Re: Проблемы со связностью по ipv6 сайта nginx.org
Vladislav V. Prodan
akapulko на gmail.com
Ср Сен 23 20:11:12 UTC 2020
ср, 23 сент. 2020 г. в 22:24, Maxim Dounin <mdounin на mdounin.ru>:
> Hello!
>
> On Wed, Sep 23, 2020 at 08:43:08PM +0300, Vladislav V. Prodan wrote:
>
> > ср, 23 сент. 2020 г. в 19:14, Maxim Dounin <mdounin на mdounin.ru>:
> >
> > > Hello!
> > >
> > > On Wed, Sep 23, 2020 at 06:12:32PM +0300, Vladislav V. Prodan wrote:
> > >
> > > > ср, 23 сент. 2020 г. в 18:09, Sergey Budnevitch <sb на nginx.com>:
> > > >
> > > > > On 23 Sep 2020, at 17:58, Vladislav V. Prodan <akapulko на gmail.com>
> > > wrote:
> > > > >
> > > > >
> > > > > Попытался воспроизвести проблему.
> > > > >
> > > > > Server: 8.8.8.8
> > > > > Address: 8.8.8.8#53
> > > > >
> > > > > Non-authoritative answer:
> > > > > Name: nginx.org
> > > > > Address: 3.125.197.172
> > > > > Name: nginx.org
> > > > > Address: 52.58.199.22
> > > > > Name: nginx.org
> > > > > Address: 2a05:d014:edb:5702::6
> > > > > Name: nginx.org
> > > > > Address: 2a05:d014:edb:5704::6
> > > > >
> > > > > Сущ:1 http://security.debian.org/debian-security buster/updates
> > > InRelease
> > > > > Сущ:2 http://deb.debian.org/debian buster InRelease
> > > > > Сущ:3 http://deb.debian.org/debian buster-updates InRelease
> > > > > Сущ:4 https://packages.sury.org/php buster InRelease
> > > > > Ошб:5 http://nginx.org/packages/debian buster InRelease
> > > > > Соединение разорвано [IP: 2a05:d014:edb:5704::6 80]
> > > > > Чтение списков пакетов… Готово
> > > > > W: Не удалось получить
> > > > > http://nginx.org/packages/debian/dists/buster/InRelease
> Соединение
> > > > > разорвано [IP: 2a05:d014:edb:5704::6 80]
> > > > > W: Некоторые индексные файлы скачать не удалось. Они были
> > > проигнорированы,
> > > > > или вместо них были использованы старые версии.
> > > > > Чтение списков пакетов… Готово
> > > > >
> > > > >
> > > > > То есть проблема не с резолвом. Смотрите tcpdump’ом что происходит
> с
> > > > > соединением.
> > > > >
> > > >
> > > > Спасибо.
> > > > Я подожду, когда вы разберетесь с настройками ipv6 в AWS.
> > >
> > > Модель поведения - публично облажаться, после чего нахамить и
> > > слиться - понятная, но не конструктивная.
> >
> > Здравствуйте, Максим.
> > Имеет место три проблемы, связанные с DNS, Ipv6 и вашим хостингом на AWS.
>
> Продемонстрированная проблема ровно одна: пакетный менеджер не
> может получить
> http://nginx.org/packages/debian/dists/buster/InRelease с
> IPv6-адреса 2a05:d014:edb:5704::6, жалуясь на разрыв соединения.
>
> Почему не может - вопрос для дополнительного разбирательства.
> Которое вы, почему-то, проводить не хотите даже на минимальном
> уровне.
>
> Какие-либо проблемы с DNS - не продемонстрированы. Наоброт,
> продемострировано, что если и есть какие-то теоретические
> претензии к DNS, как то отсутствие IPv6 NS-серверов, то они не
> относятся к наблюдаемой проблеме.
>
> > > Явно имеет место
> > > какая-то проблема, и возможно она на нашей стороне. Поскольку в
> > > настоящий момент вы единственный, у кого она проявляется - только
> > > вы можете разобраться, что происходит.
> > >
> >
> > Да, я вижу. На обоих трассах с he.net потери 3-10% на хопах внутри
> Амазона.
> > Кроме вас ну никто не может обратиться в ТП Амазона с указанными
> потерями.
> > И при условии, что вы внутри не намудрили с списками доступами и
> firewall.
>
> Потери в современном интернете, к сожалению, довольно трудно
> оценивать, ибо ICMP, даже если и не зафильтрован, обрабатывается
> по остаточном принципу. Но так или иначе потери не объясняют
> наблюдаемое вами поведение.
>
> > > Я бы начал с простого: проверил, получается ли запросить
> > > упомянутый URL с проблемного IP-адреса руками, например:
> > >
> >
> > Еще раз прочтите первое сообщение.
> > НЕ работает первый запрос, второй и последующие - работают.
> > И перестают работать где-то через час-два.
>
> Ну вот и попробуйте запросить руками через час-два. Лучше - с
> tcpdump'ом, чтобы видеть, что при этом происходит на уровне сети.
> И ещё можно Сергею скинуть IP-адрес, чтобы он посмотрел на
> происходящее со стороны сервера.
>
> (И да, в первом сообщении написано про "домен не ресолвится первый
> раз", что, как мы уже выяснили, не соответствует действительности.
> Не надо, пожалуйста, продолжать хамить, это гарантировано не
> приведёт ни к чему хорошему. Спасибо.)
>
Чтобы воспроизвести нересолвинг мне нужно подольше время, чтоб у "внешних"
ресолверов протухли TTL записи.
>
> --
> Maxim Dounin
> http://mdounin.ru/
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20200923/f78ce84f/attachment.htm>
Подробная информация о списке рассылки nginx-ru