Gebruik van veelvoorkomende DDns-subdomeinen kan leiden tot degradatie van dienst van telecom breedband

IPv6 verbroken en tunneling faalt, na drie maanden problemen eindelijk de oorzaak geïdentificeerd, gedeeld met iedereen.
Tags:
Categories:

IPv6 verbroken en tunneling faalt, na drie maanden problemen eindelijk de oorzaak geïdentificeerd, gedeeld met iedereen.

Eerste topic over IPv6 verbroken probleem

IPv6 werkte altijd normaal, zonder instellingen te wijzigen, en apparaten hadden allemaal een eigen IPv6, maar konden geen IPv6-netwerk bereiken.

curl 6.ipw.cn geeft geen terugkeer, ping6 en traceroute6 2400:3200::1 worden onderbroken.

Modem in bridge modus met router, kan het IPv6-adres van de router ophalen, dat is een IPv6-adres dat toegang kan krijgen.

Kan het /56-voorvoegsel verkrijgen, apparaten onder de router kunnen allemaal het toegewezen IPv6-adres 240e:36f:15c3:3200::/56 krijgen, maar kunnen geen IPv6-website bereiken.

Verdenking dat de provider geen route heeft opgezet voor 240e:36f:15c3:3200::, maar kan niet bevestigen.

Gebruikers zeggen dat het kan komen door te veel PCDN uploadverkeer, maar het uploadverkeer is klein, geen PCDN ingeschakeld.

Kan ook komen door Cloudflare en Aliyun ESA reverse proxy.

Tweede topic bevestigt directe oorzaak

Bevestigd dat sommige regio’s van de telecom provider dienst degradeert vanwege veel binnenkomende IPv6 http/https-verbindingen, met als symptomen:

  • Valse IPv6, IPv6 kan /56-voorvoegsel krijgen, IPv6-toewijzing op apparaten is normaal, maar tracert mist routes, waardoor IPv6 eigenlijk niet kan verbinden.
  • Valse tunneling, tailscale testverbinding toont directe connectie, maar vertraging is extreem hoog, daadwerkelijke netwerksnelheid is erg traag.

Sluit Cloudflare/Aliyun ESA reverse proxy, na meerdere routerherstarts kan IPv6 en echte directe connectie worden hersteld.

Verbroken verbinding blijft na het sluiten van reverse proxy

Zelfs na het sluiten van de reverse proxy, sluit Cloudflare en Aliyun ESA terugkeer, gebeurt er af en toe verbroken verbinding, duurt lang.

Mogelijk is er een domeinlek of iemand gebruikt veelvoorkomende subdomeinen voor scan, langdurige http-aanval.

DNS-resolving van DDns-domein uitschakelen, na een tijdje herstelt IPv6 zich, ook tailscale tunneling werkt normaal.

Sindsdien geen verbroken verbinding meer.

Uiteindelijke oplossing

Hierbij adviseer ik om geen veelvoorkomende DDns-subdomeinen te gebruiken, zoals:

  • home.example.com
  • nas.example.com
  • router.example.com
  • ddns.example.com
  • cloud.example.com
  • dev.example.com
  • test.example.com
  • webdav.example.com

Een paar van deze heb ik lang gebruikt, misschien wordt er steeds gescand, waardoor de dienst van telecom breedband degradeert, publieke IPv6 kan niet goed gebruikt worden, tunneling lukt steeds niet.

Iedereen weet dat het belangrijk is om het IP te verbergen in netwerkbeveiliging, hierbij extra aanbeveling om het domein voor DDns te beschermen, het is in wezen ook het blootleggen van het IP.

Maar wat als er toch behoefte is om diensten te onthullen?

Hier zijn twee praktische oplossingen:

  • Terugkeer oplossing, een soort doorvoerdienst, verzoek gaat eerst naar VPS en dan naar Home Server. Vanwege de omleiding van het verkeer is de latentie en bandbreedte beïnvloed.
  • DDns oplossing, een directe connectie, de connectie-ervaring is veel beter, deze oplossing wordt aanbevolen. Persoonlijk gebruik zal meestal niet de connectielimiet overschrijden, maar als het domein openbaar wordt gemaakt, zullen honderden bots het aantal connecties in een keer opjagen.

Terugkeer oplossing (reverse proxy)

Cloudflare Tunnel

Gebruik Cloudflare Tunnel, zodat het niet zo is als bij een gewone terugkeer dat tientallen of honderden IP’s toegang vragen.

Tailscale of ZeroTier

Zelfgemaakte VPN, met een VPS ervoor, toegang tot interne netwerkdiensten via VPN, zodat het aantal gelijktijdige connecties te hoog wordt.

DDns oplossing (directe connectie)

Openbare DNS

Genereer een willekeurige string zoals GUID, voor DDns-domein, hoewel het bijna niet te onthouden is, maar het heeft weinig invloed op persoonlijk gebruik, kan zelf worden beoordeeld.

Persoonlijke DNS

Gebruik persoonlijke DNS-dienst, zoals:

Voor DDns-resolving.

Op deze manier kunnen alleen mensen die verbinding kunnen maken met de persoonlijke DNS-server het aangepaste IP van het opgegeven domein ophalen.

Bij deze oplossing kunnen veelvoorkomende DDns-domeinen worden gebruikt, maar moet het adres van de persoonlijke DNS-dienst worden vermeden.

Aanvulling

Er gaan geruchten dat het gebruik van speedtest als subdomein een mysterieuze versnelde werking heeft.