[GTER] IPv6 MTU

Antonio M. Moreiras moreiras at nic.br
Tue Mar 9 10:14:10 -03 2021


Olá.

> 2) Problema:
> - Alguns sites não abrem IPv6, já notei que é algo relacionado a MTU;

É muito provável ser relacionado a MTU. Alguma falha no PMTUD. Talvez 
algum bloqueio de ICMPv6. Pode ser na sua infra. Ou nos sites 
"problemáticos".

Eu não confiaria de cara na conclusão de que são os sites, sem testes 
adicionais. Os que funcionam podem simplesmente ter configurado um MTU 
baixo do lado deles e estar enviando por padrão pacotes, por exemplo, de 
1280 bytes no máximo. Esse tamanho funciona sempre no IPv6 
independentemente do PMTUD. Em algum momento do passado isso foi 
considerado "boa prática" para os sites, isso numa época remota da 
pré-história da Internet em que o conhecimento sobre IPv6 era menor e os 
bloqueios de ICMPv6 mais comuns. Então suponho que ainda existam sites 
por aí assim, não sei se são a maioria ou se são uns gatos pingados, 
nunca medi isso e não lembro de ter visto alguém medir.

Talvez você possa incrementar o seu laboratório e usar um site fora da 
sua rede que você mesmo administra pra testes, podendo capturar pacotes 
lá. Pode subir um nginx em um desses VPS genéricos de USD 2.50/mês, por 
exemplo.


> - Usando roteador cliente intelbras eu consigo acessar tudo;
> - Usando roteador cliente Multilaser eu só consigo acessar após incluir no
> RADVD a informação de MTU 1492;
> - Usando roteador cliente Mikrotik eu só consigo acessar quando faço Mangle
> Change MSS Clamp to PMTU ou se no IPv6-ND eu inclua a informação de MTU 1492
Se com alguns roteadores você acessa tudo, e com outros não, e 
aparentemente em todas as situações vocês está mantendo localmente o MTU 
de 1492, e em só uma delas você teve que mexer no tamanho do MSS, isso 
me parece um indício de que o problema pode estar no seu lado.

Minha hipótese é que o seu concentrador, em certas situações, a depender 
da CPE, está ciente ou não de que o MTU do PPPoE é 1492.

Quando não funciona:

(a) Você vê os pacotes maiores que o MTU de 1492 vindos dos sites que 
não abrem chegarem ao concentrador e serem descartados, porque ele não 
consegue enviar via PPPoE pras CPEs por causa do MTU menor desse enlace?

(b) Você vê os pacotes ICMPv6 que avisam o site que precisa baixar o MTU 
saírem do concentrador rumo à Internet, quando acontece isso? Eles 
passam por sua borda rumo à Internet?

Se (a) e (b) estão acontecendo, então está tudo perfeito na sua infra, e 
o problema é do outro lado. Se não, tem que checar localmente a origem 
do problema.

Note que estou supondo aqui que o problema são pacotes que (não) chegam 
nas CPEs, vindos do site quebrado, muito grandes. O handshake tcp/ip não 
vai ter problemas com MTU. As requisições http/https normalmente são bem 
pequenas e vão ser enviadas também sem problemas.


> 3) Questão:
> - Já encontrei muito conteúdo sugerindo paliativos, como o CHANGE MSS,
> inclusive em discussões aqui no GTER;
> - Não me conformo em fazer ajustes no roteador de acesso do cliente, pois
> cada um tem o paramento em um lugar diferente e um resete põe tudo a perder;
> - Ao meu entender o ICMPv6 Type 2 deveria agir nesse momento e baixar a MTU
> para se encaixar no PPPoE1492, porém, parece não ocorrer. Justamente por
> isso montei um LAB com tudo limpo para minimizar os erros.

Se é comprovado que o problema é bloqueio de ICMPv6 ou outro relacionado 
no lado do site, o correto é notificá-los e explicar a situação pra que 
corrijam. É de interesse deles também.

O único caso mais ou menos recente e notório de que me lembro é o site 
do Bradesco. Houve o problema, com recorrências, sempre comentado aqui 
na lista. Mas até onde é do meu conhecimento corrigiram há uns anos e 
permanece funcionando.

[]s
Moreiras.


More information about the gter mailing list