我最近让 IPv6 原生(双栈)从我的 ISP 运行到我的家庭网络。“运行”意味着我协商 IPv6 连接、网关和委派的 /56 前缀。我的 LAN 拾取此前缀(将其放在 0x1 子网中,尽管使用 0x0 子网划分不会改变报告的行为),邻居发现似乎正在做所有正确的事情。访问 IPv6 测试站点似乎显示主机和 DNS64 等的所有内容均符合预期。也就是说,大多数测试站点都知道我来自 ISP 提供的块中的地址。
我正在使用运行 OPNsense 的自制设备(本质上是带有 Web 配置的“强化” FreeBSD)。
一切似乎都很好,直到网络上有人尝试使用 Zoom 应用程序进行常规 Zoom 会议。如果运行 Zoom 的主机没有通过 VPN(即,与我的公司笔记本电脑不同,它通过 Cisco VPN,基本上只对世界其他地方使用 IPv4),那么 Zoom 会旋转很长时间,直到它抱怨无法连接。替代的“网络”应用程序可以工作。如果我没记错的话,错误是“104103”,这是一个一般的连接错误。
经过一番调查,我确定 Windows 10 和最近稳定的 Debian 上的问题在于原生 IPv6。较旧的 Mac OS 客户端似乎可以工作,但我感觉它在失败时会自动切换到基于 Web 的 Zoom 应用程序(“从浏览器加入”)。
在 LAN 上禁用 IPv6,这样“临时”非本地 IPv6 地址就无法用于传出连接,Zoom 应用程序就可以正常工作。它似乎更喜欢 NAT 后的 IPv4 地址,而不是非 NAT 后的委托 IPv6 地址。
我愿意承认这是我这边的配置问题,但我无法解释为什么 IPv6-to-Zoom 无法工作,而其他一切似乎都正常。我试过:
- 允许所有流量通过防火墙而不进行任何过滤。OPNsense 使用我非常熟悉的 BSD pf,日志显示大量不受限制的流量从 LAN 主机(使用它选择的任何“临时”INET6 地址)流向 Zoom 和 AWS 节点(例如 ec2-3-213-157-163.compute-1.amazonaws.com)。我推测 Zoom 正在这些节点托管他们的服务。我绝不但看不到任何流量,无论是否受阻。
- 创建专门允许 Zoom IPv6 /40 网络的规则(即使我从未看到过传入流量,如上所述。)
- 删除了边缘框使用的所有 Google 和 Cloudflare DNS 引用,并默认使用我的 ISP DNS。(Reddit 帖子中关于 Zoom 的类似报告中也提到了这一点。不太可能,但我确实排除了这种可能。)
- 确认边缘盒本身的 IPv6 地址(WAN 和 LAN 端)以及运行 Zoom 客户端的主机使用的临时地址可通过 IPV6-ICMP 访问。我特别允许 IPV6-ICMP 回显请求以及防火墙上所有必需的 RFC-4890 IPV6-ICMP 流量。我不要按照 RFC-4193 使用“唯一”寻址。
- 检查了 WAN NIC 设置和 MTU,以防这是 WAN 这边我没有看到的严重碎片问题。我可以 ping 6 个足够大的数据包以容纳任何 IPv6 流量。各种 NIC 配置对问题没有影响。
- 将 PPPoE WAN 配置为不接受 WAN 设备本身的 IP。我还尝试请求不同的前缀,但我的 ISP 只给我一个前缀 /56。无论我用 0x0、0x1 还是 0xFF 对其进行子网划分都没有区别。
- 无奈之下,我将 LAN 配置为使用 SLAAC 而不是“跟踪接口”(基本上是 DHCP6 和 RA 和 NDP),以防我的 ISP 同时执行这两项操作。(当然,Zoom 在这种情况下可以工作,因为我的 LAN 从未获得任何 IPv6 地址。)
所有这些测试都是通过 Windows 10 或 Linux 上的 Zoom“测试”会议完成的。
我在网上看到至少另外两份报告,报告指出看似正确的 IPv6 原生功能无法与 Zoom 配合使用。除了一般的防火墙规则外,我在他们的支持网站上没有看到任何关于此问题的信息。我只是没有看到证据表明这是防火墙问题。
这感觉像是一个路由问题,LAN 主机使用的临时 INET6 地址通过防火墙(全状态)并到达 AWS 或 Zoom,但预期的回复不知何故没有返回。这种感觉是基于这样一个事实:我看到我的网络一遍又一遍地尝试不同的 AWS 地址(显然还有不同的源端口),因为从来没有有用的回复。防火墙管理所有这些传出状态,直到它们最终过期。
也许 Zoom 不喜欢任何反向查找都不会返回任何实际的主机或域名?即使它确实返回了,我在防火墙处也有一个完全不同的外部域名,并且它仅用作某些特殊 A 记录(而不是 AAAA 记录)的目的地。一个主要区别是,具有 IPv4 的 NAT 主机是一个静态 IP,具有一些与之关联的 A 和 CNAME。任何非 NAT 的 IPv6 流量都不是这种情况。
也许其他人也有这个问题?也许有更多 INET6 知识的人知道我该如何进一步研究这个问题?我甚至想听听任何使用 IPv6 原生双栈网络的人的意见,能使用他们的应用程序连接到 Zoom。