Het grote IPv6 topic

nero355 schreef op woensdag 5 april 2023 @ 14:54:
[...]

De eerste groep heeft echter wel gelijk in tegenstelling tot de tweede groep!

Roetzen schreef op woensdag 5 april 2023 @ 15:24:
IPv6 daarentegen, daarvoor bestaat geen vaccin, het gaat niet meer weg.

RobertMe schreef op donderdag 6 april 2023 @ 18:15:
TIL: blijkbaar weigert Android IPv6 DNS servers (/rdnss) die zich in een ander subnet bevinden als die geen publiek (/GUA), neem ik aan, IP adres heeft. Ook niet als die wel route info ontvangt over dat subnet binnen zelfs letterlijk dezelfde router advertisement.

Scenario is dus wederom waar ik mee bezig ben met opzetten subnet waarbij verkeer via een VPN boer de deur uit gaat. Ik krijg daarvan (uiteraard) een intern/private IP dat geNAT wordt aan hun kant.

[ Voor 6% gewijzigd door Dreamvoid op 07-04-2023 12:56 ]

Dreamvoid schreef op vrijdag 7 april 2023 @ 12:55:
[...]

Dat is raar inderdaad, dit is toch een behoorlijk veel voorkomend scenario. Is er iets in de Android bugtracker over te vinden?

[...]

Dit is niet standaard-conform, als die VPN server een route naar het internet biedt moet de VPN server een GUA subnet intern doorzetten, geen ULA range. ULA ranges zijn voor intranet toepassingen (dus zonder internet toegang, als je de VPN gebruikt om reizende werknemers toch toegang voor het interne bedrijfsnetwerk te geven, of om twee intranets aan elkaar te koppelen). Ik zou even contact opnemen met je VPN provider of ze geen GUA prefix kunnen delegeren naar je eigen router.

RobertMe schreef op vrijdag 7 april 2023 @ 13:41:
Lijkt mij juist logisch dat ze geen GUA leveren? Ik wil anoniem internetten, met een GUA ben ik weer redelijk identificeerbaar

Dreamvoid schreef op dinsdag 11 april 2023 @ 09:17:
[...]

Nee zo werkt de privacy niet - met een GUA uit de range van NordVPN zien mensen dat je van NordVPN afkomt. Als je geNAT wordt door NordVPN, dan zien ze dat ook.

HollowGamer schreef op vrijdag 14 april 2023 @ 12:00:
Vandaag eens IPv6 ge-enabled voor Ziggo op mijn ASUS router met Merlin, en het werkt gewoon lol.

Ik neem aan dat Native with DHCP-PD voldoende is?
De firewall staat aan, ook krijgen zo te zien al mijn LAN-clients een IPv6 adres.

Snow_King schreef op vrijdag 14 april 2023 @ 12:03:
[...]

Zo simpel is het ja. Nu vooral aan laten staan en lekker gebruiken :-)

HollowGamer schreef op vrijdag 14 april 2023 @ 12:05:
[...]

https://ipv6test.google.com/ - Yes, looks like you’re using IPv6 already.

Nice! Zo te zien brengt IPv6 wel een aantal benefits, dus blij dat het werkt.
Kan mij herinneren dat het een aantal maanden geleden niet lukte, maar nu was het echt binnen 2min. geregeld.

HollowGamer schreef op vrijdag 14 april 2023 @ 12:05:
Kan mij herinneren dat het een aantal maanden geleden niet lukte, maar nu was het echt binnen 2min. geregeld.

RobertMe schreef op vrijdag 14 april 2023 @ 12:54:
[...]

IPv6 in fZiggo gebied ondersteunen ze in bridge mode al sinds december '21, en in fUPC sinds voorjaar/zomer? Dus die "aantal maanden" is dan minimaal 3/4 jaar of het zat hem in de firmware.

Of ja, je moest wel een ConnectBox of Ubee UBC1318 hebben (kom je toentertijd gratis omruilen). Intussen hebben ze natuurlijk ook nog die zwarte Sagemcom. Mogelijk dat je dus een modem swap gehad hebt en het daardoor nu pas beschikbaar is?

N8w8 schreef op zaterdag 15 april 2023 @ 14:32:
@RobertMe, ik zie vaker de veronderstelling dat als Ziggo IPv6 niet werkt, dat vooral aan een oud modem zou liggen.
Maar iig mijn ouders hebben geen IPv6, op een standaard Connectbox (CH7465LG) op ex-UPC, waar niks bijzonders mee is gebeurd (qua verzoeken aan klantenservice om IPv6 te blokkeren, of bridge modus oid).

Het "probleem" voor zover je dat zelf kan zien, is dat ie geen IPv6 firmware heeft. Info op het Ziggo forum suggereert dat dat ligt aan dat dat aan Ziggo's kant geblokkeerd is om historische redenen.
Als je dan IPv6 wilt, kan je dat gewoon tegen de klantenservice zeggen en halen ze die blokkering weg. Dus dat is snel opgelost, getuige de mensen die dat op het forum aanvragen.
Het gemak waarmee dit gaat, doet vermoeden dat Ziggo dit best wel zelf automatisch bij iedereen kan rechtzetten, maar dat hebben ze dus nog niet gedaan.

Geen idee hoe vaak dit het probleem is, maar het zou me niet verbazen als dit voor veel meer mensen geldt (nogmaals er is niks bijzonders aan ouders' abo/setup), dat er _enige_ klant actie vereist is. Hoe miniem ook, slechts een handjevol nerds zal dit uit zichzelf doen lijkt mij. Mijn ouders interesseert het ook geen reet bijvoorbeeld, en gelijk hebben ze.
Maar goed, dit zou dus ook wel een groot deel van de geen-IPv6 gevallen kunnen verklaren, ipv alleen maar oude modems.

[ Voor 34% gewijzigd door Roetzen op 04-05-2023 08:53 ]

Snow_King schreef op maandag 8 mei 2023 @ 11:30:
[...]

Ziggo doet wel IPv6, je moet wellicht even vragen om een nieuw modem.

Snow_King schreef op maandag 8 mei 2023 @ 11:30:
- Telegram

1

requests.packages.urllib3.util.connection.HAS_IPV6 = False

Newjersey schreef op zaterdag 13 mei 2023 @ 17:04:
Iemand enig idee waar ik moet beginnen met troubleshooten?

duvekot schreef op zaterdag 13 mei 2023 @ 17:26:
[...]

Klinkt alsof MTU Path Discovery niet werkt ... En dat kan dan te maken hebben met ICMP die niet doorgelaten wordt vanaf je router naar je clients.

