Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPv6 und HTTPS... Kann manche Seiten aufrufen, andere hingegen nicht?!

    Scheduled Pinned Locked Moved Deutsch
    34 Posts 5 Posters 3.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      enJOyIT
      last edited by enJOyIT

      Hier die Informationen die ich momentan geben kann:

      fw_regeln_WAN.png
      fw_regeln_LAN.png
      status_interfaces.png

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        OK also default auf LAN und ICMP6 offen auf WAN. Das ist zumindest ein Anfang :)

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 1
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          OK für andere als Zwischenstand: haben uns das interessenhalber mal direkt auf dem System angesehen. SEHR seltsames Verhalten bei einem gebauten Testcase:

          Seiten gebaut via v4 und v6 erreichbar (NUR darüber, damit kein Fallback). Dann entsprechende Domains aufgerufen:

          • testv4-http -> geht
          • testv6-http -> geht
          • testv4-https -> geht
          • testv6-https -> surprise, geht NICHT.

          und das lustigerweise bei mehreren Versuchen und Domains. Bei großen CDNs scheint es gut zu gehen, die liefern aber gerne auch mehrere IP4/IP6 aus, so dass ich vermute, der Browser fällt dann auf IP4 zurück und macht round-robin. Wo aber nur eine v4/v6 Kombo da ist bzw. nur v6 geht HTTPS schief.
          Mit tcpdumps auf Sense und Servern ist auch klar zu sehen: der Zugriff per v6 klappt und Daten werden vom Host abgerufen - kommen aber aus irgendeinem Grund nie beim Browser so an, dass er sie verarbeitet. Proxy Settings waren aus, Adblock o.ä. ebenfalls auf der Sense lief am Ende auch nichts mehr wie Proxy o.ä.
          Sense selbst konnte sowohl von ihrer WAN als auch LAN Adresse (!) aber bspw. die Seiten aufrufen (und ausliefern/auslesen), die der Client dahinter nicht konnte. Obwohl die Daten am Client scheinbar ankamen.

          Ich hatte nun weder im Browser noch auf der Sense selbst irgendwas abgefahrenes dazu gesehen, deshalb -> ich würde da im LAN o.ä. nochmal suchen, ob da jemand doch noch Traffic filtert oder sonstwo noch in die Suppe spuckt.

          klingt aber schon sehr speziell :)

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 1
          • E
            enJOyIT
            last edited by enJOyIT

            Kurze Zusatzinfo. Ich hatte danach meinen Laptop direkt und ohne Umwege an die pfSense gehangen, mit dem selben Ergebnis.

            Danach noch ein paar VMs probiert. Windows, Linux (Knoppix) mit exakt dem selben Verhalten.

            Habe nun auf der Knoppix-Maschine per Wireshark aufgezeichnet und JeGr zur Verfügung gestellt. Vielleicht kann er da was erkennen.

            Auch habe ich die pfSense in einer VM getestet. Genau das gleiche Problem!

            Was mir noch aufgefallen ist... wenn ich die Einstellungen an der WAN-Schnittstelle ändere, dann habe ich oft Probleme wieder online zu kommen. Er verliert die Verbindung und Disconnect/Connect bringt aber immer nur folgendes Bild
            loss.png
            loss2.png

            1 Reply Last reply Reply Quote 0
            • nonickN
              nonick
              last edited by nonick

              Das Fehlerbild ist schon sehr ausgefallen. 😀 Ich habe das zwar nicht so in einer verschärfen Form, aber bei mir passiert das z.B. wenn ich Netflix nur über IPv6 per HTTPS aufrufe. Dann passiert einfach nichts, an einer IPv6 Ländersperre hängt das auch nicht. Das passiert auch sehr vereinzelt bei anderen Seiten. Die Seite oder die Apps werden einfach nicht über IPv6 / HTTPS und der pfSense geladen. Ohne pfSense ist es kein Problem. Es verhält sich so ähnlich wie wenn unter IPv4 der MTU Wert völlig daneben liegt. Dann Antworten die Seiten auch, können aber nicht geladen werden. Vielleicht findet der Jens was in deinen Wireshark Aufzeichnungen.

              Netgate 6100

              nowa-itN 1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Komme da momentan durch Arbeit nicht zu. Da aber vereinzelte Seiten gehen (vielleicht durch Fallback auf v4) UND die pfSense zumindest via Curl problemlos die Seiten abrufen kann, die der Client dahinter nicht kann - und das noch dazu wiederum nur bei https - ist schon sehr speziell und kann ich so nicht auf der Sense zuordnen.

