[caiu] RES: Alguém com problema no brasco empresas ipv6 ?

Roosvelt David roosveltdavid em hotmail.com
Quinta Dezembro 30 12:35:14 -03 2021 

Não precisa desativar o IPv6,

quase todos os problemas que pego com o IPv6 no bradesco é por conta do costume porco deles de bloquear o ICMPv6.

Ocorre que com muita frequência o Bradesco está sob ataque DDoS, e em razão disso eles usam algumas soluções de mitigação dos ataques.

Qualquer um aqui que já tenha sofrido um ataque DDoS sabe que rotineiramente o MTU da sua rede precisa ser ajustado pra rodar dentro dos GREs fornecidos pelas mitigações sem maiores problemas. O Bradesco faz isso também.

que faz com que os valores de mtu fiquem um pouco abaixo do normal. Até ai não é problema, mas a questão é que como o Bradesco costuma bloquear qualquer tipo de pacote ICMP, e a conexão do lado do cliente dificilmente vai saber pelo processo convencional (que seria uma resposta ICMP pedindo a fragmentação) de qual é o valor correto do MTU. E o problema não se restringe somente ao IPv6, eventualmente o problema também ocorre no IPv4 com uma certa frequência.

Nas análises dos casos que eu sempre pego, analisando via Wireshark normalmente os problemas sempre ocorrem com pacotes maiores que 1400 bytes. Não é um valor fixo, sempre varia fica entre 1400 e 1440, sempre que os pacotes ultrapassam esse valor de MTU ocorre quebra nas respostas do fluxo TCP.

Como normalmente as configurações dos PPPoEs dos clientes são estabelecidos valores entre 1450 a 1492 diversas vezes as requisições são feitas com os pacotes próximos ao valor máximo estabelecido na sessão. E são esses pacotes que dão problema.

A solução que adoto atualmente nesses casos é ativar o change MSS com clamp to PMTU nos BRAS onde os clientes autenticam para todos os tunneis PPPoE para pacotes maiores que os valores que eu noto as quebras de resposta. No Mikrotik são 2 regrinhas no ipv6/firewall/mangle, outros vendors variam um pouco, necessário consultar a documentação dos mesmos. (eventualmente a mesma estratégia também funciona no IPv4)

Não é a saída mais bonita, entretanto é o que tem sido mais efetivo pra contornar essa prática incorreta do Bradesco em bloquear completamente o ICMP e o ICMPv6. Porque se depender de tentar entrar em contato com alguém lá, esquece.




De: Rogerio Alves via caiu<mailto:caiu em eng.registro.br>
Enviado:quinta-feira, 30 de dezembro de 2021 11:37
Para: Lista das indisponibilidades da Internet brasileira<mailto:caiu em eng.registro.br>
Cc:Rogerio Alves<mailto:rogerioapedroso em gmail.com>
Assunto: Re: [caiu] Alguém com problema no brasco empresas ipv6 ?

Infelizmente, estou tendo que desativar o IPv6 em todos clientes que usam o
Bradesco!

Att. Rogerio Alves

Em qui., 30 de dez. de 2021 às 11:15, Gabriel Wolp via caiu <
caiu em eng.registro.br> escreveu:

> Temos IPv6 ativo em uns 80% da base, e não temos absolutamente nenhuma
> reclamação nesse sentido.
>
> Em qua., 29 de dez. de 2021 às 17:22, Rodrigo Aguilar via caiu
> <caiu em eng.registro.br> escreveu:
> >
> > concordo Galdino, sempre problema do provedor
> >
> > Em qua., 29 de dez. de 2021 às 16:58, Rafael Galdino via caiu <
> > caiu em eng.registro.br> escreveu:
> >
> > > Consegui resolver aqui mexendo em mss/mtu etc...
> > > Mas acho muito complicado eles fazerem a parte de filtragem de icmp,
> essas
> > > coisas no ipv6, que até na verdade atrapalha mais que ajuda.
> > >
> > > sem falar que sempre é assim:
> > > problema sempre é do provedor....
> > >
> > > Em qua., 29 de dez. de 2021 às 16:53, Solustic Tecnologia-Listas via
> caiu <
> > > caiu em eng.registro.br> escreveu:
> > >
> > > > A pergunta seria:
> > > > Quanto alguém consegue acessar o Bradesco Empresas em Ipv6?
> > > >
> > > > > Em 29 de dez. de 2021, à(s) 16:49, Rafael Galdino via caiu <
> > > > caiu em eng.registro.br> escreveu:
> > > > >
> > > > > volta outra esse site quando para o ipv6 chove ligações...
> > > > >
> > > > >
> > > > > mais alguém com problema ao acessar?
> > > > >
> > > > >
> > > > > --
> > > > >
> > > > >
> > > > > *Rafael Galdino*
> > > > >
> > > > >
> > > > > *http://Suporte.network <http://Suporte.network>*
> > > > >
> > > > >       contato em suporte.network
> > > > >
> > > > >      Phone:
> > > > > *+55 (83) 98211-9090*
> > > > >
> > > > >
> > > > > *Whatsapp: https://api.whatsapp.com/send?phone=5583982119090
> > > > > <https://api.whatsapp.com/send?phone=5583982119090>*
> > > > > _______________________________________________
> > > > > caiu mailing list
> > > > > caiu em eng.registro.br
> > > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > >
> > > > >
> > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >
> > > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > >
> > >
> > > --
> > >
> > >
> > > *Rafael Galdino*
> > >
> > >
> > > *http://Suporte.network <http://Suporte.network>*
> > >
> > >        contato em suporte.network
> > >
> > >       Phone:
> > > *+55 (83) 98211-9090*
> > >
> > >
> > > *Whatsapp: https://api.whatsapp.com/send?phone=5583982119090
> > > <https://api.whatsapp.com/send?phone=5583982119090>*
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> >
> >
> > --
> > *Rodrigo Aguilar*
> > *Admin de rede*
> > (27)998 580 451
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu


--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu

Mais detalhes sobre a lista de discussão caiu