No puedo acceder a algunos sitios web usando el túnel IPv6 desde LAN

1

Mi enrutador (que ejecuta Ubuntu Linux) es dual-stack, dual ethernet. La interfaz WAN del enrutador está configurada con IPv4 PPPoE para mi ISP. Hurricane Electric me da un túnel IPv6 que funciona en el enrutador. La interfaz LAN del enrutador está conectada a una PC con Ubuntu Linux. Esto también está configurado como doble pila.

Desde el enrutador, no hay problema. Puedo hacer ping a cualquier dirección IPv4 o IPv6 pública en Internet y visitar cualquier sitio web (lo he probado usando elinks).

Desde la PC, también puedo hacer ping a cualquier dirección IPv4 o IPv6 en Internet. Sin embargo, hay varios sitios web (por ejemplo, https://wiki.archlinux.org ) que agotan el tiempo de espera utilizando cualquier navegador (por ejemplo, Firefox, Chrome, etc.), a menos que desactive IPv6 en la PC.

¿Qué tipo de problema estaría causando esto?

Editar: acabo de probar nuevamente usando elinksen la PC. Finalmente funcionó después de un minuto de "negociación SSL". Supongo que este podría ser el tiempo de espera del navegador en IPv6 y luego elegir IPv4 en su lugar.

Fela Maslen
fuente

Respuestas:

2

El problema más común que conduce a los síntomas que describe es un firewall mal configurado en algún lugar de la ruta que hace que falle el descubrimiento de PMTU.

Puede intentar ajustar la configuración de MTU en el túnel mismo. Creo que la configuración correcta de MTU para ejecutar 6in4 sobre PPPoE es 1476. Recuerde que debe ajustar la configuración de MTU en ambos extremos del túnel. También puede experimentar con valores más bajos para la configuración de MTU en el túnel. Pero no baje a menos de 1280, que es el valor más bajo permitido por el estándar IPv6.

Si cambiar la MTU en el túnel no ayuda, puede intentar usar ip6tablespara bajar el MSS en todos los paquetes TCP SYN reenviados a través del enrutador. Creo que este comando debería funcionar para eso:

ip6tables -A FORWARD -p tcp --tcp-flags SYN SYN -j TCPMSS --set-mss 1220

Creo que 1220 es el valor más confiable para usar para el MSS.

kasperd
fuente
Eso me daxt_TCPMSS: Only works on TCP SYN packets
Fela Maslen
1
Cambié la MTU en el túnel a 1472 y ahora funciona. Brillante. ¡Gracias!
Fela Maslen
@FelaMaslen Genial. También actualicé mi respuesta para abordar el SYNproblema que notó con la primera versión.
Kasperd