IPv6 und HTTPS... Kann manche Seiten aufrufen, andere hingegen nicht?!
-
Hier die Informationen die ich momentan geben kann:
-
OK also default auf LAN und ICMP6 offen auf WAN. Das ist zumindest ein Anfang :)
-
OK für andere als Zwischenstand: haben uns das interessenhalber mal direkt auf dem System angesehen. SEHR seltsames Verhalten bei einem gebauten Testcase:
Seiten gebaut via v4 und v6 erreichbar (NUR darüber, damit kein Fallback). Dann entsprechende Domains aufgerufen:
- testv4-http -> geht
- testv6-http -> geht
- testv4-https -> geht
- testv6-https -> surprise, geht NICHT.
und das lustigerweise bei mehreren Versuchen und Domains. Bei großen CDNs scheint es gut zu gehen, die liefern aber gerne auch mehrere IP4/IP6 aus, so dass ich vermute, der Browser fällt dann auf IP4 zurück und macht round-robin. Wo aber nur eine v4/v6 Kombo da ist bzw. nur v6 geht HTTPS schief.
Mit tcpdumps auf Sense und Servern ist auch klar zu sehen: der Zugriff per v6 klappt und Daten werden vom Host abgerufen - kommen aber aus irgendeinem Grund nie beim Browser so an, dass er sie verarbeitet. Proxy Settings waren aus, Adblock o.ä. ebenfalls auf der Sense lief am Ende auch nichts mehr wie Proxy o.ä.
Sense selbst konnte sowohl von ihrer WAN als auch LAN Adresse (!) aber bspw. die Seiten aufrufen (und ausliefern/auslesen), die der Client dahinter nicht konnte. Obwohl die Daten am Client scheinbar ankamen.Ich hatte nun weder im Browser noch auf der Sense selbst irgendwas abgefahrenes dazu gesehen, deshalb -> ich würde da im LAN o.ä. nochmal suchen, ob da jemand doch noch Traffic filtert oder sonstwo noch in die Suppe spuckt.
klingt aber schon sehr speziell :)
-
Kurze Zusatzinfo. Ich hatte danach meinen Laptop direkt und ohne Umwege an die pfSense gehangen, mit dem selben Ergebnis.
Danach noch ein paar VMs probiert. Windows, Linux (Knoppix) mit exakt dem selben Verhalten.
Habe nun auf der Knoppix-Maschine per Wireshark aufgezeichnet und JeGr zur Verfügung gestellt. Vielleicht kann er da was erkennen.
Auch habe ich die pfSense in einer VM getestet. Genau das gleiche Problem!
Was mir noch aufgefallen ist... wenn ich die Einstellungen an der WAN-Schnittstelle ändere, dann habe ich oft Probleme wieder online zu kommen. Er verliert die Verbindung und Disconnect/Connect bringt aber immer nur folgendes Bild
-
Das Fehlerbild ist schon sehr ausgefallen.
Ich habe das zwar nicht so in einer verschärfen Form, aber bei mir passiert das z.B. wenn ich Netflix nur über IPv6 per HTTPS aufrufe. Dann passiert einfach nichts, an einer IPv6 Ländersperre hängt das auch nicht. Das passiert auch sehr vereinzelt bei anderen Seiten. Die Seite oder die Apps werden einfach nicht über IPv6 / HTTPS und der pfSense geladen. Ohne pfSense ist es kein Problem. Es verhält sich so ähnlich wie wenn unter IPv4 der MTU Wert völlig daneben liegt. Dann Antworten die Seiten auch, können aber nicht geladen werden. Vielleicht findet der Jens was in deinen Wireshark Aufzeichnungen.Netgate 6100
-
Komme da momentan durch Arbeit nicht zu. Da aber vereinzelte Seiten gehen (vielleicht durch Fallback auf v4) UND die pfSense zumindest via Curl problemlos die Seiten abrufen kann, die der Client dahinter nicht kann - und das noch dazu wiederum nur bei https - ist schon sehr speziell und kann ich so nicht auf der Sense zuordnen.
-
@nonick Habe exakt das gleiche Fehlerbild mit Netflix über HTTPS (IPV6)...
-
@nowa-it Bei mir funktioniert Netflix mit der Sense und IPv6 leider auch nicht. In dem Netz wo sich die Streaming Geräte befinden, musste ich IPv6 deswegen abschalten. Scheinbar tritt das nur vereinzelt auf, deswegen kümmert sich keiner um diesen Fehler. Es hat irgendwas mit der pfSense Software zu tun, da es mit anderen Routern problemlos funktioniert.
Kann dir da leider auch nicht weiterhelfen.
-
@nonick Hallo, ich wollte nochmal kurz Feedback geben. Ich hatte das Problem jetzt seit ca. 6 Tagen und habe lange gesucht. Mich wurde das Gefühl von einem MTU Problem nicht los... Ergo habe ich konkret nach gegoogelt. (Halbes Internet Quergelesen)
Ich habe aktuell (stand jetzt) keine Probleme mehr (aktiv und getestet ca. 2. Stunden). Bei mir waren es die MTU / MSS Einstellung. Ich werde das ganze noch langfristig beobachten und nochmal Feedback geben falls gewünscht.
Mein ISP (Telekom) hat einen MTU Wert von 1492.