Newjersey schreef op zaterdag 13 mei 2023 @ 17:04:
Nadat ik mijn router heb geüpdated met OpnSense erop werkt ipv6 intern niet meer.

Reverten naar de oude versie heeft ook niet geholpen.

Nakebod schreef op zondag 14 mei 2023 @ 20:10:
Een stukje voor het archief Onbegrepen Stukken.

2 weken terug gedowngrade van XS4ALL/KPN naar T-Mobile. Bij gebrek aan IPv6 (Welkom in 2023..) mijn oude HE account eens afgestoft.
Config in OPNSense was zo gedaan en ik was weer online met IPv6. Tenminste, gedeeltelijk.
Via bekabeld netwerk geen problemen. Via WiFi... Afhankelijk van het gebruikte SSID.
Op mijn primaire SSID kreeg ik het niet werkend, terwijl het op andere SSID's wel werkte.

Apparaten kregen wel netjes een IPv6 adres toegewezen maar al het verkeer leek wel in een zwart gat te verdwijnen. In de firewall logs zag ik het verkeer doorgelaten worden, maar verder niets.

In de UniFi controller instellingen van de verschillende SSID's vergeleken en ik kon geen verschil vinden.
Uiteindelijk mijn primaire SSID eens helemaal verwijderd, opnieuw aangemaakt en... werkend.

Kan je best lang naar zoeken zo.

stormfly schreef op zondag 14 mei 2023 @ 22:39:
[...]


IPv6 gaat stuk zodra je "network isolation" inschakelt, dan blocken ze de noodzakelijke ICMPv6 data.

RobertMe schreef op zondag 14 mei 2023 @ 23:07:
[...]

Network isolation als in gast netwerk? Toen ik nog de UniFi Security Gateway gebruikte werkte IPv6 niet op het gast netwerk. Nu ik een zelfbouw router heb wel, met verder dus dezelfde configuratie. Gezien @Nakebod OpnSense heeft zal hij dus geen unifi router hebben.

stormfly schreef op maandag 15 mei 2023 @ 07:40:
[...]


Je kunt isolation op het SSID of op het netwerk segment inschakelen.

stormfly schreef op zondag 14 mei 2023 @ 22:39:
[...]
IPv6 gaat stuk zodra je "network isolation" inschakelt, dan blocken ze de noodzakelijke ICMPv6 data.

RobertMe schreef op maandag 15 mei 2023 @ 07:52:
[...]

En ik heb dat uiteraard ook aan staan op het gast netwerk (wifi/SSID dus) En sinds ik de USG niet meer gebruik werkt IPv6 prima op het gast netwerk.

Snow_King schreef op woensdag 5 juli 2023 @ 16:37:
Ik zette vorige week een IPv6-only Grafana en InfluxDB server voor mijzelf op om wat home automation data in op te slaan. Energieverbruik thuis, wat temperatuur sensoren, etc.

Nu was ik net op de Grafana server bezig en zag ik dat 2001:470:1:c84::12 een SSH poging had gedaan tot deze server.

De whois laat mij zien dat deze van https://www.shadowserver.org/ is, opzich prima dat ze die scan doen.

Ik vind het alleen heel interessant dat men een SLAAC gegenereert adres wat vorige week online is gekomen nu al weet te vinden.

Overigens zie ik inmiddels op mijn router al wel vaker wat IPv6 'scans' voorbij komen. Nu is het adres van de router makkelijker omdat deze ::1 in de subnets heeft, maar deze van het SLAAC adres vond ik wel erg interessant.

RobertMe schreef op woensdag 5 juli 2023 @ 16:45:
[...]

Maar waarom heb je uberhaupt SSH open staan thuis?

In mijn zelfbouw router staat IIRC alleen Wireguard open en voor de rest "niks" (wat IPv6 ICMP verkeer en DHCPv6 voor prefix delegation).

Snow_King schreef op woensdag 5 juli 2023 @ 17:12:
[...]

Deze servers draaien op een public cloud, maar zijn IPv6-only. Ik stuur alleen de data die kant op via IPv6 en bezoek de systemen ook enkel via IPv6.

De discussie over SSH wel of niet open is niet direct nodig, maar goed. SSH staat gewoon open, maar alleen key authentication. Vind ik veilig genoeg.

Dreamvoid schreef op donderdag 6 juli 2023 @ 10:16:
Je kan natuurlijk SSH op meer manieren verder afschermen, bv alleen de IP ranges waarover je inlogt whitelisten in de firewall. Er is geen enkele reden te bedenken waarom je elk willekeurig netwerk ter wereld zelfs maar de gelegenheid moet geven om een login te proberen.

Muis666 schreef op donderdag 6 juli 2023 @ 11:48:
[...]

Volgens mij is het toch wel gebruikelijk om ssh open te zetten naar het internet. Maar dan wel met alleen key based authentication, geen username/password.

Dreamvoid schreef op vrijdag 7 juli 2023 @ 09:12:
Nou ja, het is toch wel best-practice om in de firewall niet de hele wereld toegang te geven tot je SSH.

Dreamvoid schreef op vrijdag 7 juli 2023 @ 10:26:
Oh absoluut, je bent al die random driveby's kwijt. Maar alsnog is firewalling een vrij simpele actie die een hoop potentieel risico wegneemt.

RobertMe schreef op vrijdag 7 juli 2023 @ 10:41:
[...]

Daarvoor terug krijg je wel het risico dat het IP adres van de "client" wijzigt en je helemaal niet meer naar de server kunt SSHen. Als in: als ik dat zou doen met het IP adres van mijn Ziggo lijntje thuis weet ik ook direct zeker dat ik niet merr in mijn server kan komen via SSH op het moment dat ik een ander IP adres krijg.

@Snow_King, security by obscurity werkt natuurlijk ook weer slecht als het een publieke server is. Als je een (publieke) website (/mailserver/...) er op host is het IP adres immers bekend/terug te vinden. Tenzij... ontopic, je van de provider een /64 of groter krijgt en de diensten luisteren op verschillende IP adressen. Dus bv SSH die alleen luistert op ::22 en de webserver die luistert op ::80.

RobertMe schreef op vrijdag 7 juli 2023 @ 10:41:
[...]
Daarvoor terug krijg je wel het risico dat het IP adres van de "client" wijzigt en je helemaal niet meer naar de server kunt SSHen. Als in: als ik dat zou doen met het IP adres van mijn Ziggo lijntje thuis weet ik ook direct zeker dat ik niet merr in mijn server kan komen via SSH op het moment dat ik een ander IP adres krijg.

Dreamvoid schreef op vrijdag 7 juli 2023 @ 14:56:
[...]

