LINUX.ORG.RU
ФорумAdmin

Ipv6 и https

 


0

1

Добрый вечер! Создавал ранее тему про ipv6 и https. Решение было такое:

dns_v4_first on

Но даже когда поставил

dns_v4_first off

Все равно трафик ходит через ipv4, что увидел с помощью tcpdump.

Убираю строчки и должно начинать ходить по ipv6, но ошибка: 

Connection to [unknown] failed.

The system returned: (110) Connection timed out

В логах access.log:

TCP_MISS/503 0 CONNECT urlsite.com:443 - HIER_NONE/- -

Кто что может подсказать? Пускать траф по ipv4 не вариант.


Как автоматически чистить /boot от старых ядер/initrd при обновлении системы?
Настройка Apache (Perl FastCGI)

tcpdump в помощь

А telnet-ом туда не пробовал ?

Может в ip6tables есть блокирующие правила ?

vel ★★★★★
()
Ответ на: комментарий от vel

Отвечаю по этапам)

tcpdump в помощь, увы не помог( 

22:57:16.986211 IP6 2a00:_:a7::1e0.38583 > p36-shv-01-ams3.sfafs.net.https: Flags [S], seq 3437619332, win 14400, options [mss 1440,sackOK,TS val 4244168 ecr 0,nop,wscale 3], length 0
22:57:33.018177 IP6 2a00:_:a7::1e0.38583 > p36-shv-01-ams3.sfafs.net.https: Flags [S], seq 3437619332, win 14400, options [mss 1440,sackOK,TS val 4248176 ecr 0,nop,wscale 3], length 0

telnet не пробовал

вывод ip6tables 

root@pps:~# ip6tables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Получается что запрос уходит, но ответа нету, если я правильно понял.

LinuxUs
() автор топика
Ответ на: комментарий от vel 
>ping6 google.ru
PING google.ru(ee-in-x5e.1e100.net) 56 data bytes
From 2a00:1ca8:a7::1e0 icmp_seq=2 Destination unreachable: Address unreachable
From 2a00:1ca8:a7::1e0 icmp_seq=3 Destination unreachable: Address unreachable
From 2a00:1ca8:a7::1e0 icmp_seq=4 Destination unreachable: Address unreachable
64 bytes from ee-in-x5e.1e100.net: icmp_seq=5 ttl=57 time=6.88 ms
64 bytes from ee-in-x5e.1e100.net: icmp_seq=6 ttl=57 time=5.11 ms
64 bytes from ee-in-x5e.1e100.net: icmp_seq=7 ttl=57 time=5.20 ms
64 bytes from ee-in-x5e.1e100.net: icmp_seq=8 ttl=57 time=5.02 ms
64 bytes from ee-in-x5e.1e100.net: icmp_seq=9 ttl=57 time=5.20 ms
64 bytes from ee-in-x5e.1e100.net: icmp_seq=10 ttl=57 time=5.18 ms
64 bytes from ee-in-x5e.1e100.net: icmp_seq=11 ttl=57 time=5.12 ms
64 bytes from ee-in-x5e.1e100.net: icmp_seq=12 ttl=57 time=5.16 ms
64 bytes from ee-in-x5e.1e100.net: icmp_seq=13 ttl=57 time=5.35 ms

traceroute6 google.ru 

traceroute6 google.ru
traceroute to google.ru (2a00:1450:4013:c00::5e), 30 hops max, 80 byte packets
 1  2a00:_:a7::1 (2a00:_:a7::1)  0.433 ms * *
 2  2a00:_::2:22 (2a00:_::2:22)  1.102 ms  1.193 ms  1.232 ms
 3  * * *
 4  2001:4860::1:0:87aa (2001:4860::1:0:87aa)  2.276 ms  2.307 ms  2.258 ms
 5  * * *
 6  * 2001:4860::8:0:b1b6 (2001:4860::8:0:b1b6)  5.822 ms  5.613 ms
 7  2001:4860::2:0:8651 (2001:4860::2:0:8651)  5.041 ms * 2001:4860::2:0:8652 (2001:4860::2:0:8652)  5.503 ms
 8  ee-in-x5e.1e100.net (2a00:1450:4013:c00::5e)  5.081 ms  5.072 ms *

Главное, что только по https не ходит, по http ipv6 бегает шустренько)

