Bonjour la liste,
J'essaye de jouer un peu avec IPv6 au taf sur notre LAN (livebox, donc pas d'IPv6, donc tunnel broker HE), tout a marché relativement vite, mais je suis confronté à un petit soucis. J'ai voulu me connecter à un site avec Facebook Connect, et là, c'est looooong avant de fonctionner. Il s'avère que ça essaye d'aller sur graph.facebook.com en IPv6 avant de fallback en IPv4.
Je reproduis avec un "telnet graph.facebook.com 443". Côté telnet, ça hang sur "connecting to ..." avant de fallback en IPv4 et fonctionner.
La trace sur le routeur correspondant à la tentative de connexion et le début de lag est la suivante :
root@router:~# tcpdump -i he-ipv6 -s 0 -A -nnvv ip6 and host 2a03:2880:10:8f01:face:b00c:0:26 tcpdump: WARNING: he-ipv6: no IPv4 address assigned tcpdump: listening on he-ipv6, link-type RAW (Raw IP), capture size 65535 bytes
20:52:25.932060 IP6 (hlim 63, next-header TCP (6) payload length: 40) 2001:470:XXXX:0:5054:ff:fe68:fb38.45296 > 2a03:2880:10:8f01:face:b00c:0:26.443: Flags [S], cksum 0x5539 (correct), seq 1210109642, win 5760, options [mss 1440,sackOK,TS val 1919411 ecr 0,nop,wscale 7], length 0 `....(.? ..p....PT...h.8*.(............&....H ..........U9......... ..I......... 20:52:26.124836 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x4709 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577472671 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.G ......... ^.R...I.... 20:52:28.930605 IP6 (hlim 63, next-header TCP (6) payload length: 40) 2001:470:XXXX:0:5054:ff:fe68:fb38.45296 > 2a03:2880:10:8f01:face:b00c:0:26.443: Flags [S], cksum 0x524b (correct), seq 1210109642, win 5760, options [mss 1440,sackOK,TS val 1920161 ecr 0,nop,wscale 7], length 0 `....(.? ..p....PT...h.8*.(............&....H ..........RK......... ..L......... 20:52:29.119830 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3b57 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577475665 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.;W......... ^.^Q..I.... 20:52:29.300834 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3aa0 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577475848 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.:.......... ^._...I.... 20:52:29.899837 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3848 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577476448 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.8H......... ^.a`..I.... 20:52:30.504831 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x35ef (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577477049 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.5.......... ^.c...I.... 20:52:31.104833 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3397 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577477649 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.3.......... ^.f...I.... 20:52:31.704835 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x313f (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577478249 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.1?......... ^.hi..I.... 20:52:34.930630 IP6 (hlim 63, next-header TCP (6) payload length: 40) 2001:470:XXXX:0:5054:ff:fe68:fb38.45296 > 2a03:2880:10:8f01:face:b00c:0:26.443: Flags [S], cksum 0x4c6f (correct), seq 1210109642, win 5760, options [mss 1440,sackOK,TS val 1921661 ecr 0,nop,wscale 7], length 0 `....(.? ..p....PT...h.8*.(............&....H ..........Lo......... ..R}........ 20:52:35.121332 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3bd1 (correct), seq 2794353901, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577481664 ecr 1921661,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8......t.H ....7.;.......... ...
J'ai essayé pas mal de truc à base de MTU et de réduction de MSS, mais rien semble fonctionner. Avez vous déjà rencontré ce genre de problème avec des IPv6 tunnel broker ? C'est pour l'instant le seul site où j'ai rencontré un problème...
Valentin
2012/11/27 Valentin Surrel valentin@surrel.org:
J'essaye de jouer un peu avec IPv6 au taf sur notre LAN (livebox, donc pas d'IPv6, donc tunnel broker HE), tout a marché relativement vite, mais je suis confronté à un petit soucis. J'ai voulu me connecter à un site avec Facebook Connect, et là, c'est looooong avant de fonctionner. Il s'avère que ça essaye d'aller sur graph.facebook.com en IPv6 avant de fallback en IPv4.
Je reproduis avec un "telnet graph.facebook.com 443". Côté telnet, ça hang sur "connecting to ..." avant de fallback en IPv4 et fonctionner.
Hello,
D'ici ça a l'air de bien fonctionner via un tunnel HE aussi; mais ça me donne pas la même IP sur le DNS, ça doit être load-balancé. Regarde si tu as pas sur le chemin un firewall trop généreux qui bloque l'icmp...
% telnet graph.facebook.com 443 21:29 #102 Trying 2a03:2880:2110:df01:face:b00c:0:2... Connected to api.facebook.com. Escape character is '^]'. ^] telnet> quit
Cordialement,
Le mardi 27 novembre 2012 à 21:35 +0100, Aurélien a écrit :
D'ici ça a l'air de bien fonctionner via un tunnel HE aussi; mais ça me donne pas la même IP sur le DNS, ça doit être load-balancé. Regarde si tu as pas sur le chemin un firewall trop généreux qui bloque l'icmp...
