых CloudFlare. В этих ситуациях журнал в реальном времени на моем брандмауэре показывает, что он молча отбрасывает множество входящих RST-пакетов с удаленного HTTPS-сервера. Другие сайты IPv6, такие как https://ipv6.google.com, загружаются немедленно без каких-либо проблем, отправляя мало или нет пакетов RST в мою сеть. Единственный успешный обходной путь, который у меня есть сейчас, - это политика брандмауэра, которая блокирует исходящий HTTPS-доступ к определенным диапазонам адресов IPv6, эффективно вынуждая браузеры обращаться к проблемным HTTPS-серверам по IPv4. Менее привлекательный вариант - полностью отключить IPv6, отключив 6rd и radvd.
Вот некоторые подробности об окружающей среде:
- Интернет-соединение - CenturyLink ADSL2+ PPPoE с одним статическим IPv4-адресом.
- DSL модем - Actiontec C1000A с последней установленной прошивкой
- Брандмауэр - Sophos UTM v9.2, который обрабатывает DHCP, переадресацию DNS, фильтр пакетов и внутреннюю сеть radvd.
- Модем обрабатывает NAT для IPv4 и 6-й для IPv6
- Сети, совместно используемые модемом LAN и внешним интерфейсом брандмауэра:192.168.0.0/24 и fd00::/64
- Сети, совместно используемые клиентскими компьютерами и внутренним интерфейсом брандмауэра:192.168.1.0/24 и 2602:xxxx:xxxx:xxxx::/64
- Трафик направляется из локальной сети модема во внешний интерфейс брандмауэра через статические маршруты на модеме вместо NAT на брандмауэре
Когда дело доходит до HTTPS через IPv6, сайты Google загружаются нормально, в то время как сайты, размещенные в CloudFlare, неизменно дают сбой. Обе это большие компании с командами сетевых экспертов, поэтому я даже не уверен, что CloudFlare делает что-то здесь не так.
Кто-нибудь еще видел, как HTTPS-серверы CloudFlare отправляют множество пакетов сброса по IPv6, но не по IPv4?
Может ли мой провайдер CenturyLink подделывать пакеты RST в какой-то ошибочной попытке помочь или защитить меня?
Отправляется ли сброс, потому что мой браузер недоволен каким-то аспектом реализации SSL на сервере?