squid IPv6 präferieren

[Marco Moock]

Hallo zusammen!

Ich habe einen Squid am laufen, der eigentlich nur dazu dient, dumme
und nervige "Verifizierungen" von Accounts zu verhindern, wenn man sich
von außerhalb des gewöhnlichen IP-Bereichs mal wo einloggt (heute Morgen
ging mir ebay-Kleinanzeigen damit wieder massiv auf den Sack mit dem
Mist).

Der hat aber nun den Effekt, dass er bei der Verbindung IPv4 bevorzugt,
was blöd ist wegen NAT. Damit ist es dann wieder ein anderer IP-Bereich.

Ich habe bereits
happy_eyeballs_connect_timeout 3000
happy_eyeballs_connect_gap 3000

gesetzt, das ändert aber nichts.

Jetzt habe ich gelesen, dass das damit zusammenhängt, welche
DNS-Anfrage (A/AAAA) zuerst beantwortet wird.
Auffällig ist da nichts, aber wenige ms sind wohl ausschlaggebend.

Kann man das irgendwie konfigurieren, sodass IPv6 bevorzugt wird und
nur nach nem langen Timeout ein Fallback stattfindet?


--
Gruß
Marco Moock

[Tim Ritberg]

Am 13.04.23 um 09:08 schrieb Marco Moock:

Du meins dies hier?
https://serverfault.com/questions/987563/squid-proxy-using-ipv6-for-outgoing-traffic-instead-of-ipv4

Tim

[Marco Moock]

Am 13.04.2023 schrieb Tim Ritberg <t...@server.invalid>:

> Du meins dies hier?
> https://serverfault.com/questions/987563/squid-proxy-using-ipv6-for-outgoing-traffic-instead-of-ipv4

Das Gegenteil. Ich hätte gerne das Verhalten, was er abstellen will.

dns_v4_first ist aber deprecated, sodass mir das nicht weiter hilft.

[Stefan Möding]

Marco Moock <mo...@posteo.de> writes:

> Jetzt habe ich gelesen, dass das damit zusammenhängt, welche
> DNS-Anfrage (A/AAAA) zuerst beantwortet wird.
> Auffällig ist da nichts, aber wenige ms sind wohl ausschlaggebend.

> Kann man das irgendwie konfigurieren, sodass IPv6 bevorzugt wird und
> nur nach nem langen Timeout ein Fallback stattfindet?

Nach meinem Kenntnisstand nutzt Squid für die DNS Auflösung einen internen
Resolver; dazu werden beim Start die Nameserver aus /etc/resolv.conf
gelesen. Das beschriebene Verhalten lässt sich mit Betriebssystemmitteln
(z.B. in /etc/gai.conf oder /etc/resolv.conf) daher nicht beeinflussen.

Eventuell kannst du einen dedizierten DNS-Server vorschalten (Bind,
Dnsmasq, PowerDNS, ...), der mit längeren Timeouts arbeitet, bevor er eine
Anfrage beantwortet.

--
Stefan

[Marco Moock]

Am 13.04.2023 schrieb Stefan Möding <Apr2023....@spamgourmet.com>:

> Eventuell kannst du einen dedizierten DNS-Server vorschalten (Bind,
> Dnsmasq, PowerDNS, ...), der mit längeren Timeouts arbeitet, bevor er
> eine Anfrage beantwortet.

Es ist ein lokaler BIND9.

Da ist aber nichts speziell konfiguriert, was Antworten verzögert (wozu
auch?).

[Tim Ritberg]

Am 13.04.23 um 10:38 schrieb Marco Moock:

Nun heisst es aber laut Docu, dass er immer zu erst ipv6 macht.
DaS würde sich ändern, zB durch die o.g. Option.
Vielleicht fehlt dir eine ACL, damit er überhaupt raus darf.

Tim

[Marco Moock]

Am 13.04.2023 schrieb Tim Ritberg <t...@server.invalid>:

> Am 13.04.23 um 10:38 schrieb Marco Moock:
> > Am 13.04.2023 schrieb Tim Ritberg <t...@server.invalid>:
> >
> >> Du meins dies hier?
> >> https://serverfault.com/questions/987563/squid-proxy-using-ipv6-for-outgoing-traffic-instead-of-ipv4
> >>
> >
> > Das Gegenteil. Ich hätte gerne das Verhalten, was er abstellen will.
> >
> > dns_v4_first ist aber deprecated, sodass mir das nicht weiter hilft.
> >
>
> Nun heisst es aber laut Docu, dass er immer zu erst ipv6 macht.
> DaS würde sich ändern, zB durch die o.g. Option.

Aus der Doku (/usr/share/doc/squid-common/squid.conf.documented.gz):

TAG: dns_v4_first
Remove this line. Squid no longer supports preferential treatment of
DNS A records.

> Vielleicht fehlt dir eine ACL, damit er überhaupt raus darf.

Es ging damit früher und geht auch, wird aber nicht bevorzugt.

