IPv6 지원 홈 네트워크의 클라이언트 브라우저가 멈추고 특정 IPv6 사이트 (예 : CloudFlare에서 운영되는 사이트)에서 https : // URL을로드하려고 시도하면 시간이 초과됩니다. 이러한 상황에서 방화벽의 실시간 로그는 자동으로 원격 HTTPS 서버에서 인바운드 RST 패킷을 많이 삭제한다는 것을 보여줍니다. 다른 IPv6 사이트 (예 : https://ipv6.google.com 아무런 문제없이 즉시로드 할 수 있습니다. RST 패킷을 네트워크에 거의 또는 전혀 보내지 않습니다. 내가 지금 가지고있는 유일한 성공적인 해결 방법은 특정 IPv6 주소 범위에 대한 아웃 바운드 HTTPS 액세스를 차단하는 방화벽 정책입니다. 이는 브라우저가 효과적으로 IPv4를 통해 문제가있는 HTTPS 서버에 도달하도록합니다. 덜 매력적인 옵션은 6rd 및 radvd를 비활성화하여 IPv6을 완전히 끄는 것입니다.
다음은 환경에 대한 몇 가지 적절한 세부 정보입니다.
- 인터넷 연결은 단일 정적 IPv4 주소가있는 CenturyLink ADSL2 + PPPoE입니다.
- DSL 모뎀 Actiontec C1000A 최신 펌웨어 적용
- 방화벽 소포스 UTM v9.2 , DHCP, DNS 전달, 패킷 필터 및 내부 radvd를 처리합니다.
- 모뎀은 IPv4의 경우 NAT를 처리하고 IPv6의 경우 NAT를 처리합니다.
- 모뎀 LAN 및 방화벽 외부 인터페이스로 공유되는 네트워크는 192.168.0.0/24 및 fd00 :: / 64입니다.
- 클라이언트 컴퓨터와 방화벽 내부 인터페이스가 공유하는 네트워크는 192.168.1.0/24 및 2602입니다. xxxx : xxxx : xxxx :: / 64
- 트래픽은 모뎀 LAN에서 방화벽의 NAT 대신 모뎀의 고정 경로를 통해 방화벽 외부 인터페이스로 라우팅됩니다.
IPv6를 통한 HTTPS의 경우 Google 사이트가 정상적으로로드되지만 CloudFlare 호스팅 사이트는 항상 실패합니다. 둘 다 네트워킹 전문가 팀을 보유한 대기업이기 때문에 CloudFlare가 여기서 어떤 일을하고 있는지 확실하지 않습니다.
다른 사람이 CloudFlare의 HTTPS 서버가 IPv6에서 재설정 패킷을 많이 보내지 만 IPv4에서는 그렇지 않은 것을보고 있습니까?
내 ISP 인 CenturyLink가 나를 돕거나 보호하려는 잘못된 시도로 RST 패킷을 위조 할 수 있습니까?
브라우저가 서버의 SSL 구현의 일부 측면에 불만족 스럽기 때문에 재설정이 전송됩니까?