我启用 IPv6 的家庭网络上的客户端浏览器在尝试加载来自特定 IPv6 站点(例如由 CloudFlare 运营的站点)的 https:// URL 时会挂起并超时。在这些情况下,我的防火墙上的实时日志显示它正在默默地丢弃来自远程 HTTPS 服务器的大量入站 RST 数据包。其他 IPv6 站点,例如https://ipv6.google.com立即加载,没有任何问题,向我的网络发送很少或根本不发送 RST 数据包。目前我唯一成功的解决方法是防火墙策略,阻止对特定 IPv6 地址范围的出站 HTTPS 访问,从而有效地迫使浏览器通过 IPv4 访问有问题的 HTTPS 服务器。一个不太有吸引力的选择是通过禁用 6rd 和 radvd 完全关闭 IPv6。
以下是有关环境的一些相关细节:
- 互联网连接是 CenturyLink ADSL2+ PPPoE,具有单个静态 IPv4 地址
- DSL 调制解调器是Actiontec C1000A应用最新固件
- 防火墙Sophos UTM v9.2,处理 DHCP、DNS 转发、数据包过滤器以及 radvd 内部
- 调制解调器处理 IPv4 的 NAT 和 IPv6 的 6rd
- 调制解调器 LAN 和防火墙外部接口共享的网络是 192.168.0.0/24 和 fd00::/64
- 客户端机器和防火墙内部接口共享的网络是 192.168.1.0/24 和 2602:xxxx:xxxx:xxxx::/64
- 流量通过调制解调器上的静态路由(而不是防火墙上的 NAT)从调制解调器 LAN 路由到防火墙外部接口
当涉及到 IPv6 上的 HTTPS 时,Google 网站对我来说加载良好,而 CloudFlare 托管的网站总是加载失败。这两家公司都是拥有网络专家团队的大公司,所以我甚至不确定 CloudFlare 在这方面是否做错了什么。
是否有其他人看到 CloudFlare 的 HTTPS 服务器在 IPv6 上发送大量重置数据包,但在 IPv4 上没有发送?
我的 ISP CenturyLink 是否会伪造 RST 数据包,试图帮助或保护我?
发送重置是否是因为我的浏览器对服务器的 SSL 实现的某些方面不满意?