Geprüft mit ping www.google.com -f -l 1464 (wurde nicht fragmentiert)- die 28 (IP/ICMP) = 1492
Die MSS Einstellung (IPV6 - 40 ) also 1452
Ich bin über folgenden Reddit Thread drauf gestoßen:
https://www.reddit.com/r/ipv6/comments/evv7r8/ipv6_and_netflix/
Du kannst es ja mal mal prüfen, evtl. hilft es ja. Den MTU wert kann bei dir anders sein, je nachdem welchen ISP du hast. Ebenfalls kann es sein dass dein MSS Wert noch niedriger ist.
Ich hoffe es hilft euch. Falls nicht, war es ein versuch wert.
LG
- die 28 (IP/ICMP) = 1492
-
@nowa-it Danke!
Das mit dem MTU Wert war auch meine Vermutung, nur war dieser korrekt auf 1492 eingestellt (Telekom).
Normalerweise wird dann der MSS Wert automatisch auf 1452 eingestellt, wenn man diesen nicht explizit angibt. Genau das scheint unter IPv6 nicht zu passieren, man muss tatsächlich diesen Wert dann mit angeben. Ich könnte mir vorstellen, dass das ein Bug ist, den so was ist mir bei andern Routern / Firewalls noch nie passiert.Jetzt scheint Netflix über IPv6 zu funktionieren, ich werde es weiter beobachten
. -
@nonick Und wo hast du MTU gesetzt? Auf dem WAN? Auf was?
-
@jegr Hi Jens, den MTU Wert von 1492 hatte ich schon immer auf dem WAN Interface gesetzt. Das ist ja bei PPPoE notwendig und bei mir auch der richtige ermittelte Wert. Zusätzlich musste ich jetzt noch den MMS Wert von 1452 auf dem WAN Interface eintragen. Das kenne ich so von anderen PPPoE Clients nicht, da wird der MSS Wert dann automatisch gesetzt (MTU-Wert - 40 Byte) wenn nicht explizit anderes angegeben. Bei IPv4 scheint das auch so auf der Sense zu funktionieren, nur nicht bei IPv6.
Das alles betrifft natürlich nur das WAN Interface.
Gruß Micha
-
Schön zu lesen, dass es hier weitergeht. Bevor ich jetzt wieder einen Versuch unternehme mein IPv6 zu konfigurieren könnte @JeGr das vielleicht nochmal verifizieren :-)
Wo würde ich denn diese Einstellungen finden?
Ich hab hier nur folgende:
-
-
@nonick Allerdings liest sich der Parameterwert bei MSS so, als müsste da 1492 rein, nicht 1452, denn dort steht ja, dass der Wert der dort eingetragen MINUS 40 genutzt wird. Somit wäre ja 1412 aktiv?
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@jegr
Diesen Satz habe ich auch schon ca. 18 mal gelesen und werde daraus nicht schlau, auch nicht aus dem Originaltext.Einzige vernünftige Erklärung für mich ist ein Schreibfehler. Es macht ja absolut keinen Sinn, dass MSS von MTU hergeleitet wird, falls ein MSS-Wert eingetragen ist. Das kann doch nur heißen sollen, falls kein Wert angegeben ist, wird MSS aus MTU minus 40 angenommen.
Übrigens soweit ich weiß, sollte der bei IPv6 um 60 geringer sein als MTU.
-
falls kein Wert angegeben ist, wird MSS aus MTU minus 40 angenommen
Genau das ist gemeint. Das funktioniert auch unter IPv4, nur nicht unter IPv6. Da muss man den Wert händisch eintragen, damit dieser auch tatsächlich genutzt wird.
-
@viragomann
Der Wert sollte tatsächlich um 60 geringer sein als MTU für IPV6. Da man bei der pfsense aber keine Einstellung für ipv6 treffen kann und das WAN interface, glaube ich sowohl für ipv4 als auch für ipv6 gilt, habe ich in dem Fall die MSS Größe von IPV4 eingetragen ( MTU - 40 ) angegeben.
Für IPV6 wären aber MTU - 60 korrekt. Finde dafür aber keine Einstellungsmöglichkeiten.
https://webcodr.io/2018/02/telekom-vdsl-mtu-und-mss-clamping-f%C3%BCr-ipv4-und-ipv6/Da mein Fehlerbild dadurch behoben worden ist, gebe ich mich damit zufrieden. Viel Erfolg.
-
@nowa-it said in IPv6 und HTTPS... Kann manche Seiten aufrufen, andere hingegen nicht?!:
Da mein Fehlerbild dadurch behoben worden ist, gebe ich mich damit zufrieden.
Ist auch okay so, wenn es funkt.
Habe es eingwandt für den Fall, dass es dennoch Probleme geben sollte. -
@nowa-it said in IPv6 und HTTPS... Kann manche Seiten aufrufen, andere hingegen nicht?!:
Für IPV6 wären aber MTU - 60 korrekt. Finde dafür aber keine Einstellungsmöglichkeiten.
Das es nun nachgewiesen automatisch nicht bei der pfSense unter IPv6 funktioniert, sollte man vielleicht über eine Implementierung dieser Funktion nachdenken. Bei anderen Firewalls / Router gibt es ja auch die Möglichkeit, für IPv4 und IPv6 einen getrennten MSS Wert anzugeben.
Das Argument ICMPv6 sollte genau das verhindern hilft eben auch nicht, wenn sich Anbieter nicht daran halten.