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • nowa-itN
                  nowa-it @nonick
                  last edited by

                  @nonick Habe exakt das gleiche Fehlerbild mit Netflix über HTTPS (IPV6)...

                  nonickN 1 Reply Last reply Reply Quote 0
                  • nonickN
                    nonick @nowa-it
                    last edited by

                    @nowa-it Bei mir funktioniert Netflix mit der Sense und IPv6 leider auch nicht. In dem Netz wo sich die Streaming Geräte befinden, musste ich IPv6 deswegen abschalten. Scheinbar tritt das nur vereinzelt auf, deswegen kümmert sich keiner um diesen Fehler. Es hat irgendwas mit der pfSense Software zu tun, da es mit anderen Routern problemlos funktioniert.

                    Kann dir da leider auch nicht weiterhelfen.

                    Netgate 6100

                    nowa-itN 1 Reply Last reply Reply Quote 0
                    • nowa-itN
                      nowa-it @nonick
                      last edited by nowa-it

                      @nonick Hallo, ich wollte nochmal kurz Feedback geben. Ich hatte das Problem jetzt seit ca. 6 Tagen und habe lange gesucht. Mich wurde das Gefühl von einem MTU Problem nicht los... Ergo habe ich konkret nach gegoogelt. (Halbes Internet Quergelesen)
                      Ich habe aktuell (stand jetzt) keine Probleme mehr (aktiv und getestet ca. 2. Stunden). Bei mir waren es die MTU / MSS Einstellung. Ich werde das ganze noch langfristig beobachten und nochmal Feedback geben falls gewünscht.
                      Mein ISP (Telekom) hat einen MTU Wert von 1492.
                      Geprüft mit ping www.google.com -f -l 1464 (wurde nicht fragmentiert)

                      • die 28 (IP/ICMP) = 1492
                        Die MSS Einstellung (IPV6 - 40 ) also 1452
                        Ich bin über folgenden Reddit Thread drauf gestoßen:
                        https://www.reddit.com/r/ipv6/comments/evv7r8/ipv6_and_netflix/
                        Du kannst es ja mal mal prüfen, evtl. hilft es ja. Den MTU wert kann bei dir anders sein, je nachdem welchen ISP du hast. Ebenfalls kann es sein dass dein MSS Wert noch niedriger ist.
                        Ich hoffe es hilft euch. Falls nicht, war es ein versuch wert.
                        LG
                      nonickN 1 Reply Last reply Reply Quote 1
                      • nonickN
                        nonick @nowa-it
                        last edited by nonick

                        @nowa-it Danke!
                        Das mit dem MTU Wert war auch meine Vermutung, nur war dieser korrekt auf 1492 eingestellt (Telekom).
                        Normalerweise wird dann der MSS Wert automatisch auf 1452 eingestellt, wenn man diesen nicht explizit angibt. Genau das scheint unter IPv6 nicht zu passieren, man muss tatsächlich diesen Wert dann mit angeben. Ich könnte mir vorstellen, dass das ein Bug ist, den so was ist mir bei andern Routern / Firewalls noch nie passiert.

                        Jetzt scheint Netflix über IPv6 zu funktionieren, ich werde es weiter beobachten ☺.

                        Netgate 6100

                        JeGrJ 1 Reply Last reply Reply Quote 1
                        • JeGrJ
                          JeGr LAYER 8 Moderator @nonick
                          last edited by

                          @nonick Und wo hast du MTU gesetzt? Auf dem WAN? Auf was?

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          nonickN 1 Reply Last reply Reply Quote 0
                          • nonickN
                            nonick @JeGr
                            last edited by

                            @jegr Hi Jens, den MTU Wert von 1492 hatte ich schon immer auf dem WAN Interface gesetzt. Das ist ja bei PPPoE notwendig und bei mir auch der richtige ermittelte Wert. Zusätzlich musste ich jetzt noch den MMS Wert von 1452 auf dem WAN Interface eintragen. Das kenne ich so von anderen PPPoE Clients nicht, da wird der MSS Wert dann automatisch gesetzt (MTU-Wert - 40 Byte) wenn nicht explizit anderes angegeben. Bei IPv4 scheint das auch so auf der Sense zu funktionieren, nur nicht bei IPv6.

                            Das alles betrifft natürlich nur das WAN Interface.

                            Gruß Micha

                            Netgate 6100

                            1 Reply Last reply Reply Quote 0
                            • E
                              enJOyIT
                              last edited by enJOyIT

                              Schön zu lesen, dass es hier weitergeht. Bevor ich jetzt wieder einen Versuch unternehme mein IPv6 zu konfigurieren könnte @JeGr das vielleicht nochmal verifizieren :-)

                              Wo würde ich denn diese Einstellungen finden?

