Auteur Sujet: Pb avec Deutsche Telekom AS3320 en IPv6 (ok en IPv4)  (Lu 3181 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Pb avec Deutsche Telekom AS3320 en IPv6 (ok en IPv4)
« le: 11 juin 2017 à 15:10:02 »
Pb avec Deutsche Telekom AS3320 en IPv6

Deutsche Telekom est un opérateur "Tier1"  et j'ai donc décidé de le suivre en IPv4 et IPv6, depuis les différents opérateurs Francçais.

J'utilise un téléchargement d'un petit fichier du site internet (https://www.telekom.com/static-cms/favicon.ico) que je graphe dans le temps avec SmokePing (https://lafibre.info/smokeping-tier-1/).

En PIv4 tout se passe bien.
En IPv6, j'ai de très nombreux échecs (et même depuis Free 100% d'échecs en IPv6)

Voici un exemple de téléchargement qui se passe bien, réalisé depuis Online. A la suite j'ai le fichier favicon.ico qui m'est envoyé :

$ curl -6 -v https://www.telekom.com/static-cms/favicon.ico
*   Trying 2a00:da8:ffff:fa01::11...
* Connected to www.telekom.com (2a00:da8:ffff:fa01::11) port 443 (#0)
* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 694 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / RSA_AES_256_CBC_SHA256
* server certificate verification OK
* server certificate status verification SKIPPED
* common name: www.telekom.com (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: C=DE,O=Deutsche Telekom AG,ST=NRW,L=Bielefeld,EMAIL=cms-web-bi@t-systems.com,CN=www.telekom.com
* start date: Wed, 10 Jun 2015 13:42:05 GMT
* expire date: Fri, 15 Jun 2018 23:59:59 GMT
* issuer: C=DE,O=T-Systems International GmbH,OU=Trust Center Services,CN=TeleSec ServerPass CA 2,ST=Nordrhein Westfalen,postalCode=57250,L=Netphen,street=Untere Industriestr. 20
* compression: NULL
* ALPN, server did not agree to a protocol
> GET /static-cms/favicon.ico HTTP/1.1
> Host: www.telekom.com
> User-Agent: curl/7.47.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Sat, 10 Jun 2017 11:33:10 GMT
< Server: Apache
< X-Frame-Options: SAMEORIGIN
< Cache-Control: max-age=86400, must-revalidate
< Last-Modified: Mon, 24 Apr 2017 11:26:48 GMT
< Content-Type: image/x-icon;charset=UTF-8
< Content-Length: 1406
< X-Varnish: 14232293 14157248
< Age: 80090
< Via: 1.1 varnish-v4
< X-Cache: HIT
< Accept-Ranges: bytes
< Connection: keep-alive
< Set-Cookie: BIGipServerRD_010_POOL_STD_2A00_0DA8_FFFF_FA01__11_443=rd10ofddfa13310020001fa00000000000011o8080; path=/
<

Toujours depuis Online, voici ce qu'il se passe en cas d'échec : (le pb se produit uniquement après le GET /static-cms/favicon.ico)
$ curl -6 -v https://www.telekom.com/static-cms/favicon.ico
*   Trying 2a00:da8:ffff:fa01::11...
* Connected to www.telekom.com (2a00:da8:ffff:fa01::11) port 443 (#0)
* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 694 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / RSA_AES_256_CBC_SHA256
* server certificate verification OK
* server certificate status verification SKIPPED
* common name: www.telekom.com (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: C=DE,O=Deutsche Telekom AG,ST=NRW,L=Bielefeld,EMAIL=cms-web-bi@t-systems.com,CN=www.telekom.com
* start date: Wed, 10 Jun 2015 13:42:05 GMT
* expire date: Fri, 15 Jun 2018 23:59:59 GMT
* issuer: C=DE,O=T-Systems International GmbH,OU=Trust Center Services,CN=TeleSec ServerPass CA 2,ST=Nordrhein Westfalen,postalCode=57250,L=Netphen,street=Untere Industriestr. 20
* compression: NULL
* ALPN, server did not agree to a protocol
> GET /static-cms/favicon.ico HTTP/1.1
> Host: www.telekom.com
> User-Agent: curl/7.47.0
> Accept: */*
>
* GnuTLS recv error (-54): Error in the pull function.
* Closing connection 0
curl: (56) GnuTLS recv error (-54): Error in the pull function.

