Auteur Sujet: Pb vers certaines IPv6, depuis OVH ADSL  (Lu 2529 fois)

0 Membres et 1 Invité sur ce sujet

pedrol

  • Abonné Free fibre
  • *
  • Messages: 28
Pb vers certaines IPv6, depuis OVH ADSL
« le: 12 décembre 2020 à 19:42:36 »
Edit vivien : Sujet déplacé, car le problème semble lié à l'IPv6 chez OVH ADSL.
Les différents problèmes ci-dessous ont en commun de n'être reproductible que depuis un accès OVH en ADSL.


Plus amusant la "cartefibre" est inacessible en IPv6 parce qu'elle utilise une version de jquery hébergée sur un CDN défaillant.
On reproduit bien avec Curl.
curl https://code.jquery.com/jquery-3.3.1.min.js -6
curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

C'est peut être seulement moi (Firefox / Linux / OVH ipv6) ?
Apparemment ce n'est pas le seul site touché, voir https://github.com/jquery/codeorigin.jquery.com/issues/52

underground78

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 7 434
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Pb vers certaines IPv6, depuis OVH ADSL
« Réponse #1 le: 13 décembre 2020 à 11:28:16 »
Je n'ai pas le problème chez moi (Firefox / Windows 10 / Free FTTH). Il est possible que je tombe pas sur le même serveur (c'est 2001:4de0:ac19::1:b:1a qui a été utilisé chez moi).

pedrol

  • Abonné Free fibre
  • *
  • Messages: 28
Pb vers certaines IPv6, depuis OVH ADSL
« Réponse #2 le: 04 janvier 2021 à 10:14:51 »
Il y a toujours un souci en ipv6, mais cette fois directement sur le serveur Arcep. Et ça n'est pas systématique (50% je dirais).
En v4 aucun problème.
L'ipv6 cible ne change pas entre un cas ok et un cas ko.

$ curl https://cartefibre.arcep.fr/ -6Iv --http1.1
*   Trying 2001:41d0:301::23:443...
* TCP_NODELAY set
* Connected to cartefibre.arcep.fr (2001:41d0:301::23) port 443 (#0)
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* OpenSSL SSL_connect: Connexion ré-initialisée par le correspondant in connection to cartefibre.arcep.fr:443
* Closing connection 0
curl: (35) OpenSSL SSL_connect: Connexion ré-initialisée par le correspondant in connection to cartefibre.arcep.fr:443

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Pb vers certaines IPv6, depuis OVH ADSL
« Réponse #3 le: 13 janvier 2021 à 17:26:41 »
pedrol tu arrive toujours à reproduire le problème ?

On a un peu de mal à avancer sur ce problème, le site est en hébergement mutualisé chez OVH.

pedrol

  • Abonné Free fibre
  • *
  • Messages: 28
Pb vers certaines IPv6, depuis OVH ADSL
« Réponse #4 le: 13 janvier 2021 à 18:27:03 »
alors oui, j'ai toujours le problème. mais voici des précisions.
déjà, j'ai ce problème 1 cnx / 2 mais uniquement depuis ma connexion ADSL OVH. amusant de voir que c'est le même provider.
Si je teste depuis une ipv6 free (vdsl), aucun problème.

$ openssl s_client -connect cartefibre.arcep.fr:443 -6 -servername cartefibre.arcep.fr
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = cartefibre.arcep.fr
verify return:1
write:errno=104
---
Certificate chain
 0 s:CN = cartefibre.arcep.fr
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
 1 s:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
---snip---
-----END CERTIFICATE-----
subject=CN = cartefibre.arcep.fr

issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

---
No client certificate CA names sent
Peer signing digest: SHA512
Peer signature type: RSA
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3040 bytes and written 437 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: 2D28B044D3A4553A411D5E40E72ECA80816054F1B837FC5A0196EF9E09AF518A
    Session-ID-ctx:
    Master-Key: 36FC1805C5769B6054C91D3E2AC39259921A42CCA48A6846A320EBBE76DF126D6305977369019744F824738B01859053
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1610558442
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---

dans les 2 cas l'ipv6 cible est la même
$ dig AAAA cartefibre.arcep.fr. +short
2001:41d0:301::23

Et j'ai l'impression que j'ai le même problème avec d'autres CDN en IPv6. Donc ça vient peut être de mon ISP / routeur.


vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Pb vers certaines IPv6, depuis OVH ADSL
« Réponse #5 le: 13 janvier 2021 à 18:31:11 »
Ça me rassure car je n'avais pas réussi à reproduire le problème.

