Ciao @PF-Matteo, ho una domanda da farti che spero possa chiarirmi una volta per tutte un problema che ho riscontrato a partire dal momento dello switch alla nuova rete in IPv6.

Ho sempre attivi diversi tunnel Wireguard verso vari host sparsi per l'Europa. Questi tunnel usano solo ed esclusivamente endpoint IPv6.

Dal momento dello switch da 2a02:29e0:: a 2a02:29e1:: in tutti i tunnel si è cominciato a verificare uno strano comportamento: molti pacchetti TCP venivano ritrasmessi in continuazione o si perdevano del tutto.

Dopo diversi giorni di test, ho provato (preso dalla disperazione) ad abbassare l'MTU di default dei tunnel Wireguard dal valore di 1420 (quello che avevo sempre usato, senza mai modificarlo poiché è il default) a 1400.

Improvvisamente si è rimesso tutto a funzionare correttamente.

A questo punto ti chiedo: è cambiato, per qualche motivo, l'MTU nella nuova rete? Qual è il valore corretto da impostare nei nostri router per evitare problemi (MTU o MSS clamping).

Già sulla vecchia rete avevo dovuto impostare su OPNsense un valore di riferimento per l'MSS clamping di 1452, senza il quale molti siti IPv6 (es. web.telegram.org) non si caricavano.

Ma sui tunnel IPv6/IPv6 con Wireguard non avevo mai avuto problemi fino al momento del passaggio alla nuova rete.

Grazie in anticipo per le info che mi vorrai fornire

    Matwolf la erte è molto magliata e con tanti trasporti, consiglio di rimanere sotto i 1500 totali. Se fai vpn devi considerare l' overhead.

      Sulla vecchia rete collegando solo un semplice router d link la connessione mi funzionava bene solo con l'mtu a 1280.
      Con valori superiori sul router non si connetteva velocemente.
      Oppure la connessione andava su alcuni siti si ad altri no.

      1280 è molto basso però.... È un valore che mi aspetterei di dover usare in un tunnel di qualche tipo.... Non su una linea dualstack...

      Sulla vecchia rete mi funzionava tutto bene impostando MSS a 1452 su OPNsense 🤔

      È vero che PPPoE un po' si porta via, ma non dovrebbe mangiare più di 8byte

      • Erik ha risposto a questo messaggio

        Matwolf se faccio un test automatico ottengo 1492. Avevo il problema con eolo che ogni tanto passava da 1492 a 1480 così senza senso però mi creava non pochi grattacapi.

          Matwolf Già sulla vecchia rete avevo dovuto impostare su OPNsense un valore di riferimento per l'MSS clamping di 1452, senza il quale molti siti IPv6 (es. web.telegram.org) non si caricavano.

          Io per quello ho risolto banalmente bloccando dal firewall la subnet di telegram così andava da solo in v4, però non penso sia l'ideale.
          Cosa cambia a livello pratico a fare come dici?

            25 giorni dopo

            Matwolf avendo avuto ancora problemi (evidentemente la regola del firewall non funziona più come bypass vallo a capire...), ho provato anch'io a mettere l'MSS a 1452 e poi a mettere l'MTU a 1452 ma telegram ancora non vuole sentirne di andare....

                • [cancellato]

                • Messaggio #8

                GiaNN ultimamente con telegram, anche con il premium, l'upload è lentissimo.

                  GiaNN Io non ho problemi con telegram usando questa impostazione sull'interfaccia WAN su OPNsense

                  Ho notato che occorre un po' prima che telegram web si riprenda, dopo aver fatto una modifica... servono anche molteplici CTRL+SHIFT+R per ripulire un po' la cache.

                  Qualcosa è comunque cambiato con la nuova rete, ma non sono ancora riuscito a quantificarlo esattamente...

                  • GiaNN ha risposto a questo messaggio

                      Matwolf ah ok, perché io aggiornavo la pagina e ancora non andava

                        Matwolf hai cambiato altro con OPNsense?
                        A me con PFsense nonostante abbia messo MSS a 1452 telegram non vuole sentire di caricare

                        • Matwolf ha risposto a questo messaggio

                            GiaNN Vediamo se hai lo stesso comportamento che ho io.

