Использование распространенных поддоменов DDns может привести к понижению качества обслуживания широкополосной связи China Telecom

Tags:
Categories:

Проблемы с разрывом соединения IPv6 и сбоем пробивки длились уже более трех месяцев, наконец-то я определил причину, делюсь с вами.

Первое обращение за помощью по проблеме разрыва соединения IPv6

IPv6 всегда нормально работал, без каких-либо изменений настроек, и устройства имеют независимые ipv6, но не могут подключиться к сети ipv6.

curl 6.ipw.cn не возвращает ответа, ping6 и traceroute6 2400:3200::1 прерываются.

Роутер в режиме моста может получить адрес IPv6 роутера, это адрес, по которому можно получить доступ к IPv6.

Можно получить префикс /56, устройства под роутером могут получить распределенный адрес IPv6 240e:36f:15c3:3200::/56, но не могут подключиться к веб-сайтам IPv6.

Подозреваем, что оператор не настроил маршрут для 240e:36f:15c3:3200::, но не можем подтвердить.

Пользователи говорят, что, возможно, это связано с большим объемом исходящего трафика PCDN, но объем исходящего трафика очень мал, и PCDN не включен.

Также может быть связано с использованием обратного прокси Cloudflare и Aliyun ESA.

Второе обращение для подтверждения непосредственной причины

Подтверждаем, что операторы связи в некоторых регионах могут понизить качество обслуживания из-за большого количества входящих соединений IPv6 http/https, что проявляется в следующем:

  • Ложный IPv6, IPv6 может получить префикс /56, распределение IPv6 на устройствах нормальное, но в tracert отсутствует маршрут, что приводит к тому, что IPv6 на самом деле не может подключиться к сети.
  • Ложный пробой, тест соединения Tailscale показывает прямое соединение, но задержка очень высокая, а фактическая скорость интернета очень низкая.

После отключения обратного прокси Cloudflare/Aliyun ESA, после нескольких перезагрузок маршрутизатора, IPv6 и реальное прямое соединение могут быть восстановлены.

Повторное разъединение после отключения обратного прокси

Даже после отключения обратного прокси, отключения обратного прокси Cloudflare и Aliyun ESA, все еще случаются редкие разъединения, длящиеся долгое время.

Возможно, есть утечка домена, или кто-то использует распространенные поддомены для сканирования, долгосрочные атаки http.

Отключение разрешения домена DDns, после некоторого времени, IPv6 восстанавливается, пробой Tailscale также нормализуется.

С тех пор больше не возникало проблем с разъединением.

Окончательное решение

Рекомендую всем не использовать распространенные поддомены DDns, такие как:

  • home.example.com
  • nas.example.com
  • router.example.com
  • ddns.example.com
  • cloud.example.com
  • dev.example.com
  • test.example.com
  • webdav.example.com

Некоторые из них я использовал ранее, возможно, кто-то постоянно сканирует их, что приводит к понижению качества обслуживания широкополосной связи China Telecom, нестабильной работе общедоступного IPv6, постоянным сбоям пробивки.

Все знают о важности скрытия IP в области кибербезопасности, здесь дополнительно рекомендую защищать домен, используемый для DDns, так как он по сути также раскрывает IP.

Но как быть, если все еще есть потребность в раскрытии сервиса?

Здесь есть два практических решения:

  • Схема обратного прокси, это промежуточный сервис, запрос сначала направляется на VPS, а затем на Home Server. Из-за перенаправления трафика, задержка и пропускная способность будут определенно затронуты.
  • Схема DDns, это прямое соединение, опыт подключения будет намного лучше, рекомендую этот вариант. Обычно для личного использования не будет превышено ограничение на количество соединений, но если домен будет опубликован, сотни ботов быстро увеличат количество соединений.

Схема обратного прокси (обратный прокси)

Cloudflare Tunnel

Используйте Tunnel от Cloudflare, таким образом не будет так много IP, как при обычном обратном прокси, которые будут посещать.

Tailscale или ZeroTier

Создайте собственный VPN, впереди установите VPS, получайте доступ к внутренним сервисам через VPN, таким образом можно избежать слишком высокого количества одновременных соединений.

Схема DDns (прямое соединение)

Публичное разрешение

Сгенерируйте случайные строки, например GUID, для домена DDns, хотя их почти невозможно запомнить, но на личном опыте использования это не сильно влияет, можно самостоятельно оценить.

Частное разрешение

Используйте личный сервис Dns, например:

Для разрешения DDns.

Таким образом, только те, кто могут подключиться к личному DNS-серверу, смогут получить IP-адрес пользовательского разрешения для указанного домена.

При такой схеме можно использовать распространенные домены DDns, но нужно избегать утечки адреса своего DNS-сервиса.

Дополнение

Ходят слухи, что использование поддомена speedtest имеет мистическое ускоряющее действие.