Das ist die Konfig:

http_port 443
cache deny all
#access_log none
cache_log none
auth_param basic program /usr/lib/squid/basic_ncsa_auth
/etc/squid/squid.passwd auth_param basic children 5
auth_param basic realm Mein-Proxy
auth_param basic credentialsttl 3 hours
auth_param basic casesensitive off
happy_eyeballs_connect_timeout 3000
happy_eyeballs_connect_gap 3000

acl users proxy_auth REQUIRED
acl sectionx proxy_auth REQUIRED #ist die nicht unnötig?
http_access allow users

[Marco Moock]

Am 13.04.2023 schrieb Tim Ritberg <t...@server.invalid>:

> Am 13.04.23 um 10:38 schrieb Marco Moock:
> > Am 13.04.2023 schrieb Tim Ritberg <t...@server.invalid>:
> >
> >> Du meins dies hier?
> >> https://serverfault.com/questions/987563/squid-proxy-using-ipv6-for-outgoing-traffic-instead-of-ipv4
> >>
> >
> > Das Gegenteil. Ich hätte gerne das Verhalten, was er abstellen will.
> >
> > dns_v4_first ist aber deprecated, sodass mir das nicht weiter hilft.
> >
>
> Nun heisst es aber laut Docu, dass er immer zu erst ipv6 macht.
> DaS würde sich ändern, zB durch die o.g. Option.

Aus der Doku (/usr/share/doc/squid-common/squid.conf.documented.gz):

TAG: dns_v4_first
Remove this line. Squid no longer supports preferential treatment of
DNS A records.

> Vielleicht fehlt dir eine ACL, damit er überhaupt raus darf.

[Marco Moock]

Am 13.04.2023 schrieb Tim Ritberg <t...@server.invalid>:

> Am 13.04.23 um 10:38 schrieb Marco Moock:
> > Am 13.04.2023 schrieb Tim Ritberg <t...@server.invalid>:
> >
> >> Du meins dies hier?
> >> https://serverfault.com/questions/987563/squid-proxy-using-ipv6-for-outgoing-traffic-instead-of-ipv4
> >>
> >
> > Das Gegenteil. Ich hätte gerne das Verhalten, was er abstellen will.
> >
> > dns_v4_first ist aber deprecated, sodass mir das nicht weiter hilft.
> >
>
> Nun heisst es aber laut Docu, dass er immer zu erst ipv6 macht.
> DaS würde sich ändern, zB durch die o.g. Option.

Aus der Doku (/usr/share/doc/squid-common/squid.conf.documented.gz):

TAG: dns_v4_first
Remove this line. Squid no longer supports preferential treatment of
DNS A records.

> Vielleicht fehlt dir eine ACL, damit er überhaupt raus darf.

[Marcel Mueller]

Am 13.04.23 um 09:08 schrieb Marco Moock:

> Jetzt habe ich gelesen, dass das damit zusammenhängt, welche
> DNS-Anfrage (A/AAAA) zuerst beantwortet wird.
> Auffällig ist da nichts, aber wenige ms sind wohl ausschlaggebend.

> Kann man das irgendwie konfigurieren, sodass IPv6 bevorzugt wird und
> nur nach nem langen Timeout ein Fallback stattfindet?

Kein gute Idee. Einige Server haben immer noch keine IPV6-Adresse. Da
wird's dann übel zäh.

Vielleicht wäre für den Zweck ein VPN mit NAT sinnvoller.


Marcel

[Marco Moock]

Am 13.04.2023 um 16:21:36 Uhr schrieb Marcel Mueller:

> Am 13.04.23 um 09:08 schrieb Marco Moock:
> > Jetzt habe ich gelesen, dass das damit zusammenhängt, welche
> > DNS-Anfrage (A/AAAA) zuerst beantwortet wird.
> > Auffällig ist da nichts, aber wenige ms sind wohl ausschlaggebend.
>
> > Kann man das irgendwie konfigurieren, sodass IPv6 bevorzugt wird und
> > nur nach nem langen Timeout ein Fallback stattfindet?
>
> Kein gute Idee. Einige Server haben immer noch keine IPV6-Adresse. Da
> wird's dann übel zäh.

Nein, denn das ist der Normalfall. AAAA vorhanden --> IPv6 nutzen. Kein
AAAA vorhanden, A benutzten und IPv4 nutzen.

Happy Eyeballs ist nur ein Rückfall für Pfusch bei IPv6 - der leider
noch zu oft vorkommt.

[Marcel Mueller]

Am 13.04.23 um 18:20 schrieb Marco Moock:

>>> Kann man das irgendwie konfigurieren, sodass IPv6 bevorzugt wird und
>>> nur nach nem langen Timeout ein Fallback stattfindet?
>>
>> Kein gute Idee. Einige Server haben immer noch keine IPV6-Adresse. Da
>> wird's dann übel zäh.
>
> Nein, denn das ist der Normalfall. AAAA vorhanden --> IPv6 nutzen. Kein
> AAAA vorhanden, A benutzten und IPv4 nutzen.

Ja, aber du sprachst davon, die A Antwort stark zu verzögern, damit sie
nicht vor der AAAA-Antwort eintreffen kann. Die Verzögerung würde dann
für alle IPV4-Verbindungen gelten. Und glaube mir, selbst eine Sekunde
DNS-Delay nervt maximal.

> Happy Eyeballs ist nur ein Rückfall für Pfusch bei IPv6 - der leider
> noch zu oft vorkommt.

Eben. Es gibt alle möglichen Server, bei denen IPV6 nicht oder nicht
richtig funktioniert.


Marcel