Je whitelist in dat geval natuurlijk geen individueel adres, maar bv het hele Ziggo netwerk, samen met een aantal andere (die van je mobiele telco, etc).

[ Voor 77% gewijzigd door Dreamvoid op 07-07-2023 15:49 ]

Snow_King schreef op vrijdag 7 juli 2023 @ 11:08:
Het irritante met IPv4 vind ik de /var/log/auth.log (Ubuntu) die helemaal vol staat met al die scans de hele dag door. Die zijn er met IPv6 amper en dat maakt de server gewoon wat stiller.

Raven schreef op dinsdag 25 juli 2023 @ 17:37:
Zijn er tegenwoordig manieren om op basis van domeinnaam erachter te komen welke geo-IP database er op de achtergrond gebruikt wordt?

Vandaag de overstap van Rtl Gemist naar Videoland meegemaakt, bij de eerste was er nooit wat aan de hand, bij de 2e moet IPv6 uitgeschakeld worden om toegang te krijgen tot de content

Vermoedelijk maken ze daar gebruik van een database die aangeeft dat mijn /48 uitkomt in een ander land en dat land zal waarschijnlijk de USA zijn, specifiek Fremont, CA.

Snow_King schreef op dinsdag 25 juli 2023 @ 18:25:
Gebruik je een Tunnel van HE voor je IPv6?

[ Voor 97% gewijzigd door valkenier op 31-07-2023 14:20 ]

Error sending message: urllib3 HTTPError HTTPSConnectionPool(host='api.telegram.org', port=443): Max retries exceeded with url: /bot*api:key*/sendMessage (Caused by ConnectTimeoutError(<telegram.vendor.ptb_urllib3.urllib3.connectionpool.HTTPSConnectionPool object at 0x7f390aa9d570>, 'Connect timed out. (connect timeout=5.0)')). Args: (*chatID*, 'Hello Dave.'), kwargs: {'parse_mode': 'Markdown', 'disable_web_page_preview': None, 'disable_notification': False, 'reply_to_message_id': None, 'reply_markup': None, 'timeout': None}

Retrying (Retry(total=0, connect=None, read=None, redirect=None)) after connection broken by 'ConnectTimeoutError(<telegram.vendor.ptb_urllib3.urllib3.connectionpool.HTTPSConnectionPool object at 0x7f390aa9d570>, 'Connect timed out. (connect timeout=5.0)')': /bot*api:key*/sendMessage

curl https://telegram.org -v
* Trying [2001:67c:4e8:f004::9]:443...
* Connected to telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
* Recv failure: Connection reset by peer
* OpenSSL SSL_connect: Connection reset by peer in connection to telegram.org:443
* Closing connection 0
curl: (35) Recv failure: Connection reset by peer

curl https://web.telegram.org -v
* Trying [2001:67c:4e8:f004::9]:443...
* Connected to web.telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
* Recv failure: Connection reset by peer
* OpenSSL SSL_connect: Connection reset by peer in connection to web.telegram.org:443
* Closing connection 0
curl: (35) Recv failure: Connection reset by peer

curl https://api.telegram.org -v
* Trying [2001:67c:4e8:f004::9]:443...
* Connected to api.telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
* Recv failure: Connection reset by peer
* OpenSSL SSL_connect: Connection reset by peer in connection to api.telegram.org:443
* Closing connection 0
curl: (35) Recv failure: Connection reset by peer

[ Voor 27% gewijzigd door Raven op 01-08-2023 11:38 ]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72

curl https://www.telegram.org -v
*   Trying 2001:67c:4e8:f004::9:443...
* Connected to www.telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Finished (20):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.2 (OUT), TLS header, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: CN=*.telegram.org
*  start date: Aug 10 15:56:28 2022 GMT
*  expire date: Sep 11 15:56:28 2023 GMT
*  subjectAltName: host "www.telegram.org" matched cert's "*.telegram.org"
*  issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certs.godaddy.com/repository/; CN=Go Daddy Secure Certificate Authority - G2
*  SSL certificate verify ok.
* Using HTTP2, server supports multiplexing
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* Using Stream ID: 1 (easy handle 0x559f8cf7bb60)
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
> GET / HTTP/2
> Host: www.telegram.org
> user-agent: curl/7.81.0
> accept: */*
> 
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
< HTTP/2 200 
< server: nginx/1.18.0
< date: Tue, 01 Aug 2023 12:18:29 GMT
< content-type: text/html; charset=utf-8
< content-length: 19649
< set-cookie: stel_ssid=1489ac13f8e20616e1_11622807519326643616; expires=Tue, 01 Aug 2023 23:25:09 GMT; path=/; samesite=None; secure; HttpOnly
< pragma: no-cache
< cache-control: no-store
< x-frame-options: SAMEORIGIN
< strict-transport-security: max-age=31536000; includeSubDomains; preload
< 
<!DOCTYPE html>
html meuk
</html>
<!-- page generated in 8.52ms -->
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* Connection #0 to host www.telegram.org left intact

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69

curl https://web.telegram.org -v
*   Trying 2001:67c:4e8:f004::9:443...
* Connected to web.telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Finished (20):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.2 (OUT), TLS header, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: CN=*.web.telegram.org
*  start date: Aug 29 00:39:34 2022 GMT
*  expire date: Sep 30 00:39:34 2023 GMT
*  subjectAltName: host "web.telegram.org" matched cert's "web.telegram.org"
*  issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certs.godaddy.com/repository/; CN=Go Daddy Secure Certificate Authority - G2
*  SSL certificate verify ok.
* Using HTTP2, server supports multiplexing
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* Using Stream ID: 1 (easy handle 0x5572fff55b60)
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
> GET / HTTP/2
> Host: web.telegram.org
> user-agent: curl/7.81.0
> accept: */*
> 
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
< HTTP/2 200 
< server: nginx/1.18.0
< date: Tue, 01 Aug 2023 12:29:23 GMT
< content-type: text/html
< content-length: 1672
< last-modified: Fri, 18 Dec 2020 13:53:22 GMT
< etag: "5fdcb452-688"
< expires: Tue, 01 Aug 2023 13:29:23 GMT
< cache-control: max-age=3600
< x-frame-options: deny
< accept-ranges: bytes
< 
* TLSv1.2 (IN), TLS header, Supplemental data (23):
<!doctype html>
blabla

