Bespreking van de conformiteit van reverse proxy voor thuisnetwerken

Bespreekt mogelijke conformiteitsproblemen en oplossingen bij het gebruik van reverse proxy-services op breedbandverbindingen voor thuisgebruik
Tags:
Categories:

Achtergrond

Ongeveer 90 dagen geleden had ik problemen met het verbinden van IPv6 bij Hubei Telecom. Na langdurige observatie en analyse, vat ik hieronder de volgende ervaringen samen.

Problemanalyse

Twee mogelijke oorzaken werden oorspronkelijk verdacht:

  1. Detectie van PCDN-gebruik

    • Geen actief gebruik van PCDN
    • Slechts enkele BT-downloadactiviteiten
    • Uploadsnelheid is beperkt, maar het probleem blijft bestaan

  2. Thuisserver als blogbron

    • Poort gespecificeerd via Cloudflare terugkeerregels
    • Mogelijk beoordeeld als “commercieel gedrag” door de provider

Na drie maanden verificatie is het probleem eerder te wijten aan het openstellen van HTTP/HTTPS-servicepoorten naar het publieke netwerk.

Concrete symptomen

  1. Abnormale IPv6-status:

    • Kan /56 prefix verkrijgen
    • Apparaten kunnen globaal IPv6-adres verkrijgen
    • Maar kunnen geen extern netwerk bereiken
    • Alleen de router in brugmodus van de glasvezelmodem kan IPv6 normaal gebruiken

  2. Abnormale Tailscale-verbinding:

    • Bronserver toont directe verbinding maar abnormale latentie (ongeveer 400ms)
    • Andere apparaten verbinden via relay, maar met lagere latentie (ongeveer 80ms)

Analyse van providerstrategie

Sommige Telecom-providers in bepaalde gebieden passen maatregelen voor dienstverlaging toe bij frequente binnenkomende HTTP/HTTPS-verbindingen:

  1. IPv6-dienstverlaging

    • Adresverdeling normaal
    • Ontbrekende routetabel
    • Eigenlijk geen internettoegang

  2. P2P-verbindingbeperking

    • Tailscale toont directe verbinding
    • Eigenlijk hoge latentie
    • Bandbreedte beperkt

Oplossingen

  1. Schakel reverse proxy-service uit:

    • Stop Cloudflare/Alibaba Cloud ESA reverse proxy
    • Herstart de router meerdere keren om normale werking te herstellen

  2. Bescherming tegen domeinnaamscanning: Vermijd het gebruik van de volgende veelvoorkomende subdomeinnamen:

    - home.example.com
- ddns.example.com
- dev.example.com
- test.example.com

  3. Beste praktijken:

    • Gebruik GUID om willekeurige subdomeinnamen te genereren
    • Vermijd het gebruik van regelmatige of veelvoorkomende subdomeinbenamingen
    • Vervang regelmatig domeinnamen om het risico op scannen te verlagen