Kein Zugriff auf einige Websites über IPv6-Tunnel über LAN möglich

691
felamaslen

Mein Router (mit Ubuntu Linux) ist Dual-Stack-Dual-Ethernet. Die WAN-Schnittstelle des Routers ist mit IPv4-PPPoE für meinen ISP konfiguriert. Hurricane Electric gibt mir einen IPv6-Tunnel, der am Router arbeitet. Die LAN-Schnittstelle des Routers ist an einen PC mit Ubuntu Linux angeschlossen. Dieser ist auch als Dual Stack konfiguriert.

Vom Router gibt es kein Problem. Ich kann jede öffentliche IPv4- oder IPv6-Adresse im Internet per Ping anrufen und jede Website besuchen (ich habe sie mit getestet elinks).

Vom PC aus kann ich auch beliebige IPv4- oder IPv6-Adressen im Internet per Ping senden. Es gibt jedoch mehrere Websites (z. B. https://wiki.archlinux.org ), die bei Verwendung eines beliebigen Browsers (z. B. Firefox, Chrome usw.) eine Zeitüberschreitung verursachen, es sei denn, ich deaktiviere IPv6 auf dem PC.

Welche Art von Problem würde das verursachen?

Edit: Ich habe es gerade nochmal elinksam PC getestet . Nach einer Minute "SSL-Aushandlung" funktionierte es schließlich. Ich nehme an, dies könnte der Browser sein, der auf IPv6 abläuft und stattdessen IPv4 wählt.

1

1 Antwort auf die Frage

2
kasperd

Das häufigste Problem, das zu den von Ihnen beschriebenen Symptomen führt, ist eine falsch konfigurierte Firewall irgendwo auf dem Pfad, die dazu führt, dass die PMTU-Erkennung fehlschlägt.

Sie können die MTU-Einstellung im Tunnel selbst anpassen. Ich glaube, dass die korrekte MTU-Einstellung für den Betrieb von 6in4 über PPPoE 1476 ist. Denken Sie daran, dass Sie die MTU-Einstellung an beiden Enden des Tunnels anpassen müssen. Sie können auch mit niedrigeren Werten für die MTU-Einstellung im Tunnel experimentieren. Gehen Sie jedoch nicht niedriger als 1280, was der niedrigste vom IPv6-Standard zulässige Wert ist.

Wenn das Ändern der MTU im Tunnel nicht hilft, können Sie versuchen ip6tables, die MSS für alle über den Router weitergeleiteten TCP-SYN-Pakete zu verringern. Ich glaube, dass dieser Befehl dafür funktionieren sollte:

ip6tables -A FORWARD -p tcp --tcp-flags SYN SYN -j TCPMSS --set-mss 1220 

Ich glaube, dass 1220 der zuverlässigste Wert für die MSS ist.

Das gibt mir "xt_TCPMSS: Funktioniert nur auf TCP-SYN-Paketen" felamaslen vor 8 Jahren 0
Ich habe die MTU im Tunnel auf 1472 geändert und jetzt funktioniert es. Brillant. Vielen Dank! felamaslen vor 8 Jahren 1
@FelaMaslen Großartig. Ich habe auch meine Antwort aktualisiert, um das `SYN`-Problem zu beheben, das Sie bei der ersten Version bemerkt haben. kasperd vor 8 Jahren 0