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

curl https://api.telegram.org -v
*   Trying 2001:67c:4e8:f004::9:443...
* Connected to api.telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Finished (20):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.2 (OUT), TLS header, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: CN=api.telegram.org
*  start date: Mar 26 07:39:18 2023 GMT
*  expire date: Apr 26 07:39:18 2024 GMT
*  subjectAltName: host "api.telegram.org" matched cert's "api.telegram.org"
*  issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certs.godaddy.com/repository/; CN=Go Daddy Secure Certificate Authority - G2
*  SSL certificate verify ok.
* Using HTTP2, server supports multiplexing
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
* Using Stream ID: 1 (easy handle 0x55f8754e4b60)
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
> GET / HTTP/2
> Host: api.telegram.org
> user-agent: curl/7.81.0
> accept: */*
> 
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* Connection state changed (MAX_CONCURRENT_STREAMS == 128)!
* TLSv1.2 (OUT), TLS header, Supplemental data (23):
< HTTP/2 302 
< server: nginx/1.18.0
< date: Tue, 01 Aug 2023 12:30:46 GMT
< content-type: text/html
< content-length: 145
< location: https://core.telegram.org/bots
< strict-transport-security: max-age=31536000; includeSubDomains; preload
< access-control-allow-origin: *
< access-control-allow-methods: GET, POST, OPTIONS
< access-control-expose-headers: Content-Length,Content-Type,Date,Server,Connection
< 
* TLSv1.2 (IN), TLS header, Supplemental data (23):
<html>
<head><title>302 Found</title></head>
<body>
<center><h1>302 Found</h1></center>
<hr><center>nginx/1.18.0</center>
</body>
</html>

[ Voor 48% gewijzigd door valkenier op 01-08-2023 14:33 ]

valkenier schreef op dinsdag 1 augustus 2023 @ 14:20:
@Raven Ik kan het niet reproduceren. Kan je het eens vanuit een ander IPv6 blok proberen?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

$ curl https://telegram.org -v
* STATE: INIT => CONNECT handle 0x80008f028; line 1834 (connection #-5000)
* Added connection 0. The cache now contains 1 members
* STATE: CONNECT => RESOLVING handle 0x80008f028; line 1880 (connection #0)
* family0 == v6, family1 == v4
*   Trying 2001:67c:4e8:f004::9:443...
* STATE: RESOLVING => CONNECTING handle 0x80008f028; line 1964 (connection #0)
* Connected to telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* STATE: CONNECTING => PROTOCONNECT handle 0x80008f028; line 2027 (connection #0)
* ALPN, offering h2
* ALPN, offering http/1.1
*  CAfile: /etc/pki/tls/certs/ca-bundle.crt
*  CApath: none
* Didn't find Session ID in cache for host HTTPS://telegram.org:443
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* STATE: PROTOCONNECT => PROTOCONNECTING handle 0x80008f028; line 2047 (connection #0)
* OpenSSL SSL_connect: Connection reset by peer in connection to telegram.org:443
* multi_done: status: 35 prem: 1 done: 0
* The cache now contains 0 members
* Closing connection 0
* Expire cleared (transfer 0x80008f028)
curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection to telegram.org:443

valkenier schreef op dinsdag 1 augustus 2023 @ 18:28:
@Raven Dat riekt naar een blokkade bij telegram op je /64. Doe telegram dat uberhaupt? Misschien bij teveel logins/mislukte logins? maximum api gebruik?

valkenier schreef op dinsdag 1 augustus 2023 @ 18:37:
api, web, en www is allemaal 2001:67c:4e8:f004::9 zoals je ziet. Ik kan het niet goed verklaren verder. de server geeft een tcp reset terug bij jou. itt bij mij. dan denk ik aan een ban.

curl http://web.telegram.org -v
* STATE: INIT => CONNECT handle 0x80008f028; line 1834 (connection #-5000)
* Added connection 0. The cache now contains 1 members
* STATE: CONNECT => RESOLVING handle 0x80008f028; line 1880 (connection #0)
* family0 == v6, family1 == v4
* Trying 2001:67c:4e8:f004::9:80...
* STATE: RESOLVING => CONNECTING handle 0x80008f028; line 1964 (connection #0)
* Connected to web.telegram.org (2001:67c:4e8:f004::9) port 80 (#0)
* STATE: CONNECTING => PROTOCONNECT handle 0x80008f028; line 2027 (connection #0)
* STATE: PROTOCONNECT => DO handle 0x80008f028; line 2050 (connection #0)
> GET / HTTP/1.1
> Host: web.telegram.org
> User-Agent: curl/7.82.0
> Accept: */*
>
* STATE: DO => DID handle 0x80008f028; line 2146 (connection #0)
* STATE: DID => PERFORMING handle 0x80008f028; line 2265 (connection #0)
* Mark bundle as not supporting multiuse
* HTTP 1.1 or later with persistent connection
< HTTP/1.1 301 Moved Permanently
< Server: nginx/1.18.0
< Date: Tue, 01 Aug 2023 16:48:27 GMT
< Content-Type: text/html
< Content-Length: 169
< Connection: keep-alive
< Location: https://web.telegram.org/
<
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.18.0</center>
</body>
</html>
* STATE: PERFORMING => DONE handle 0x80008f028; line 2464 (connection #0)
* multi_done: status: 0 prem: 0 done: 0
* Connection #0 to host web.telegram.org left intact
* Expire cleared (transfer 0x80008f028)

[ Voor 76% gewijzigd door Raven op 01-08-2023 18:50 ]

valkenier schreef op dinsdag 1 augustus 2023 @ 23:42:
Hmm ja, ik kan de TLS handshake niet helemaal interpreteren, maar uit wat ik terug rijg zie ik zowel communicatie over TLS 1.3 en TLS 1.2. Dat vond ik merkwaardifg. Jouw verbinding krijgt een reset onmiddelijk na:

* ALPN, offering http/1.1
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
* CApath: none o

Ik zie het hier misgaan, maar vat niet waarom...

valkenier schreef op dinsdag 1 augustus 2023 @ 23:42:
Welke provider heb je?

Raven schreef op dinsdag 1 augustus 2023 @ 11:15:
Weet iemand hoe je timeouts via IPv6 bij een specifieke domeinnaam kunt troubleshooten?

Een tijd terug viel het mij op dat de website van Telegram niet wilde openen, tenzij ik IPv4 forceerde (sindsdien ingesteld in Firefox), later liep ik tegen hetzelfde aan toen ik een python-script berichten via een Telegram-bot wilde laten versturen (code toegevoegd om IPv4 te forceren) en gisteren kwam Home Assistant erbij. Die heb ik ook gekoppeld aan een bot, maar berichten komen (meestal) niet aan en resulteren in foutmeldingen wanneer IPv6 aanstaat, helaas is het bij Home Assistant in het geval van IPv6 een alles of niets verhaal.