Tu as le même problème depuis ton OVH ADSL vers lafibre.info (IPv6 Adeli) ou fr.archive.ubuntu.com (IPv6 Bouygues Telecom) ?

pedrol

  • Abonné Free fibre
  • *
  • Messages: 28
Pb vers certaines IPv6, depuis OVH ADSL
« Réponse #6 le: 13 janvier 2021 à 18:40:46 »
Alors sous reserve de faire des tests en console il n'y a aucun autre domaine sur lequel j'ai ce problème.
ni ceux que tu cites, ni plein d'autres domaines Google en ipv6 sur cette même ligne avec laquelle je travaille tous les jours.

Je n'ai que le cas arcep, un autre site chez ovh (via leur cdn) pour lequel je m'aperçois du problème à l'instant, et le cdn jquery (code.jquery.com) qui ne semble pas être chez ovh.

Le point commun entre tous ? Je ne sais pas. Haproxy ?
Au niveau client j'ai testé avec 2 pc Ubuntu.
Il faudrait que je teste sous Windows.

pedrol

  • Abonné Free fibre
  • *
  • Messages: 28
Pb vers certaines IPv6, depuis OVH ADSL
« Réponse #7 le: 04 mars 2021 à 22:13:16 »
Pour ceux que ça intéresse : même problème sous Windows (Edge et Firefox).
Toujours 1 fois sur 2 et sur cet ADSL OVH.

Via Free pas de pb.

Étonnant ...

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Pb vers certaines IPv6, depuis OVH ADSL
« Réponse #8 le: 05 mars 2021 à 04:20:27 »
pedrol, cela serait bien d'indiquer les IPv6 cible impactées. Il y a peut-être quelques chose de commun, comme on a vu des réseau qui n'aiment pas les serveurs avec une IPv6 se terminant par ::0 (en IPv6 c'est autorisé d'utiliser l'IP ::0 du /64)

Est-ce que le routage OVH ne serait pas en cause ?

N’hésites pas non plus dès que tu arrive a caractériser un peu plus le problème à faire une remontée https://jalerte.arcep.fr/
J'alrte l'Arcep => Particulier => Fixe / Internet => Internet => Problème spécifique avec IPv6 => opérateur OVH => Technologie DSL

Ensuite décris brièvement le problème et met le lien vers ce sujet pour renvoyer vers les détails.

pedrol

  • Abonné Free fibre
  • *
  • Messages: 28
Pb vers certaines IPv6, depuis OVH ADSL
« Réponse #9 le: 05 mars 2021 à 10:57:23 »
Vivien, merci pour tes réponses.
Le problème ne me gêne pas beaucoup (j'ai forcé qq ipv4), mais ça m'intrigue !

J'ai refait des tests et je confirme que pour avoir le problème il faut :
- être sur ma ligne OVH
- utiliser ipv6
- utiliser HTTPS
- cibler un cluster OVH ou le CDN jquery (les 2 cas que j'ai trouvés pour l'instant)

Si on change n'importe lequel de ces paramètres, ça fonctionne. J'ai testé Linux x86, Linux ARM (pi) et Windows 10, même constat. J'ai testé 2 PC et 1 PI.
Et quand j'ai le problème ça n'est pas systématique. OVH c'est 1x sur 2, CDN jquery c'est 9x sur 10.
Le ping6 fonctionne nickel, pas de problème de routage.

Le problème se passe juste après le handshake TLS. La connexion TCP est ok, mais après le cipher change, je reçois direct un RST en provenance de l'IP6 du serveur ciblé, c'est instantané.
En fait ça ressemble à un firewall / IPS qui casserait volontairement la connexion.

Liste des IP des clusters OVH :
https://docs.ovh.com/fr/hosting/liste-des-adresses-ip-des-clusters-et-hebergements-web/

Pour CDN jQuery
code.jquery.com. 123 IN CNAME cds.s5x3j6q5.hwcdn.net.
cds.s5x3j6q5.hwcdn.net. 175 IN AAAA 2001:4de0:ac19::1:b:1b
cds.s5x3j6q5.hwcdn.net. 175 IN AAAA 2001:4de0:ac19::1:b:2a
cds.s5x3j6q5.hwcdn.net. 175 IN AAAA 2001:4de0:ac19::1:b:3a
cds.s5x3j6q5.hwcdn.net. 175 IN AAAA 2001:4de0:ac19::1:b:1a
cds.s5x3j6q5.hwcdn.net. 175 IN AAAA 2001:4de0:ac19::1:b:3b
cds.s5x3j6q5.hwcdn.net. 175 IN AAAA 2001:4de0:ac19::1:b:2b