Re: Проблемы со связностью по ipv6 сайта nginx.org

[Maxim Dounin]

Hello!

On Wed, Sep 23, 2020 at 08:43:08PM +0300, Vladislav V. Prodan wrote:

> ср, 23 сент. 2020 г. в 19:14, Maxim Dounin <mdounin at mdounin.ru>:
> 
> > Hello!
> >
> > On Wed, Sep 23, 2020 at 06:12:32PM +0300, Vladislav V. Prodan wrote:
> >
> > > ср, 23 сент. 2020 г. в 18:09, Sergey Budnevitch <sb at nginx.com>:
> > >
> > > > On 23 Sep 2020, at 17:58, Vladislav V. Prodan <akapulko at gmail.com>
> > wrote:
> > > >
> > > >
> > > > Попытался воспроизвести проблему.
> > > >
> > > > Server:         8.8.8.8
> > > > Address:        8.8.8.8#53
> > > >
> > > > Non-authoritative answer:
> > > > Name:   nginx.org
> > > > Address: 3.125.197.172
> > > > Name:   nginx.org
> > > > Address: 52.58.199.22
> > > > Name:   nginx.org
> > > > Address: 2a05:d014:edb:5702::6
> > > > Name:   nginx.org
> > > > Address: 2a05:d014:edb:5704::6
> > > >
> > > > Сущ:1 http://security.debian.org/debian-security buster/updates
> > InRelease
> > > > Сущ:2 http://deb.debian.org/debian buster InRelease
> > > > Сущ:3 http://deb.debian.org/debian buster-updates InRelease
> > > > Сущ:4 https://packages.sury.org/php buster InRelease
> > > > Ошб:5 http://nginx.org/packages/debian buster InRelease
> > > >   Соединение разорвано [IP: 2a05:d014:edb:5704::6 80]
> > > > Чтение списков пакетов… Готово
> > > > W: Не удалось получить
> > > > http://nginx.org/packages/debian/dists/buster/InRelease  Соединение
> > > > разорвано [IP: 2a05:d014:edb:5704::6 80]
> > > > W: Некоторые индексные файлы скачать не удалось. Они были
> > проигнорированы,
> > > > или вместо них были использованы старые версии.
> > > > Чтение списков пакетов… Готово
> > > >
> > > >
> > > > То есть проблема не с резолвом. Смотрите tcpdump’ом что происходит с
> > > > соединением.
> > > >
> > >
> > > Спасибо.
> > > Я подожду, когда вы разберетесь с настройками ipv6 в AWS.
> >
> > Модель поведения - публично облажаться, после чего нахамить и
> > слиться - понятная, но не конструктивная.
> 
> Здравствуйте, Максим.
> Имеет место три проблемы, связанные с DNS, Ipv6 и вашим хостингом на AWS.

Продемонстрированная проблема ровно одна: пакетный менеджер не 
может получить 
http://nginx.org/packages/debian/dists/buster/InRelease с 
IPv6-адреса 2a05:d014:edb:5704::6, жалуясь на разрыв соединения.

Почему не может - вопрос для дополнительного разбирательства.  
Которое вы, почему-то, проводить не хотите даже на минимальном 
уровне.

Какие-либо проблемы с DNS - не продемонстрированы.  Наоброт, 
продемострировано, что если и есть какие-то теоретические 
претензии к DNS, как то отсутствие IPv6 NS-серверов, то они не 
относятся к наблюдаемой проблеме.

> > Явно имеет место
> > какая-то проблема, и возможно она на нашей стороне.  Поскольку в
> > настоящий момент вы единственный, у кого она проявляется - только
> > вы можете разобраться, что происходит.
> >
> 
> Да, я вижу. На обоих трассах с he.net потери 3-10% на хопах внутри Амазона.
> Кроме вас ну никто не может обратиться в ТП Амазона с указанными потерями.
> И при условии, что вы внутри не намудрили с списками доступами и firewall.

Потери в современном интернете, к сожалению, довольно трудно 
оценивать, ибо ICMP, даже если и не зафильтрован, обрабатывается 
по остаточном принципу.  Но так или иначе потери не объясняют 
наблюдаемое вами поведение.

> > Я бы начал с простого: проверил, получается ли запросить
> > упомянутый URL с проблемного IP-адреса руками, например:
> >
> 
> Еще раз прочтите первое сообщение.
> НЕ работает первый запрос, второй и последующие - работают.
> И перестают работать где-то через час-два.

Ну вот и попробуйте запросить руками через час-два.  Лучше - с 
tcpdump'ом, чтобы видеть, что при этом происходит на уровне сети.  
И ещё можно Сергею скинуть IP-адрес, чтобы он посмотрел на 
происходящее со стороны сервера.

(И да, в первом сообщении написано про "домен не ресолвится первый 
раз", что, как мы уже выяснили, не соответствует действительности.  
Не надо, пожалуйста, продолжать хамить, это гарантировано не 
приведёт ни к чему хорошему.  Спасибо.)

-- 
Maxim Dounin
http://mdounin.ru/