Home Assistant geeft dit als fout:

[...]

desktop browsers een timeout melding en de support van Telegram heeft nooit gereageerd op mijn probleem

Het enige wat ik met Google heb kunnen vinden is Telegram (and some others) have a weird TCP timeout during the TLS handshake over IPv6 wat overeen lijkt te komen, al kan ik die exacte situatie met curl in Cygwin niet reproduceren.

edit: Ubuntu:

[...]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

curl https://telegram.org -v -I
*   Trying [2001:67c:4e8:f004::9]:443...
* Connected to telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* ALPN: offers h2,http/1.1
* (304) (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* (304) (IN), TLS handshake, Server hello (2):
* (304) (IN), TLS handshake, Unknown (8):
* (304) (IN), TLS handshake, Certificate (11):
* (304) (IN), TLS handshake, CERT verify (15):
* (304) (IN), TLS handshake, Finished (20):
* (304) (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / AEAD-AES256-GCM-SHA384
* ALPN: server accepted h2
* Server certificate:
*  subject: CN=*.telegram.org
*  start date: Aug 10 15:56:28 2022 GMT
*  expire date: Sep 11 15:56:28 2023 GMT
*  subjectAltName: host "telegram.org" matched cert's "telegram.org"
*  issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certs.godaddy.com/repository/; CN=Go Daddy Secure Certificate Authority - G2
*  SSL certificate verify ok.
* using HTTP/2
* h2h3 [:method: HEAD]
* h2h3 [:path: /]
* h2h3 [:scheme: https]
* h2h3 [:authority: telegram.org]
* h2h3 [user-agent: curl/7.88.1]
* h2h3 [accept: */*]
* Using Stream ID: 1 (easy handle 0x123012e00)
> HEAD / HTTP/2
> Host: telegram.org
> user-agent: curl/7.88.1
> accept: */*
> 
< HTTP/2 200 
HTTP/2 200 
< server: nginx/1.18.0
server: nginx/1.18.0
< date: Wed, 02 Aug 2023 06:58:27 GMT
date: Wed, 02 Aug 2023 06:58:27 GMT
< content-type: text/html; charset=utf-8
content-type: text/html; charset=utf-8
< content-length: 19649
content-length: 19649
< set-cookie: stel_ssid=e12d2c0e76de005a83_997227742449489484; expires=Wed, 02 Aug 2023 18:05:07 GMT; path=/; samesite=None; secure; HttpOnly
set-cookie: stel_ssid=e12d2c0e76de005a83_997227742449489484; expires=Wed, 02 Aug 2023 18:05:07 GMT; path=/; samesite=None; secure; HttpOnly
< pragma: no-cache
pragma: no-cache
< cache-control: no-store
cache-control: no-store
< x-frame-options: SAMEORIGIN
x-frame-options: SAMEORIGIN
< strict-transport-security: max-age=31536000; includeSubDomains; preload
strict-transport-security: max-age=31536000; includeSubDomains; preload

< 
* Connection #0 to host telegram.org left intact

[ Voor 9% gewijzigd door valkenier op 02-08-2023 09:50 ]

valkenier schreef op woensdag 2 augustus 2023 @ 09:41:
Nou, ik zou maar proberen om het te activeren dan. Lekker scheutig met info zijn ze wel.

valkenier schreef op woensdag 2 augustus 2023 @ 09:41:
Edit: Ik zie dat je nogal aan die tunnel gehecht bent :
Raven in "[Tweak Glasvezel] Ervaringen & Discussie - Deel 5"

valkenier schreef op donderdag 3 augustus 2023 @ 07:09:
Een IPv6 tunnel is een workaround, native niet.

valkenier schreef op donderdag 3 augustus 2023 @ 07:09:
Waarom is het lastig dat om te gooien?

Raven schreef op donderdag 3 augustus 2023 @ 09:57:
[...]

Een essentiële workaround, daar ISP's maar achter blijven lopen....


[...]

Teveel configs aan moeten passen en firewall moeten herschrijven , maar nogmaals, wat als dit probleem ook dan weer optreed?

Snow_King schreef op donderdag 3 augustus 2023 @ 09:58:
[...]

Native is toch echt fijner dan een tunnel ;-)

* Raven is de tunnel gewend

Snow_King schreef op donderdag 3 augustus 2023 @ 09:58:
Heb je als eens een tracepath gedaan naar Telegram om te kijken welke MTU je richting hen hebt? En of je MTU path detection wel werkt?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

tracepath -6 telegram.org
 1?: [LOCALHOST]                        0.017ms pmtu 1500
 1:  2001:470:*:1:*:*:*:1fad                   0.792ms 
 1:  2001:470:*:1:*:*:*:1fad                   2.308ms 
 2:  2001:470:*:1:*:*:*:1fad                   1.112ms pmtu 1480
 2:  no reply
 3:  no reply
 4:  no reply
 5:  no reply
 6:  no reply
 7:  no reply
 8:  no reply
 9:  no reply
10:  2001:7f8:1::a506:2041:1                               5.605ms !A
     Resume: pmtu 1480 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

tracepath -6 telegram.org
 1?: [LOCALHOST]                        0.022ms pmtu 1460
 1:  2001:470:*:*:*:*:*:cad4                  2.396ms 
 1:  2001:470:*:*:*:*:*:cad4                  2.013ms 
 2:  no reply
 3:  no reply
 4:  no reply
 5:  no reply
 6:  no reply
 7:  no reply
 8:  no reply
 9:  no reply
10:  no reply
11:  2001:7f8:1::a506:2041:1                              83.988ms !A
     Resume: pmtu 1460 

1
2
3
4
5
6
7
8
9
10
11

curl https://telegram.org -v
*   Trying [2001:67c:4e8:f004::9]:443...
* Connected to telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* Recv failure: Connection reset by peer
* OpenSSL SSL_connect: Connection reset by peer in connection to telegram.org:443 
* Closing connection 0
curl: (35) Recv failure: Connection reset by peer

