IPv6 und HTTPS... Kann manche Seiten aufrufen, andere hingegen nicht?!
-
Komme da momentan durch Arbeit nicht zu. Da aber vereinzelte Seiten gehen (vielleicht durch Fallback auf v4) UND die pfSense zumindest via Curl problemlos die Seiten abrufen kann, die der Client dahinter nicht kann - und das noch dazu wiederum nur bei https - ist schon sehr speziell und kann ich so nicht auf der Sense zuordnen.
-
@nonick Habe exakt das gleiche Fehlerbild mit Netflix über HTTPS (IPV6)...
-
@nowa-it Bei mir funktioniert Netflix mit der Sense und IPv6 leider auch nicht. In dem Netz wo sich die Streaming Geräte befinden, musste ich IPv6 deswegen abschalten. Scheinbar tritt das nur vereinzelt auf, deswegen kümmert sich keiner um diesen Fehler. Es hat irgendwas mit der pfSense Software zu tun, da es mit anderen Routern problemlos funktioniert.
Kann dir da leider auch nicht weiterhelfen.
-
@nonick Hallo, ich wollte nochmal kurz Feedback geben. Ich hatte das Problem jetzt seit ca. 6 Tagen und habe lange gesucht. Mich wurde das Gefühl von einem MTU Problem nicht los... Ergo habe ich konkret nach gegoogelt. (Halbes Internet Quergelesen)
Ich habe aktuell (stand jetzt) keine Probleme mehr (aktiv und getestet ca. 2. Stunden). Bei mir waren es die MTU / MSS Einstellung. Ich werde das ganze noch langfristig beobachten und nochmal Feedback geben falls gewünscht.
Mein ISP (Telekom) hat einen MTU Wert von 1492.
Geprüft mit ping www.google.com -f -l 1464 (wurde nicht fragmentiert)- die 28 (IP/ICMP) = 1492
Die MSS Einstellung (IPV6 - 40 ) also 1452
Ich bin über folgenden Reddit Thread drauf gestoßen:
https://www.reddit.com/r/ipv6/comments/evv7r8/ipv6_and_netflix/
Du kannst es ja mal mal prüfen, evtl. hilft es ja. Den MTU wert kann bei dir anders sein, je nachdem welchen ISP du hast. Ebenfalls kann es sein dass dein MSS Wert noch niedriger ist.
Ich hoffe es hilft euch. Falls nicht, war es ein versuch wert.
LG
- die 28 (IP/ICMP) = 1492
-
@nowa-it Danke!
Das mit dem MTU Wert war auch meine Vermutung, nur war dieser korrekt auf 1492 eingestellt (Telekom).
Normalerweise wird dann der MSS Wert automatisch auf 1452 eingestellt, wenn man diesen nicht explizit angibt. Genau das scheint unter IPv6 nicht zu passieren, man muss tatsächlich diesen Wert dann mit angeben. Ich könnte mir vorstellen, dass das ein Bug ist, den so was ist mir bei andern Routern / Firewalls noch nie passiert.Jetzt scheint Netflix über IPv6 zu funktionieren, ich werde es weiter beobachten
. -
@nonick Und wo hast du MTU gesetzt? Auf dem WAN? Auf was?
-
@jegr Hi Jens, den MTU Wert von 1492 hatte ich schon immer auf dem WAN Interface gesetzt. Das ist ja bei PPPoE notwendig und bei mir auch der richtige ermittelte Wert. Zusätzlich musste ich jetzt noch den MMS Wert von 1452 auf dem WAN Interface eintragen. Das kenne ich so von anderen PPPoE Clients nicht, da wird der MSS Wert dann automatisch gesetzt (MTU-Wert - 40 Byte) wenn nicht explizit anderes angegeben. Bei IPv4 scheint das auch so auf der Sense zu funktionieren, nur nicht bei IPv6.
Das alles betrifft natürlich nur das WAN Interface.
Gruß Micha
-
Schön zu lesen, dass es hier weitergeht. Bevor ich jetzt wieder einen Versuch unternehme mein IPv6 zu konfigurieren könnte @JeGr das vielleicht nochmal verifizieren :-)
Wo würde ich denn diese Einstellungen finden?
