<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">чт, 24 сент. 2020 г. в 16:27, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello!<br>
<br>
On Thu, Sep 24, 2020 at 02:03:37PM +0300, Sergey Budnevitch wrote:<br>
<br>
> > Продемонстрированная проблема ровно одна: пакетный менеджер не <br>
> > может получить <br>
> > <a href="http://nginx.org/packages/debian/dists/buster/InRelease" rel="noreferrer" target="_blank">http://nginx.org/packages/debian/dists/buster/InRelease</a> с <br>
> > IPv6-адреса 2a05:d014:edb:5704::6, жалуясь на разрыв соединения.<br>
> > <br>
> > <br>
> > Первый запрос дождался таймаута (непонятно почему).<br>
> > Второй запрос выполнился мгновенно.<br>
> > <a href="https://pastebin.com/dWbffATH" rel="noreferrer" target="_blank">https://pastebin.com/dWbffATH</a><br>
> <br>
> Смотрите:<br>
> a) вы продемонстрировали проблему с первым подключением к <a href="http://nginx.org" rel="noreferrer" target="_blank">nginx.org</a><br>
> b) вы утверждаете что бывает проблема с резолвером, когда используется ipv6<br>
> c) вы используете  Hurricane Electric tunnel brocker для ipv6<br>
> <br>
> Поскольку a) и b) не связаны, я бы грешил на конфигурацию туннеля и/или на какие-то проблемы в he.<br>
> <br>
> <a href="http://nginx.org" rel="noreferrer" target="_blank">nginx.org</a> доступен по ipv6 c нескольких точек с которых я мог проверить, и судя по логам подключаются<br>
> по ipv6 к <a href="http://nginx.org" rel="noreferrer" target="_blank">nginx.org</a> как обычно.<br>
<br>
Насколько я вижу, соединение нормально устанавливается, запрос <br>
отправляется, а ответ не приходит и ждёт таймаута.  После чего на <br>
некоторое время всё исправляется.<br>
<br>
Если используется тоннель, то это выглядит и пахнет как <br>
классическая проблема с MTU, которая лечится за счёт PMTU black <br>
hole detection.<br>
<br>
Я со своей стороны давно разочаровался в идее работоспособности <br>
PMTU discovery в современном интернете, и жить с тоннелями без <br>
правки MSS никому не рекомендую.<br>
<br>
Но с нашей стороны явно имеет смысл проверить, что ICMP <br>
fragmentation needed (ICMPv6 Packet Too Big) в зоне нашей <br>
ответственности ходят нормально и не зафильтрованы.  С учётом <br>
того, что пинги не ходят - у меня вот лично в этом сомнения.<br>
<br></blockquote><div><br></div><div>Благодарю. <br>Похоже таки проблема в MTU/PMTU.</div><div>Выставил в туннеле MTU 1480 при MTU 1500 физическом интерфейсе и заработало.<br>Подозреваю опцию<br>net.ipv4.tcp_mtu_probing = 0<br>на маршрутизаторе.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
-- <br>
Maxim Dounin<br>
<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div>