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55

curl https://telegram.org -v
*   Trying [2001:67c:4e8:f004::9]:443...
* Connected to telegram.org (2001:67c:4e8:f004::9) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server accepted h2
* Server certificate:
*  subject: CN=*.telegram.org
*  start date: Aug 10 15:56:28 2022 GMT
*  expire date: Sep 11 15:56:28 2023 GMT
*  subjectAltName: host "telegram.org" matched cert's "telegram.org"
*  issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certs.godaddy.com/repository/; CN=Go Daddy Secure Certificate Authority - G2
*  SSL certificate verify ok.
* using HTTP/2
* h2h3 [:method: GET]
* h2h3 [:path: /]
* h2h3 [:scheme: https]
* h2h3 [:authority: telegram.org]
* h2h3 [user-agent: curl/7.88.1]
* h2h3 [accept: */*]
* Using Stream ID: 1 (easy handle 0x558f835bf270)
> GET / HTTP/2
> Host: telegram.org
> user-agent: curl/7.88.1
> accept: */*
> 
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
< HTTP/2 200 
< server: nginx/1.18.0
< date: Thu, 03 Aug 2023 09:56:31 GMT
< content-type: text/html; charset=utf-8
< content-length: 19649
< set-cookie: stel_ssid=57646d4ad4928319f8_5388082198254796336; expires=Thu, 03 Aug 2023 21:03:11 GMT; path=/; samesite=None; secure; HttpOnly
< pragma: no-cache
< cache-control: no-store
< x-frame-options: SAMEORIGIN
< strict-transport-security: max-age=31536000; includeSubDomains; preload
< 
<!DOCTYPE html>
*shitload aan html*
</html>
<!-- page generated in 7.99ms -->
* Connection #0 to host telegram.org left intact

Raven schreef op donderdag 3 augustus 2023 @ 12:25:
[...]

* Raven is de tunnel gewend


[...]

http://ipv6-test.com/pmtud/ -> Result: no PMTUD problems detected

Gezien Windows geen tracepath prog lijkt te hebben, Ubuntu:

Bash:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

tracepath -6 telegram.org 1?: [LOCALHOST] 0.017ms pmtu 1500 1: 2001:470:*:1:*:*:*:1fad 0.792ms 1: 2001:470:*:1:*:*:*:1fad 2.308ms 2: 2001:470:*:1:*:*:*:1fad 1.112ms pmtu 1480 2: no reply 3: no reply 4: no reply 5: no reply 6: no reply 7: no reply 8: no reply 9: no reply 10: 2001:7f8:1::a506:2041:1 5.605ms !A Resume: pmtu 1480

Na aansluiten aan ander VLAN en /64 via wifi-adapter (bedraad uit):

Bash:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

tracepath -6 telegram.org 1?: [LOCALHOST] 0.022ms pmtu 1460 1: 2001:470:*:*:*:*:*:cad4 2.396ms 1: 2001:470:*:*:*:*:*:cad4 2.013ms 2: no reply 3: no reply 4: no reply 5: no reply 6: no reply 7: no reply 8: no reply 9: no reply 10: no reply 11: 2001:7f8:1::a506:2041:1 83.988ms !A Resume: pmtu 1460

Huh, de MTU is anders?

En ter vergelijking via het standaard VLAN

Bash:

1 2 3 4 5 6 7 8 9 10 11

curl https://telegram.org -v * Trying [2001:67c:4e8:f004::9]:443... * Connected to telegram.org (2001:67c:4e8:f004::9) port 443 (#0) * ALPN: offers h2,http/1.1 * TLSv1.3 (OUT), TLS handshake, Client hello (1): * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs * Recv failure: Connection reset by peer * OpenSSL SSL_connect: Connection reset by peer in connection to telegram.org:443 * Closing connection 0 curl: (35) Recv failure: Connection reset by peer

en na aansluiten wifi-adapter en disconnecten bedrade interface:

Bash:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

curl https://telegram.org -v * Trying [2001:67c:4e8:f004::9]:443... * Connected to telegram.org (2001:67c:4e8:f004::9) port 443 (#0) * ALPN: offers h2,http/1.1 * TLSv1.3 (OUT), TLS handshake, Client hello (1): * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8): * TLSv1.3 (IN), TLS handshake, Certificate (11): * TLSv1.3 (IN), TLS handshake, CERT verify (15): * TLSv1.3 (IN), TLS handshake, Finished (20): * TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.3 (OUT), TLS handshake, Finished (20): * SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 * ALPN: server accepted h2 * Server certificate: * subject: CN=*.telegram.org * start date: Aug 10 15:56:28 2022 GMT * expire date: Sep 11 15:56:28 2023 GMT * subjectAltName: host "telegram.org" matched cert's "telegram.org" * issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certs.godaddy.com/repository/; CN=Go Daddy Secure Certificate Authority - G2 * SSL certificate verify ok. * using HTTP/2 * h2h3 [:method: GET] * h2h3 [:path: /] * h2h3 [:scheme: https] * h2h3 [:authority: telegram.org] * h2h3 [user-agent: curl/7.88.1] * h2h3 [accept: */*] * Using Stream ID: 1 (easy handle 0x558f835bf270) > GET / HTTP/2 > Host: telegram.org > user-agent: curl/7.88.1 > accept: */* > * TLSv1.3 (IN), TLS handshake, Newsession Ticket (4): * TLSv1.3 (IN), TLS handshake, Newsession Ticket (4): * old SSL session ID is stale, removing < HTTP/2 200 < server: nginx/1.18.0 < date: Thu, 03 Aug 2023 09:56:31 GMT < content-type: text/html; charset=utf-8 < content-length: 19649 < set-cookie: stel_ssid=57646d4ad4928319f8_5388082198254796336; expires=Thu, 03 Aug 2023 21:03:11 GMT; path=/; samesite=None; secure; HttpOnly < pragma: no-cache < cache-control: no-store < x-frame-options: SAMEORIGIN < strict-transport-security: max-age=31536000; includeSubDomains; preload < <!DOCTYPE html> *shitload aan html* </html> <!-- page generated in 7.99ms --> * Connection #0 to host telegram.org left intact

Beide testen zonder reboots tussendoor, de enige verandering is de netwerkinterface en daarmee de VLAN en /64.

Raven schreef op donderdag 3 augustus 2023 @ 12:25:
[...]

* Raven is de tunnel gewend


[...]

http://ipv6-test.com/pmtud/ -> Result: no PMTUD problems detected

Gezien Windows geen tracepath prog lijkt te hebben, Ubuntu:

Bash:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

tracepath -6 telegram.org 1?: [LOCALHOST] 0.017ms pmtu 1500 1: 2001:470:*:1:*:*:*:1fad 0.792ms 1: 2001:470:*:1:*:*:*:1fad 2.308ms 2: 2001:470:*:1:*:*:*:1fad 1.112ms pmtu 1480 2: no reply 3: no reply 4: no reply 5: no reply 6: no reply 7: no reply 8: no reply 9: no reply 10: 2001:7f8:1::a506:2041:1 5.605ms !A Resume: pmtu 1480

Na aansluiten aan ander VLAN en /64 via wifi-adapter (bedraad uit):

Bash:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

tracepath -6 telegram.org 1?: [LOCALHOST] 0.022ms pmtu 1460 1: 2001:470:*:*:*:*:*:cad4 2.396ms 1: 2001:470:*:*:*:*:*:cad4 2.013ms 2: no reply 3: no reply 4: no reply 5: no reply 6: no reply 7: no reply 8: no reply 9: no reply 10: no reply 11: 2001:7f8:1::a506:2041:1 83.988ms !A Resume: pmtu 1460

Huh, de MTU is anders?

