[lacnog] Problema accediendo a Yahoo usando IPv6

Fernando Gont fernando.gont en edgeuno.com
Jue Ago 12 22:29:01 -03 2021


HOla, JOrge,

ENtre lineas...

On 12/8/21 10:43, Jorge Frater B. wrote:

>
> Ahora como se resuelve a nivel de red con miles de nodos?

No hay mucho para hacer desde un punto de vista operacional,
lamentablemente. (ver mas abajo, igual)

La solucion es implementar algo estilo RFC4821 para lidiar con los PMTUD
blackholes.. pero obviamente eso no es una solucion operacional.

Y en determinados entornos se vuelve aun mas complejo. Ver, por ejemplo:
https://www.rfc-editor.org/rfc/rfc7690.html




> Solo 3 routers
> tienen contacto con el exterior en 3 edificios independientes, hay algo que
> se pueda hacer en ellos?

Busca "MSS clamping" o "TCP MSS adjustment". SI tus equipos lo permiten,
y todo tu trafico pasa por esos nodos, puede que te sirva para
solucionar el problema.




> Cual es el origen del problema?

En resumen:

Para minimizar el overhead, los hosts hacen lo siguiente: intentan
enviar paquetes lo mas grande posibles.  EN teoria, si algun router no
puede reenviar el paquete en cuestion (por ej., si el enlace de salida
tiene un MTU menor que el de entrada, y el paquete tenia un tamanio
igual al MTU del enlace de entrada), entonces el router envia un mensage
ICMPv5 "Packet Too Big", que informa cual es el tamanio maximo de
paquete a utilizar.

EL proceso se repite de manera iterativa, hasta que el origen reduce el
tamanio tanto como sea necesario, apra que los paquetes puedan lelgar a
destino.

Este mecanismo se conoce como "Path MTU Discovery".

El problema es que, entre otras tantas cosas, los mensajes ICMPv6 muchas
veces se bloquean, y entocnes el mecanismo no funciona -- es decir, por
ej tu host envia paquetes que son demasiado grandes, pero si la red
filtra los mensajes ICMPv6 PTB, jamas te enteras que estan siendo
descartados por ser demasiado grandes... y entonces no reducis el
tamanio de los paquetes.



>
> Hay algo en la captura del intento fallido que pueda revelar una solución?
> La tengo y la puedo compartir empieza normal y luego repite esto una y otra
> vez:

Mandala completa, mejor. O almenos, desde el comienzo de conexion, hasta
que comienza a presentarse este "patron".

Slds, y gracias!
--
Fernando Gont
Director of Information Security
EdgeUno, Inc.
PGP Fingerprint: DFBD 63E3 B248 AE79 C598 AF23 EBAE DA03 0644 1531
“This communication is the property of EdgeUno or one of its group companies and/or affiliates. This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and if you are not the intended recipient be aware that any non-explicitly authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, and will be considered a criminal offense. Please notify legal en edgeuno.com about the unintended receipt of this electronic message and delete it.”


Más información sobre la lista de distribución LACNOG