L'uso di sottodomini DDns comuni può causare il degrado del servizio broadband Telecom

Tags:

• 网络

Categories:

• 网络

Problemi di disconnessione IPv6 e fallimento del tunneling per più di tre mesi, finalmente identificata la causa, condivido con voi.

Primo post per richiedere aiuto sul problema di disconnessione IPv6

IPv6 ha sempre potuto accedere normalmente, senza modifiche alle impostazioni, e tutti i dispositivi hanno indirizzi IPv6 indipendenti, ma non riescono a connettersi alla rete IPv6.

curl 6.ipw.cn non restituisce nulla, ping6 e traceroute6 2400:3200::1 si interrompono.

Modem in modalità bridge, è possibile ottenere l’indirizzo IPv6 del router, che è un indirizzo che può accedere a IPv6.

È possibile ottenere il prefisso /56, tutti i dispositivi sotto il router possono ottenere indirizzi IPv6 assegnati 240e:36f:15c3:3200::/56, ma non riescono a connettersi ai siti web IPv6.

Sospetto che l’operatore non abbia costruito correttamente il routing per 240e:36f:15c3:3200::, ma non posso confermarlo.

Un utente del forum ha detto che potrebbe essere dovuto a un traffico di upload PCDN troppo elevato che causa il degrado, ma il traffico di upload è molto basso e PCDN non è attivo.

Potrebbe anche essere dovuto all’uso di reverse proxy Cloudflare e Aliyun ESA.

Secondo post per confermare la causa diretta

Confermo che in alcune aree Telecom l’operatore riduce il servizio a causa di un numero elevato di connessioni IPv6 in entrata su http/https, manifestandosi come:

• Falso IPv6: IPv6 può ottenere il prefisso /56, la distribuzione degli indirizzi IPv6 sui dispositivi è normale, ma il tracert manca di routing, causando l’impossibilità effettiva di collegarsi a IPv6.
• Falso tunneling: il test di connessione Tailscale mostra una connessione diretta, ma con latenza altissima e velocità effettiva molto lenta.

Disattivando il reverse proxy Cloudflare/Aliyun ESA, dopo diversi riavvii del router, IPv6 e il vero tunneling diretto possono essere ripristinati.

Disconnessione anche dopo aver disattivato il reverse proxy

Anche dopo aver disattivato il reverse proxy e aver disattivato il reverse proxy Cloudflare e Aliyun ESA, si verificano occasionalmente disconnessioni, con durata prolungata.

Potrebbe esserci una fuga di dominio o qualcuno che usa sottodomini comuni per la scansione, attacchi http a lungo termine.

Disattivando la risoluzione del dominio DDns, dopo un po’ di tempo, IPv6 torna normale e il tunneling diretto Tailscale funziona correttamente.

Da allora non si sono più verificati problemi di disconnessione.

Soluzione finale

Raccomando a tutti di non usare sottodomini DDns comuni, come:

• home.example.com
• nas.example.com
• router.example.com
• ddns.example.com
• cloud.example.com
• dev.example.com
• test.example.com
• webdav.example.com

Alcuni di questi sono quelli che ho usato per molto tempo, potrebbero essere stati scannerizzati continuamente da qualcuno, causando il degrado del servizio broadband Telecom, l’IPv6 pubblico non può essere usato normalmente, e il tunneling diretto non riesce sempre.

Tutti sanno l’importanza di nascondere l’IP nella sicurezza informatica, qui raccomando inoltre di proteggere il dominio usato per DDns, che in sostanza espone anche l’IP.

Ma cosa fare se c’è ancora bisogno di esporre servizi?

Ecco due soluzioni pratiche:

• Soluzione di reverse proxy: è un servizio di transito, la richiesta va prima al VPS e poi al server domestico. A causa del percorso di routing, sia la latenza che la larghezza di banda sono influenzate.
• Soluzione DDns: è una soluzione di connessione diretta, l’esperienza di connessione è molto migliore, raccomando questa soluzione. In genere non si supera il limite di connessioni per uso personale, ma se il dominio è pubblico, i bot inondano il numero di connessioni.

Soluzione di reverse proxy

Cloudflare Tunnel

Usa il Tunnel di Cloudflare, così non avrai decine o centinaia di IP che accedono come nel reverse proxy normale.

Tailscale o ZeroTier

VPN autogestita, con un VPS davanti, accedi ai servizi interni attraverso la VPN, evitando così un numero eccessivo di connessioni simultanee.

Soluzione DDns (connessione diretta)

Risoluzione pubblica

Genera stringhe casuali come GUID per il dominio DDns, anche se quasi impossibili da ricordare, l’impatto sull’uso personale è minimo, valuta autonomamente.

Risoluzione privata

Usa un servizio DNS personale, come:

• AdguardPriavte
• dot.pub

Per la risoluzione DDns.

In questo modo solo chi riesce a connettersi al server DNS personale può ottenere l’IP di risoluzione personalizzato per il dominio specificato.

Con questo schema, puoi usare sottodomini DDns comuni, ma devi evitare di divulgare l’indirizzo del tuo servizio DNS.

Aggiunta

Si dice in giro che usare speedtest come sottodominio abbia un effetto magico di accelerazione.

• ←Precedente
• Successivo→