LinuxUs
() автор топика
Ответ на: комментарий от vel 
traceroute -n6Tp 443 google.ru
traceroute to google.ru (2a00:1450:4013:c00::5e), 30 hops max, 80 byte packets
 1  2a00:_:a7::1  0.355 ms * *
 2  2a00:_::2:22  1.001 ms  1.029 ms  1.147 ms
 3  * * *
 4  2001:4860::1:0:87ab  2.019 ms  1.962 ms 2001:4860::1:0:87aa  1.960 ms
 5  2001:4860::8:0:87b0  1.933 ms  1.937 ms *
 6  2001:4860::8:0:517a  5.128 ms  5.278 ms *
 7  2001:4860::2:0:8652  6.328 ms 2001:4860::2:0:8651  5.680 ms 2001:4860::2:0:8652  5.537 ms
 8  2a00:1450:4013:c00::5e  5.663 ms  5.856 ms  5.368 ms
LinuxUs
() автор топика
Ответ на: комментарий от vel 
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
	address 217._.208.33
	netmask 255.255.254.0
	network 217._.208.0
	broadcast 217._.209.255
	gateway 217._.208.1
	# dns-* options are implemented by the resolvconf package, if installed
	dns-nameservers 8.8.8.8
	dns-search domain.com
	


auto eth0:0
	iface eth0:0 inet static
	address 93._.209.55
	netmask 255.255.255.128

iface eth0 inet6 static
        address 2a00:_:a7::1e0
        netmask 32
        gateway 2a00:_:a7::1

Получается один.

LinuxUs
() автор топика
Ответ на: комментарий от LinuxUs

нет, просто сетка слишком большая.

Если с хоста (не через проксю) каким-нибудь браузером или утилью можно обратиться по https, значит проблема в сквиде.

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от vel 
telnet -6 google.ru 80
Trying 2a00:1450:4013:c00::5e...
Connected to google.ru.
Escape character is '^]'.
GET /
HTTP/1.0 302 Found
Cache-Control: private
Content-Type: text/html; charset=UTF-8
Location: http://www.google.nl/?gfe_rd=cr&ei=lHzpVrq1OsmvOpXMmOAI
Content-Length: 256
Date: Wed, 16 Mar 2016 15:32:36 GMT

<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>302 Moved</TITLE></HEAD><BODY>
<H1>302 Moved</H1>
The document has moved
<A HREF="http://www.google.nl/?gfe_rd=cr&amp;ei=lHzpVrq1OsmvOpXMmOAI">here</A>.
</BODY></HTML>
Connection closed by foreign host.

Может подскажите на чем еще как вариант можно поднять с приколом чтобы 1.1.1.1:1111 > ipv6_1, 1.1.1.1:2222 > ipv6_2 и тд.

Слышал про 3proxy, но не понял как настроить. Спасибо!

LinuxUs
() автор топика
Ответ на: комментарий от LinuxUs

на 80-й то зачем ? на 443 нужно было пойти wget/curl-ом lynx-ом или др. консольным браузером.

В скиде eсть acl типа myport. tcp_outgoing_address выбираешь через них. 

http_port 1.1.1.1:1111
http_port 1.1.1.1:1112

acl p1111 myport 1111
acl p1112 myport 1112

tcp_outgoing_address ipv6_1 p1111
tcp_outgoing_address ipv6_2 p1112

vel ★★★★★
()
Ответ на: комментарий от LinuxUs

telnet-ом https не изобразить! 

wget -6 -d -O /dev/zero https://google.ru/

Если оно не работает, значит проблема не у тебя, а где-то по пути и без обращения в ТП вряд ли обойтись.

vel ★★★★★
()

Друг, можно с тобой пообщаться по поводу сквида?

напиши мне на почту пожалуйста sokar1@gtop.me помоги за материальное вознаграждение )

moneylovers
()
Ответ на: комментарий от vel

Спасибо, вроде разобрались ;) Очень много инфы взял для себя при настройке прокси-сервера, а также вариантов тестирования для выявления проблемы.

Еще раз, большое спасибо!

LinuxUs
() автор топика
Ответ на: комментарий от moneylovers

А бюджет какой, может даже нету смысла писать ;)

LinuxUs
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Как автоматически чистить /boot от старых ядер/initrd при обновлении системы?
Admin
Настройка Apache (Perl FastCGI)