                            Se io faccio PING a web.telegram.org con un payload di 1445 non ottengo risposta.
                            Se lo abbasso, invece a 1444 mi risponde.

                            Hai anche tu gli stessi valori?

                            ping -6 -l 1445 web.telegram.org

Pinging web.telegram.org [2001:67c:4e8:f004::9] with 1445 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 2001:67c:4e8:f004::9:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
                            ping -6 -l 1444 web.telegram.org

Pinging web.telegram.org [2001:67c:4e8:f004::9] with 1444 bytes of data:
Reply from 2001:67c:4e8:f004::9: time=32ms
Reply from 2001:67c:4e8:f004::9: time=32ms
Reply from 2001:67c:4e8:f004::9: time=32ms
Reply from 2001:67c:4e8:f004::9: time=32ms

Ping statistics for 2001:67c:4e8:f004::9:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 32ms, Maximum = 32ms, Average = 32ms
                            • GiaNN ha risposto a questo messaggio
                            • GiaNN ha messo mi piace.

                                Matwolf da errore il primo e richiesta scaduta il 2o comando

                                
Esecuzione di Ping web.telegram.org [2001:67c:4e8:f004::9] con 1444 byte di dati:
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.

Statistiche Ping per 2001:67c:4e8:f004::9:
    Pacchetti: Trasmessi = 4, Ricevuti = 0,
    Persi = 4 (100% persi),```

ping -6 -l 1445 web.telegram.org

Pinging web.telegram.org [2001:67c:4e8:f004::9] with 1445 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 2001:67c:4e8:f004::9:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), ```
                                • Matwolf ha risposto a questo messaggio

                                    GiaNN Prova a ridurre il valore fino a che non ti risponde. Probabilmente la tua connessione ha un path con MTU inferiore al mio.
                                    P.S. Sicuro che non ci siano ancora delle regole di blocco impostate sul tuo firewall che ti stiano mettendo i bastoni tra le ruote?

                                        Matwolf si lo stava facendo, perché sono un pirla e avevo la regola che bloccava l'IPv6 di telegram, tolta quella però da un generico "errore generale"

                                            GiaNN Ma ti da errore qualsiasi valore tu scelga? Anche se togli completamente l'opzione -l 1444 ?
                                            Stesso comportamento se provi a fare ping di, ad esempio, ipv6.google.com?

                                            • GiaNN ha risposto a questo messaggio

                                                Matwolf stasera poi ricontrollo
                                                A meno che non sia possibile provare anche via VPN senza sminchiare i risultati
                                                EDIT: in ufficio collegandomi con la VPN funziona, da Linux se faccio un ping6 normale risponde e la pagina carica

                                                • Matwolf ha risposto a questo messaggio

                                                    GiaNN La VPN introduce degli ulteriori elementi che falsano i risultati, perché c'è un overhead nel payload (dovuto all'incapsulamento della VPN) che cambia le dimensioni dei pacchetti finali.
                                                    Meglio fare i test direttamente dalla rete locale, senza VPN.

                                                    • GiaNN ha risposto a questo messaggio

                                                        Matwolf eh allora farò stasera, però curioso come che dalla VPN funzioni

                                                        • Matwolf ha risposto a questo messaggio

                                                            GiaNN In realtà è comprensibile. Se è un problema di MTU (come credo che sia) i pacchetti che arrivano dalla VPN sono fisiologicamente più "piccoli" perché dentro la stessa dimensione massima ci deve stare anche tutto quello che serve per far funzionare la VPN.
                                                            Quindi una volta che il pacchetto ha attraversato il tuo firewall (che rimuove tutti gli header della VPN dal payload prima di fare il forward) il payload da inviare a Telegram è più piccolo rispetto a quello che normalmente ti troveresti senza una VPN di mezzo e quindi, probabilmente, non va a sbattere contro i limiti MTU del path tra te e Telegram.

                                                            • GiaNN ha risposto a questo messaggio
                                                            • GiaNN ha messo mi piace.