                              Ich hab hier nur folgende:
                              fd5704ef-6135-44e9-bff9-0f8212725c50-image.png

                              nonickN 1 Reply Last reply Reply Quote 0
                              • nonickN
                                nonick @enJOyIT
                                last edited by

                                @enjoyit PPPoE.png

                                Netgate 6100

                                JeGrJ 1 Reply Last reply Reply Quote 2
                                • JeGrJ
                                  JeGr LAYER 8 Moderator @nonick
                                  last edited by

                                  @nonick Allerdings liest sich der Parameterwert bei MSS so, als müsste da 1492 rein, nicht 1452, denn dort steht ja, dass der Wert der dort eingetragen MINUS 40 genutzt wird. Somit wäre ja 1412 aktiv?

                                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                  V nonickN 2 Replies Last reply Reply Quote 0
                                  • V
                                    viragomann @JeGr
                                    last edited by

                                    @jegr
                                    Diesen Satz habe ich auch schon ca. 18 mal gelesen und werde daraus nicht schlau, auch nicht aus dem Originaltext.

                                    Einzige vernünftige Erklärung für mich ist ein Schreibfehler. Es macht ja absolut keinen Sinn, dass MSS von MTU hergeleitet wird, falls ein MSS-Wert eingetragen ist. Das kann doch nur heißen sollen, falls kein Wert angegeben ist, wird MSS aus MTU minus 40 angenommen.

                                    Übrigens soweit ich weiß, sollte der bei IPv6 um 60 geringer sein als MTU.

                                    nowa-itN 1 Reply Last reply Reply Quote 0
                                    • nonickN
                                      nonick @JeGr
                                      last edited by nonick

                                      @viragomann

                                      falls kein Wert angegeben ist, wird MSS aus MTU minus 40 angenommen

                                      Genau das ist gemeint. Das funktioniert auch unter IPv4, nur nicht unter IPv6. Da muss man den Wert händisch eintragen, damit dieser auch tatsächlich genutzt wird.

                                      Netgate 6100

                                      1 Reply Last reply Reply Quote 0
                                      • nowa-itN
                                        nowa-it @viragomann
                                        last edited by nowa-it

                                        @viragomann
                                        Der Wert sollte tatsächlich um 60 geringer sein als MTU für IPV6. Da man bei der pfsense aber keine Einstellung für ipv6 treffen kann und das WAN interface, glaube ich sowohl für ipv4 als auch für ipv6 gilt, habe ich in dem Fall die MSS Größe von IPV4 eingetragen ( MTU - 40 ) angegeben.
                                        Für IPV6 wären aber MTU - 60 korrekt. Finde dafür aber keine Einstellungsmöglichkeiten.
                                        https://webcodr.io/2018/02/telekom-vdsl-mtu-und-mss-clamping-f%C3%BCr-ipv4-und-ipv6/

                                        Da mein Fehlerbild dadurch behoben worden ist, gebe ich mich damit zufrieden. Viel Erfolg.

                                        V nonickN 2 Replies Last reply Reply Quote 2
                                        • V
                                          viragomann @nowa-it
                                          last edited by

                                          @nowa-it said in IPv6 und HTTPS... Kann manche Seiten aufrufen, andere hingegen nicht?!:

                                          Da mein Fehlerbild dadurch behoben worden ist, gebe ich mich damit zufrieden.

                                          Ist auch okay so, wenn es funkt.
                                          Habe es eingwandt für den Fall, dass es dennoch Probleme geben sollte.

                                          1 Reply Last reply Reply Quote 0
                                          • nonickN
                                            nonick @nowa-it
                                            last edited by

                                            @nowa-it said in IPv6 und HTTPS... Kann manche Seiten aufrufen, andere hingegen nicht?!:

                                            Für IPV6 wären aber MTU - 60 korrekt. Finde dafür aber keine Einstellungsmöglichkeiten.

                                            Das es nun nachgewiesen automatisch nicht bei der pfSense unter IPv6 funktioniert, sollte man vielleicht über eine Implementierung dieser Funktion nachdenken. Bei anderen Firewalls / Router gibt es ja auch die Möglichkeit, für IPv4 und IPv6 einen getrennten MSS Wert anzugeben.

                                            Das Argument ICMPv6 sollte genau das verhindern hilft eben auch nicht, wenn sich Anbieter nicht daran halten.

                                            Netgate 6100

                                            JeGrJ 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.