Pour le DNS ou j'ai vu, ca me l'a fait avec 3 IP différentes au moins. Pour l'icmp, si le ping passe c'est censé être ok, or il passe correctement...
Le mardi 27 novembre 2012 à 21:46 +0100, Valentin Surrel a écrit :
Le mardi 27 novembre 2012 à 21:35 +0100, Aurélien a écrit :
D'ici ça a l'air de bien fonctionner via un tunnel HE aussi; mais ça me donne pas la même IP sur le DNS, ça doit être load-balancé. Regarde si tu as pas sur le chemin un firewall trop généreux qui bloque l'icmp...
Pour le DNS ou j'ai vu, ca me l'a fait avec 3 IP différentes au moins. Pour l'icmp, si le ping passe c'est censé être ok, or il passe correctement...
__
root@router:~# telnet graph.facebook.com 443 Trying 2a03:2880:10:1f02:face:b00c:0:2... Connected to api.facebook.com.
Hum du routeur même cela fonctionne très bien. C'est donc bien au niveau du routage que j'ai un soucis... Sachant que HE m'affecte un /48 que j'ai splitté et mis en partie sur mon LAN.
Liste de diffusion du FRsAG http://www.frsag.org/
Tu fais du router-advertisement ?
Valentin Surrel a écrit :
Le mardi 27 novembre 2012 à 21:46 +0100, Valentin Surrel a écrit :
Le mardi 27 novembre 2012 à 21:35 +0100, Aurélien a écrit :
D'ici ça a l'air de bien fonctionner via un tunnel HE aussi; mais ça me donne pas la même IP sur le DNS, ça doit être load-balancé. Regarde si tu as pas sur le chemin un firewall trop généreux qui bloque l'icmp...
Pour le DNS ou j'ai vu, ca me l'a fait avec 3 IP différentes au moins. Pour l'icmp, si le ping passe c'est censé être ok, or il passe correctement...
__
root@router:~# telnet graph.facebook.com 443 Trying 2a03:2880:10:1f02:face:b00c:0:2... Connected to api.facebook.com.
Hum du routeur même cela fonctionne très bien. C'est donc bien au niveau du routage que j'ai un soucis... Sachant que HE m'affecte un /48 que j'ai splitté et mis en partie sur mon LAN.
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Le mardi 27 novembre 2012 à 22:00 +0100, Christophe a écrit :
Tu fais du router-advertisement ?
Oui :
root@router:~# cat /etc/radvd.conf interface eth0 { AdvSendAdvert on; prefix 2001:470:XXXX::/64 { AdvOnLink on; AdvAutonomous on; }; };
J'ai essayé avec AdvLinkMTU 1436; en plus voire définir à la main des mtu plus basse sur un PC du LAN, ca change rien. C'est très frustrant de voir que c'est ok sur le router et KO sur les PC du LAN, alors que le ping est OK... :)
Valentin Surrel a écrit :
Le mardi 27 novembre 2012 à 22:00 +0100, Christophe a écrit :
Tu fais du router-advertisement ?
Oui :
root@router:~# cat /etc/radvd.conf interface eth0 { AdvSendAdvert on; prefix 2001:470:XXXX::/64 { AdvOnLink on; AdvAutonomous on; }; };
J'ai essayé avec AdvLinkMTU 1436; en plus voire définir à la main des mtu plus basse sur un PC du LAN, ca change rien. C'est très frustrant de voir que c'est ok sur le router et KO sur les PC du LAN, alors que le ping est OK... :)
Arf, c'est ce que j'allais te proposer :
Si tu n'est pas descendu en dessous de 1436 , je t'invite à coller un
AdvLinkMTU 1280;
C'est ce qui a fonctionné ma conf , avec un routeur de test à base de linux .
Liste de diffusion du FRsAG http://www.frsag.org/
Bon j'ai un peu honte j'ai loupé qqch dans mon iptables, voici la ligne qui manquait :
ip6tables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
La fatigue je pense, désolé pour le bruit...
Valentin
Bonjour Valentin,
J'ai eu ce genre de soucis dans le temps.
Quelques différences avec ton cas :
J'utilise des tunnels chez SixXS (bien que j'en ai également chez HE). Je monte les tunnel directement sur les modems routeurs cisco qui possèdent l'adresse IPv4 publique de la connexion ADSL. Faire passer ce genre de tunnels à travers du NAT, pose souvent des soucis.
J'avais le genre de soucis que tu rencontres, lorsque j'essayais de naviguer le forum Ubuntu . (tout le reste fonctionnant parfaitement, pour ce que j'en faisais en tout cas ! ).
Et la résolution du problème passe effectivement par la modification des MSS et MTU , en particulier avec certains accès en PPPoA dont la MTU n'est pas 1500. L'idée étant de faire en sorte que le paquet IPv6 + encapsulation pour passer dans le tunnel soit inférieure à la MTU de l'accès ADSL.
