Re: Проблемы со связностью по ipv6 сайта nginx.org

[Maxim Dounin]

Hello!

On Thu, Sep 24, 2020 at 02:03:37PM +0300, Sergey Budnevitch wrote:

> > Продемонстрированная проблема ровно одна: пакетный менеджер не 
> > может получить 
> > http://nginx.org/packages/debian/dists/buster/InRelease с 
> > IPv6-адреса 2a05:d014:edb:5704::6, жалуясь на разрыв соединения.
> > 
> > 
> > Первый запрос дождался таймаута (непонятно почему).
> > Второй запрос выполнился мгновенно.
> > https://pastebin.com/dWbffATH
> 
> Смотрите:
> a) вы продемонстрировали проблему с первым подключением к nginx.org
> b) вы утверждаете что бывает проблема с резолвером, когда используется ipv6
> c) вы используете  Hurricane Electric tunnel brocker для ipv6
> 
> Поскольку a) и b) не связаны, я бы грешил на конфигурацию туннеля и/или на какие-то проблемы в he.
> 
> nginx.org доступен по ipv6 c нескольких точек с которых я мог проверить, и судя по логам подключаются
> по ipv6 к nginx.org как обычно.

Насколько я вижу, соединение нормально устанавливается, запрос 
отправляется, а ответ не приходит и ждёт таймаута.  После чего на 
некоторое время всё исправляется.

Если используется тоннель, то это выглядит и пахнет как 
классическая проблема с MTU, которая лечится за счёт PMTU black 
hole detection.

Я со своей стороны давно разочаровался в идее работоспособности 
PMTU discovery в современном интернете, и жить с тоннелями без 
правки MSS никому не рекомендую.

Но с нашей стороны явно имеет смысл проверить, что ICMP 
fragmentation needed (ICMPv6 Packet Too Big) в зоне нашей 
ответственности ходят нормально и не зафильтрованы.  С учётом 
того, что пинги не ходят - у меня вот лично в этом сомнения.

-- 
Maxim Dounin
http://mdounin.ru/