El uso de subdominios DDns comunes puede provocar una degradación del servicio de banda ancha de China Telecom
Categories:
IPv6 lleva tres meses con problemas de desconexión y fallos de perforación, finalmente he confirmado la causa, comparto con todos ustedes.
Primer post solicitando ayuda con el problema de desconexión IPv6
IPv6 siempre se podía acceder normalmente, sin cambios en la configuración, y los dispositivos tienen IPv6 independiente, pero no pueden conectarse a la red IPv6.
curl 6.ipw.cn no devuelve respuesta, ping6 y traceroute6 2400:3200::1 se interrumpen.
Modem en modo puente, se puede obtener la dirección IPv6 del router, que es una dirección que puede acceder a IPv6.
Se puede obtener el prefijo /56, los dispositivos bajo el router pueden obtener la dirección IPv6 asignada 240e:36f:15c3:3200::/56, pero no pueden conectarse a sitios web IPv6.
Se sospecha que el operador no ha configurado correctamente la ruta para 240e:36f:15c3:3200::, pero no se puede confirmar.
Un usuario dijo que podría ser por tráfico PCDN de subida excesivo, pero el tráfico de subida es pequeño, y no se ha habilitado PCDN.
También podría ser por el uso de servicios de proxy inverso de Cloudflare y Aliyun ESA.
Segundo post confirmando la causa directa
Se confirma que en algunas regiones, China Telecom degrada el servicio cuando hay muchas conexiones IPv6 entrantes http/https, manifestándose como:
- IPv6 falso, se puede obtener el prefijo
/56, la asignación IPv6 de los dispositivos es normal, pero el tracert carece de rutas, causando que IPv6 no pueda conectarse realmente. - Falsa perforación, las pruebas de conexión de tailscale muestran conexión directa, pero la latencia es muy alta, la velocidad real es extremadamente lenta.
Desactivando el proxy inverso de Cloudflare/Aliyun ESA, después de múltiples reinicios del router, se puede recuperar IPv6 y la verdadera conexión directa.
Desconexiones aún después de desactivar el proxy
Incluso después de desactivar el proxy, desactivando el retorno de origen de Cloudflare y Aliyun ESA, sigue ocurriendo desconexiones ocasionales, con duración prolongada.
Puede haber fugas de dominios, o alguien usa subdominios comunes para escanear, ataques http prolongados.
Deshabilitando la resolución de dominios DDns, después de un tiempo, IPv6 vuelve a la normalidad, y la perforación directa de tailscale también se normaliza.
Hasta ahora no ha vuelto a ocurrir el problema de desconexión.
Solución definitiva
Se recomienda a todos no usar subdominios DDns comunes, como:
- home.example.com
- nas.example.com
- router.example.com
- ddns.example.com
- cloud.example.com
- dev.example.com
- test.example.com
- webdav.example.com
Algunos de estos son los que he usado, posiblemente alguien los está escaneando continuamente, causando la degradación del servicio de banda ancha de China Telecom, no se puede usar normalmente IPv6 público, y siempre hay problemas para perforar directamente.
Todos saben la importancia de ocultar la IP en ciberseguridad, aquí se sugiere adicionalmente proteger el dominio usado para DDns, ya que también expone la IP.
¿Qué hacer si sigue habiendo necesidad de exponer servicios?
Aquí hay dos soluciones prácticas:
- Solución de retorno de origen, es un servicio de reenvío, la solicitud va primero al VPS y luego al Home Server. Debido al tráfico de redireccionamiento, la latencia y el ancho de banda se verán afectados.
- Solución DDns, es una solución de conexión directa, la experiencia de conexión será mucho mejor, se recomienda este método. Generalmente no se supera el límite de conexiones para uso personal, pero si se hace público el dominio, los bots pueden subir rápidamente el número de conexiones.
Solución de retorno de origen (proxy inverso)
Cloudflare Tunnel
Usar el Tunnel de Cloudflare, así no habrá decenas o cientos de IPs accediendo como en el retorno de origen normal.
Tailscale o ZeroTier
Crear una VPN propia, con un VPS delante, acceder a los servicios internos mediante VPN, así se evita que el número de conexiones simultáneas sea demasiado alto.
Solución DDns (conexión directa)
Resolución pública
Generar una cadena aleatoria, por ejemplo GUID, para el dominio DDns, aunque es casi imposible de recordar, el impacto en el uso personal es mínimo, se puede evaluar según cada caso.
Resolución privada
Usar un servicio DNS personal, como:
Para la resolución DDns.
De esta forma solo las personas que puedan conectarse al servidor DNS personal pueden obtener la IP de resolución personalizada del dominio especificado.
Con este método, se pueden usar subdominios DDns comunes, pero se debe evitar filtrar la dirección del servicio DNS personal.
Complemento
Se dice por ahí que usar speedtest como subdominio tiene un efecto mágico de aceleración.