En ter vergelijking via het standaard VLAN

Bash:

1 2 3 4 5 6 7 8 9 10 11

curl https://telegram.org -v * Trying [2001:67c:4e8:f004::9]:443... * Connected to telegram.org (2001:67c:4e8:f004::9) port 443 (#0) * ALPN: offers h2,http/1.1 * TLSv1.3 (OUT), TLS handshake, Client hello (1): * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs * Recv failure: Connection reset by peer * OpenSSL SSL_connect: Connection reset by peer in connection to telegram.org:443 * Closing connection 0 curl: (35) Recv failure: Connection reset by peer

en na aansluiten wifi-adapter en disconnecten bedrade interface:

Bash:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

curl https://telegram.org -v * Trying [2001:67c:4e8:f004::9]:443... * Connected to telegram.org (2001:67c:4e8:f004::9) port 443 (#0) * ALPN: offers h2,http/1.1 * TLSv1.3 (OUT), TLS handshake, Client hello (1): * CAfile: /etc/ssl/certs/ca-certificates.crt * CApath: /etc/ssl/certs * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8): * TLSv1.3 (IN), TLS handshake, Certificate (11): * TLSv1.3 (IN), TLS handshake, CERT verify (15): * TLSv1.3 (IN), TLS handshake, Finished (20): * TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1): * TLSv1.3 (OUT), TLS handshake, Finished (20): * SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 * ALPN: server accepted h2 * Server certificate: * subject: CN=*.telegram.org * start date: Aug 10 15:56:28 2022 GMT * expire date: Sep 11 15:56:28 2023 GMT * subjectAltName: host "telegram.org" matched cert's "telegram.org" * issuer: C=US; ST=Arizona; L=Scottsdale; O=GoDaddy.com, Inc.; OU=http://certs.godaddy.com/repository/; CN=Go Daddy Secure Certificate Authority - G2 * SSL certificate verify ok. * using HTTP/2 * h2h3 [:method: GET] * h2h3 [:path: /] * h2h3 [:scheme: https] * h2h3 [:authority: telegram.org] * h2h3 [user-agent: curl/7.88.1] * h2h3 [accept: */*] * Using Stream ID: 1 (easy handle 0x558f835bf270) > GET / HTTP/2 > Host: telegram.org > user-agent: curl/7.88.1 > accept: */* > * TLSv1.3 (IN), TLS handshake, Newsession Ticket (4): * TLSv1.3 (IN), TLS handshake, Newsession Ticket (4): * old SSL session ID is stale, removing < HTTP/2 200 < server: nginx/1.18.0 < date: Thu, 03 Aug 2023 09:56:31 GMT < content-type: text/html; charset=utf-8 < content-length: 19649 < set-cookie: stel_ssid=57646d4ad4928319f8_5388082198254796336; expires=Thu, 03 Aug 2023 21:03:11 GMT; path=/; samesite=None; secure; HttpOnly < pragma: no-cache < cache-control: no-store < x-frame-options: SAMEORIGIN < strict-transport-security: max-age=31536000; includeSubDomains; preload < <!DOCTYPE html> *shitload aan html* </html> <!-- page generated in 7.99ms --> * Connection #0 to host telegram.org left intact

Beide testen zonder reboots tussendoor, de enige verandering is de netwerkinterface en daarmee de VLAN en /64.

Snow_King schreef op donderdag 3 augustus 2023 @ 13:43:
[...]
Dat is wel echt heel vreemd. WiFi zou je MTU niet met 20 bytes naar beneden moeten brengen. Maar ook raar dat het daar dan wel weer wel werkt.

Snow_King schreef op donderdag 3 augustus 2023 @ 13:43:
Ik twijfel of dit echt een IPv6 probleem is en of dit niet gewoon een 'IP' danwel 'TCP' probleem ergens is.

1

nmcli connection add type ip-tunnel con-name he-ipv6 ifname he-ipv6 mode sit remote $IPv4Endpoint -- ipv4.method disabled ipv6.method manual ipv6.address $IPv6Address ipv6.gateway $IPv6Gateway

Charlie_Root schreef op donderdag 3 augustus 2023 @ 14:11:
[...]

Wat voor router heb je en heb je hierop MSS Clamping ingesteld? Dat is nodig omdat het een tunnel interface is.

Raven schreef op donderdag 3 augustus 2023 @ 17:56:
[...]
Bedoel je die daling van 1500 naar 1480 (de bedrade niet werkende situatie) of die wat start met 1460 (wat 20 lager is dan default MTU) en daar blijft?

De daling van 1500 naar 1480 lijkt op Ubuntu zelf te gebeuren, maar waarom Ubuntu in het geval van de wifi-adapter meteen met 1460 begint (wat een werkende situatie oplevert) snap ik dan even niet.

Heb de radvd-config ff gechecked, daar staat niets m.b.t. MTU, dus daar kan het niet vandaan komen.


[...]

Heb met support van HE zitten mailen, het is vrijwel zeker iets aan mijn kant, maar wat is nog niet duidelijk. Gezien het bij https misgaat (en http wel gewoon connect met cURL), lijkt het richting MTU te gaan.

Maar waar waarom alleen deze domeinnaam en waarom alleen deze /64 weten ze daar niet, ik heb nooit iets qua MTU ingesteld, bij radvd en ook bij het opzetten van de tunnel niet:

Bash:

1	nmcli connection add type ip-tunnel con-name he-ipv6 ifname he-ipv6 mode sit remote $IPv4Endpoint -- ipv4.method disabled ipv6.method manual ipv6.address $IPv6Address ipv6.gateway $IPv6Gateway

Bij de tunneleigenschappen op tunnelbroker.net staat de MTU op default (1480).


[...]

Een pc met Debian en MSS Clamping heb ik nooit iets mee gedaan, mijn problemen met IPv6 waren in de loop der jaren beperkt tot ICMPv6 blocks aan de serverkant en incorrecte Geo-IP databases (nog steeds het geval, weet alleen niet welke) .... en dan nu dit dus.

Charlie_Root schreef op donderdag 3 augustus 2023 @ 19:25:
wat voor router heb je?

Raven schreef op vrijdag 4 augustus 2023 @ 14:10:
[...]

Dat staat in de quote -> "Een pc met Debian"

1

ip link set he-ipv6 mtu 1422

[ Voor 10% gewijzigd door Charlie_Root op 04-08-2023 17:35 ]

Charlie_Root schreef op vrijdag 4 augustus 2023 @ 17:34:
[...]