Ich hab hier nur folgende:
-
-
@nonick Allerdings liest sich der Parameterwert bei MSS so, als müsste da 1492 rein, nicht 1452, denn dort steht ja, dass der Wert der dort eingetragen MINUS 40 genutzt wird. Somit wäre ja 1412 aktiv?
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@jegr
Diesen Satz habe ich auch schon ca. 18 mal gelesen und werde daraus nicht schlau, auch nicht aus dem Originaltext.Einzige vernünftige Erklärung für mich ist ein Schreibfehler. Es macht ja absolut keinen Sinn, dass MSS von MTU hergeleitet wird, falls ein MSS-Wert eingetragen ist. Das kann doch nur heißen sollen, falls kein Wert angegeben ist, wird MSS aus MTU minus 40 angenommen.
Übrigens soweit ich weiß, sollte der bei IPv6 um 60 geringer sein als MTU.
-
falls kein Wert angegeben ist, wird MSS aus MTU minus 40 angenommen
Genau das ist gemeint. Das funktioniert auch unter IPv4, nur nicht unter IPv6. Da muss man den Wert händisch eintragen, damit dieser auch tatsächlich genutzt wird.
-
@viragomann
Der Wert sollte tatsächlich um 60 geringer sein als MTU für IPV6. Da man bei der pfsense aber keine Einstellung für ipv6 treffen kann und das WAN interface, glaube ich sowohl für ipv4 als auch für ipv6 gilt, habe ich in dem Fall die MSS Größe von IPV4 eingetragen ( MTU - 40 ) angegeben.
Für IPV6 wären aber MTU - 60 korrekt. Finde dafür aber keine Einstellungsmöglichkeiten.
https://webcodr.io/2018/02/telekom-vdsl-mtu-und-mss-clamping-f%C3%BCr-ipv4-und-ipv6/Da mein Fehlerbild dadurch behoben worden ist, gebe ich mich damit zufrieden. Viel Erfolg.
-
@nowa-it said in IPv6 und HTTPS... Kann manche Seiten aufrufen, andere hingegen nicht?!:
Da mein Fehlerbild dadurch behoben worden ist, gebe ich mich damit zufrieden.
Ist auch okay so, wenn es funkt.
Habe es eingwandt für den Fall, dass es dennoch Probleme geben sollte. -
@nowa-it said in IPv6 und HTTPS... Kann manche Seiten aufrufen, andere hingegen nicht?!:
Für IPV6 wären aber MTU - 60 korrekt. Finde dafür aber keine Einstellungsmöglichkeiten.
Das es nun nachgewiesen automatisch nicht bei der pfSense unter IPv6 funktioniert, sollte man vielleicht über eine Implementierung dieser Funktion nachdenken. Bei anderen Firewalls / Router gibt es ja auch die Möglichkeit, für IPv4 und IPv6 einen getrennten MSS Wert anzugeben.
Das Argument ICMPv6 sollte genau das verhindern hilft eben auch nicht, wenn sich Anbieter nicht daran halten.
-
Nur eine Frage: hat jemand statt direkt an MTU und MSS rumufingern ;) schonmal direkt im PPP(oE) Teil nachgeschaut und eine der Advanced Options ausprobiert?
Vielleicht könnte einer, der die Probleme nachstellen kann, das ja mal testen, bevor man/wir da ein Fass aufmachen und die Lösung uns auf der Nase rumtanzt. Denn im PPPoE Setting unter Advanced gibts u.a. folgende Settings:
Und gerade der Punkt TCPmssfix erscheint mir da interessant zu ohne gleich am MSS des Interfaces rumspielen zu müssen. :)
-
@jegr Ja. Der Punkt bewirkt leider gar nichts.
Habe das Problem wie folgt reproduziert: MSS Wert unter dem WAN Interface entfernt. Netflix und einige Telekom Seiten hatten wieder Timeout.Anschließend TCPmssFix aktiviert. Geräte neugestartet, aber das Fehlerbild war weiter vorhanden. (Netflix wird nicht geladen.
Ergo MSS wert von 1452 wieder rein. Siehe da alles wunderbar!
-
@nowa-it Das gleiche Verhalten konnte ich auch so nachstellen.
Die Einstellung TCPmssFix ist Standardmäßig aktiviert und scheint schon was damit zu tun zu haben. Nur leider wirkt sich das nur auf IPv4 aus und nicht auf IPv6. Dort wird das entweder ignoriert, oder ein falscher Wert wird ausgewürfelt.