Un autre exemple d'échec, en ayant activé la fonction --insecure de curl qui évite de vérifier la validité du certificat https :
$ curl --insecure -v https://www.telekom.com/static-cms/favicon.ico
*   Trying 2a00:da8:ffff:fa01::11...
* Connected to www.telekom.com (2a00:da8:ffff:fa01::11) port 443 (#0)
* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 694 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / RSA_AES_256_CBC_SHA256
* server certificate verification SKIPPED
* server certificate status verification SKIPPED
* common name: www.telekom.com (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: C=DE,O=Deutsche Telekom AG,ST=NRW,L=Bielefeld,EMAIL=cms-web-bi@t-systems.com,CN=www.telekom.com
* start date: Wed, 10 Jun 2015 13:42:05 GMT
* expire date: Fri, 15 Jun 2018 23:59:59 GMT
* issuer: C=DE,O=T-Systems International GmbH,OU=Trust Center Services,CN=TeleSec ServerPass CA 2,ST=Nordrhein Westfalen,postalCode=57250,L=Netphen,street=Untere Industriestr. 20
* compression: NULL
* ALPN, server did not agree to a protocol
> GET /static-cms/favicon.ico HTTP/1.1
> Host: www.telekom.com
> User-Agent: curl/7.47.0
> Accept: */*
>
* GnuTLS recv error (-54): Error in the pull function.
* Closing connection 0
curl: (56) GnuTLS recv error (-54): Error in the pull function.

Vous comprenez d'où viennent ces échecs spécifiquement en IPv6 ?

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Pb avec Deutsche Telekom AS3320 en IPv6 (ok en IPv4)
« Réponse #1 le: 11 juin 2017 à 15:13:06 »
Graphe du téléchargement de ce petit fichier en IPv4 depuis Online :


Graphe du téléchargement de ce petit fichier en IPv6 depuis Online :


Les pics a plusieurs secondes sont des échecs.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Pb avec Deutsche Telekom AS3320 en IPv6 (ok en IPv4)
« Réponse #2 le: 11 juin 2017 à 15:14:57 »
Pour montrer que ce pb n'est pas spécifique à Online :
Graphe du téléchargement de ce petit fichier en IPv4 depuis Adeli - Maxnod :


Graphe du téléchargement de ce petit fichier en IPv6 depuis Adeli - Maxnod :



Graphe du téléchargement de ce petit fichier en IPv4 depuis SFR :


Graphe du téléchargement de ce petit fichier en IPv6 depuis SFR :

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
Pb avec Deutsche Telekom AS3320 en IPv6 (ok en IPv4)
« Réponse #3 le: 12 juin 2017 à 19:39:23 »
On dirait un problème dans la négociation du protocole TLS à utiliser.
Entre IPv4 et IPv6 la seule différence de configuration est le support de la renégociation initiée par le client, d'après SSLLabs.

 

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Pb avec Deutsche Telekom AS3320 en IPv6 (ok en IPv4)
« Réponse #4 le: 12 juin 2017 à 22:07:47 »
Moi j'ai "HTTP request to this server failed, see below for details." en IPv6 et pas en IPv4.

En bas de la page on a :

HTTP Requests
1 https://www.telekom.com/  (Request failed)


vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Pb avec Deutsche Telekom AS3320 en IPv6 (ok en IPv4)
« Réponse #5 le: 12 juin 2017 à 22:25:59 »
Autre chose, j'ai testé, avec Free, c'est 100% d'échec même avec un navigateur en IPv6 sur http://www.telekom.com

Ici il a fini par passer en IPv4 après plus de deux minutes et demi sans rien afficher.

Le https n'est pas en cause, car cela a bloqué pour la requête en http qui renvoi une réponse 301 moved Permantly vers le site en https.




Désolé, Firefox n'aime pas trop les PC limités en 640x480...