My bad, overheen gelezen. Probeer je MTU op de tunnel eens te verlagen naar 1422?

Uit mijn hoofd;

code:

1	ip link set he-ipv6 mtu 1422

Plofkotje schreef op vrijdag 4 augustus 2023 @ 17:41:
Je kan in je route advertisements aan de v6 kant ook een max MTU opgeven die door vrijwel elk OS gerespecteerd wordt, in radvd is dat de AdvLinkMTU waarde. Als je die op de max MTU zet die door de tunnel naar HE gaat, 1480, kan dat evt ook helpen.

Het klinkt wel heel erg als een MTU dingetje, met iets aan de kant van Telegram wat path mtu discovery niet snapt.

[ Voor 3% gewijzigd door Raven op 04-08-2023 18:20 ]

valkenier schreef op maandag 7 augustus 2023 @ 14:09:
Mooi dat je het issue hebt getackeld, maar met native IPv6 had je dit niet nodig gehad……

Raven schreef op maandag 7 augustus 2023 @ 14:43:
[...]

Mwah, getackeld, het is in ieder geval duidelijk dat het MTU-gerelateerd is, maar waarom specifiek telegram.org is nog niet duidelijk. Valt er op afstand te zien of een willekeurige webserver geen issues heeft m.b.t. MTU?

Plofkotje schreef op maandag 7 augustus 2023 @ 14:57:
[...]


Met iets van Tracepath zou je dit moeten kunnen zien, maar dat had je al gedaan Het debuggen van path mtu discovery issues op een host die je niet zelf in beheer hebt is lastiger, anders dan verschillende waardes proberen en kijken welke werkt.

Plofkotje schreef op maandag 7 augustus 2023 @ 14:57:
Het lijkt er heel erg op dat er gewoon iets in het pad zit bij Telegram richting sommige diensten die er vanuit gaat dat alles op 1500 ingesteld staat en geen rekening houdt met mogelijke tunnels, mogelijk ivm iets van ECMP routing aan hun kant voor loadbalancing.

Plofkotje schreef op maandag 7 augustus 2023 @ 14:57:
Cloudflare heeft hier een mooi artikel over geschreven lang geleden over de MTU issues waar ze tegenaan liepen nadat ze ECMP geimpementeerd hadden: https://blog.cloudflare.com/increasing-ipv6-mtu/

Dutch-gabber schreef op zaterdag 12 augustus 2023 @ 14:22:
Hallo,

Ik heb sinds kort een UDM pro icm een KPN(voorheen XS4all) abbonement, en zou graag via de interface IPv6 configureren.

Nu heb ik dit eerst via DHCPv6 geprobeerd, maar dit zou volgens een post op het KPN forum niet werken.
In plaats daarvan geprobeerd via een static ip (opgehaald uit MijnKPN), maar nu moet ik een Gateway IP opgeven.

Zou iemand mij kunnen helpen met dit werkend te krijgen?
Bvd.

[Afbeelding]

stormfly schreef op zaterdag 12 augustus 2023 @ 14:35:
[...]


Dan moet je het FE80 adres van de overzijde opzoeken. Staat dat niet in de post die je op het KPN forum hebt gevonden?

Als je DHCPv6 aanzet. Kan je dan vanaf je UI router pingen naar ipv6.google.com?

1
2
3
4
5

ping ipv6.google.com
PING ipv6.google.com(ams15s48-in-x0e.1e100.net (2a00:1450:400e:811::200e)) 56 da                                          ta bytes
^C
--- ipv6.google.com ping statistics ---
71 packets transmitted, 0 received, 100% packet loss, time 72810ms

Dutch-gabber schreef op zaterdag 12 augustus 2023 @ 15:25:
[...]


Hier kon ik dus helaas niks over vinden in de forumpost
helaas weet ik de terminologie niet om tot een goede google search te komen.


[...]


Deze mislukt

code:

1 2 3 4 5

ping ipv6.google.com PING ipv6.google.com(ams15s48-in-x0e.1e100.net (2a00:1450:400e:811::200e)) 56 da ta bytes ^C --- ipv6.google.com ping statistics --- 71 packets transmitted, 0 received, 100% packet loss, time 72810ms

stormfly schreef op zaterdag 12 augustus 2023 @ 16:09:
[...]


Aha in die post gaan ze er vanuit dat er nog een ExperiaBox voor zit, is dat bij jou ook het geval?

Dutch-gabber schreef op zaterdag 12 augustus 2023 @ 16:29:
[...]


Nee, ik heb hem direct achter de NTU hangen.

Dutch-gabber schreef op zaterdag 12 augustus 2023 @ 15:25:
[...]


Hier kon ik dus helaas niks over vinden in de forumpost
helaas weet ik de terminologie niet om tot een goede google search te komen.


[...]


Deze mislukt

code:

1 2 3 4 5

ping ipv6.google.com PING ipv6.google.com(ams15s48-in-x0e.1e100.net (2a00:1450:400e:811::200e)) 56 da ta bytes ^C --- ipv6.google.com ping statistics --- 71 packets transmitted, 0 received, 100% packet loss, time 72810ms

Raven schreef op zondag 10 september 2023 @ 12:10:
Wat een incompetente *pieeeeeeeep* bij Videoland.

Ik heb nu meerdere keren melding gedaan van een verbindingsprobleem (geo-IP gedoe) en ze willen mijn IPv4 adres hebben terwijl ik meerdere keren heb aangegeven dat het probleem IPv6 specifiek is

Zijn er anno 2023 nog steeds geen manieren om als bezoeker van een streamingdienst te achterhalen welke geo-IP database daar gebruikt wordt? Ik kan er nog steeds geen vinden die iets anders dan Nederland aangeeft en Videoland weigert dit probleem te snappen.

stormfly schreef op zondag 10 september 2023 @ 13:01:
[...]


Aai dat is wel vervelend. Welke provider?

stormfly schreef op zondag 10 september 2023 @ 13:01:
https://www.maxmind.com/en/geoip-demo Dit is volgens mij een veel gebruikte?

Raven schreef op zondag 10 september 2023 @ 13:06:
[...]

Hurricane Electric, oftewel IPv6-tunnel.


[...]

Netherlands, Europe, dit is een van de vele die Google vond en die had ik al eerder getest, geeft nog steeds NL aan.

Ik probeer de klantenservice al een tijdje zover te krijgen de naam van de door Videoland gebruikte te geven, zodat ik er zelf achteraan kan, alleen kennen ze daar het bestaan van IPv6 en geo-IP databases niet