Dans le cas présent : Un accès internet OVH en collecte SFR (et les parties intéressantes de la config).
interface Dialer0 description OVHADSL ip mtu 1456 ip virtual-reassembly ip tcp adjust-mss 1452
interface Tunnel0 description IPv6 SixXS tunnel ipv6 enable ipv6 mtu 1280 ipv6 virtual-reassembly tunnel mode ipv6ip
Les MTU en IPv6 sont toutes à 1280 , aussi bien côté tunnelbroker que routeur (aussi possible chez HE dans l'onglet "Advanced" de ton tunnel).
Autrement , avec "ayiya" (Anything In Anything) chez SiXXS (géré par l'utilitaire aiccu sous linux) , il me semble ne jamais avoir eu de soucis de ce type.
En espérant que ca aide.
@+ Christophe.
Valentin Surrel a écrit :
Bonjour la liste,
J'essaye de jouer un peu avec IPv6 au taf sur notre LAN (livebox, donc pas d'IPv6, donc tunnel broker HE), tout a marché relativement vite, mais je suis confronté à un petit soucis. J'ai voulu me connecter à un site avec Facebook Connect, et là, c'est looooong avant de fonctionner. Il s'avère que ça essaye d'aller sur graph.facebook.com en IPv6 avant de fallback en IPv4.
Je reproduis avec un "telnet graph.facebook.com 443". Côté telnet, ça hang sur "connecting to ..." avant de fallback en IPv4 et fonctionner.
La trace sur le routeur correspondant à la tentative de connexion et le début de lag est la suivante :
root@router:~# tcpdump -i he-ipv6 -s 0 -A -nnvv ip6 and host 2a03:2880:10:8f01:face:b00c:0:26 tcpdump: WARNING: he-ipv6: no IPv4 address assigned tcpdump: listening on he-ipv6, link-type RAW (Raw IP), capture size 65535 bytes
20:52:25.932060 IP6 (hlim 63, next-header TCP (6) payload length: 40) 2001:470:XXXX:0:5054:ff:fe68:fb38.45296 > 2a03:2880:10:8f01:face:b00c:0:26.443: Flags [S], cksum 0x5539 (correct), seq 1210109642, win 5760, options [mss 1440,sackOK,TS val 1919411 ecr 0,nop,wscale 7], length 0 `....(.? ..p....PT...h.8*.(............&....H ..........U9......... ..I......... 20:52:26.124836 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x4709 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577472671 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.G ......... ^.R...I.... 20:52:28.930605 IP6 (hlim 63, next-header TCP (6) payload length: 40) 2001:470:XXXX:0:5054:ff:fe68:fb38.45296 > 2a03:2880:10:8f01:face:b00c:0:26.443: Flags [S], cksum 0x524b (correct), seq 1210109642, win 5760, options [mss 1440,sackOK,TS val 1920161 ecr 0,nop,wscale 7], length 0 `....(.? ..p....PT...h.8*.(............&....H ..........RK......... ..L......... 20:52:29.119830 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3b57 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577475665 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.;W......... ^.^Q..I.... 20:52:29.300834 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3aa0 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577475848 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.:.......... ^._...I.... 20:52:29.899837 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3848 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577476448 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.8H......... ^.a`..I.... 20:52:30.504831 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x35ef (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577477049 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.5.......... ^.c...I.... 20:52:31.104833 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3397 (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577477649 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.3.......... ^.f...I.... 20:52:31.704835 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x313f (correct), seq 2390601137, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577478249 ecr 1919411,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8.....}..H ....7.1?......... ^.hi..I.... 20:52:34.930630 IP6 (hlim 63, next-header TCP (6) payload length: 40) 2001:470:XXXX:0:5054:ff:fe68:fb38.45296 > 2a03:2880:10:8f01:face:b00c:0:26.443: Flags [S], cksum 0x4c6f (correct), seq 1210109642, win 5760, options [mss 1440,sackOK,TS val 1921661 ecr 0,nop,wscale 7], length 0 `....(.? ..p....PT...h.8*.(............&....H ..........Lo......... ..R}........ 20:52:35.121332 IP6 (class 0x80, hlim 51, next-header TCP (6) payload length: 40) 2a03:2880:10:8f01:face:b00c:0:26.443 > 2001:470:XXXX:0:5054:ff:fe68:fb38.45296: Flags [S.], cksum 0x3bd1 (correct), seq 2794353901, ack 1210109643, win 14280, options [mss 1440,sackOK,TS val 1577481664 ecr 1921661,nop,wscale 9], length 0 h....(.3*.(............& ..p....PT...h.8......t.H ....7.;.......... ...
J'ai essayé pas mal de truc à base de MTU et de réduction de MSS, mais rien semble fonctionner. Avez vous déjà rencontré ce genre de problème avec des IPv6 tunnel broker ? C'est pour l'instant le seul site où j'ai rencontré un problème...
Valentin
Liste de diffusion du FRsAG http://www.frsag.org/
-
Aurélien -
Christophe -
Valentin Surrel