handymenny Purtroppo con stubby su OpenWRT non posso inserire regole di esclusione. E comunque vorrei evitare di farlo, altrimenti ci dovrei sempre stare attenta, nel caso cambino i nomi di dominio o altre eventualità...

Ho provato a inserire i Quad9 con supporto ECS. Fatto un solo test su RaiPlay, niente cache. Mi manda a Torino, ma stavolta non passo per l'estero.

itgate.topix.it (2001:7f8:23:ffff::3)  24.751 ms *  26.287 ms
po1.nx01.colo.TRN2.ipv6.itgate.net (2001:1418:1::1242)  26.426 ms *  26.266 ms
2001:1418:100::d5fe:d13 (2001:1418:100::d5fe:d13)  27.910 ms *  27.723 ms

Mi dispiace non usare le cache per Cloudflare che avevo impostato più che altro per il DoT su tutta la rete. Dovrò impostarlo soltanto nel browser dove voglio avere più privacy.

      celeste_lightblue Dovrò impostarlo soltanto nel browser dove voglio avere più privacy.

      Siamo lì a livello di privacy
      Tieni presente che Fastweb, a meno che non usi una VPN, vede benissimo tutti i domini del tuo traffico, SSL compreso (dallo SNI nell’header) anche se crittografi le richieste dns verso fuori.

      Tutti gli isp più grandi fanno DPI

          • [cancellato]

          • Messaggio #64

          Il problema è che DoH/DoT sono pensati per un'estrema centralizzazione dei servizi DNS (cui prodest, veramente?), e quindi si sposano male con il conditional forwarding. Non so se a livello dnsmasq puoi decidere cosa va verso Stubby oppure no.

          celeste_lightblue Ho provato a inserire i Quad9 con supporto ECS. Fatto un solo test su RaiPlay, niente cache

          Perché Akamai richiede un accordo per abilitare la funzionalità ECS e le condizioni di questo accordo non si sposano bene con la filosofia di Quad9 (lo so perché ho chiesto a Quad9).

            25 giorni dopo

            Comunque, tornando in topic, dalle varie osservazioni che ho effettuato da cliente Fastweb posso dire che il tunnel 6RD funziona male perché è lento. Ma lento non per quanto riguarda il throughput, ma piuttosto per la latenza.

            In realtà nella normale navigazione non si nota una vera e propria lentezza. Avevo fatto vari speedtest solo IPv6 e riuscivo a saturare la VDSL. Su Youtube, per esempio, navigo solo in IPv6 (a differenza di Prime/Twitch) e guardo tutti i video alla massima qualità senza interruzioni.

            Il problema della "lentezza" è proprio legato alla latenza perché generalmente i ping su destinazioni IPv6 ci mettono di più rispetto alle controparti IPv4. Un esempio lampante è anche il test di https://ip6.biz/ dove con Fastweb l'ICPM mi segna sempre un valore che non scende sotto i 30 ms. Poi abilito la VPN e magicamente ottengo sui 12-15 ms.

            Secondo me non è che il tunnel funzioni del tutto male, perché altrimenti non dovrebbe riuscire a saturare la banda. Probabilmente questa latenza è legata a qualche impostazione di traffic shaping di Fastweb che da priorità all'IPv4. Peccato che su una connessione WiFi o Ethernet dove sono entrambi disponibili IPv4 e 6, quest'ultimo è preferito, dunque si riesce ad avere buone latenze solo sulle destinazioni raggiungibili esclusivamente in IPv4.

            Sul gaming non sono esperta, ma se i giochi online usassero anche l'IPv6, Fastweb di default non sarebbe una linea adatta...

              • [cancellato]

              • Messaggio #68

              La latenza misurata con semplici ping risente delle varie priorità dei dispositivi in rete, andrebbe misurata ad esempio su un flusso UDP. Comunque tutte le forme di tunnel/mapping dipendono dalla capacità degli endpoint di gestire il traffico che gli arriva.

              celeste_lightblue Peccato che su una connessione WiFi o Ethernet dove sono entrambi disponibili IPv4 e 6, quest'ultimo è preferito,

              Volendo si può cambiare la priorità.

              celeste_lightblue ma se i giochi online usassero anche l'IPv6

              XBox mi pare che in parte lo usi, tant'è che dove c'è solo IPv4 usa(va) Teredo.

                  gandalf2016 SNI nell’header

                  Encrypted Client Hello è in deployment proprio in questo periodo sui browser. Naturalmente ci vorrà un po' prima che i web server lo adottino.

                  Tutti gli isp più grandi fanno DPI

                  Ah sì? Per sapere quali siti vengono visitati?

                      Ah sì? Per sapere quali siti vengono visitati?

                      Marco25 Per dare priorità a determinati tipi di traffico, immagino...

                      • Marco25 ha risposto a questo messaggio

                          Marco25 Per avere una idea generale di che tipo di traffico aggregato passa. DDoS mitigation principalmente.

                          Marco25 Infatti non è per quello.

                              8 giorni dopo

                              Avevo dimenticato un altro dettaglio. Un ulteriore difetto dell'IPv6 di Fastweb è che il border relay si trova al nord. Non cambierebbe molto per quelli del nord stesso, magari neanche per quelli del centro, ma dal sud Italia si esce su rete IPv6 direttamente al nord, dunque se potessi raggiungere una CDN di Roma, in IPv6 la salto comunque e raggiungo sempre Milano. Una prova li si ha con il traceroute sui server DNS di Cloudfare:

                              IPv4 1.1.1.1

                               9  cloudflare.rom.namex.it (193.201.28.33) 
10  one.one.one.one (1.1.1.1)

                              IPv6 2606:4700:4700::1111

                               7  cloudflare-v6.mix-it.net (2001:7f8:b:100:1d1:a5d1:3335:167) 
 8  2400:cb00:270:3:: (2400:cb00:270:3::)  
 9  one.one.one.one (2606:4700:4700::1111)

                              Come si può ben notare, su IPv4 si raggiunge il Namex di Roma. Su IPv6 invece, si potrebbe raggiungere lo stesso Roma, ma si esce dal tunnel al nord (Milano?), quindi si rimane lì e si va al Mix di Milano. Perché allungare verso sud? Risultato: in IPv6 a Roma non si va mai, a meno che non ci sia alternativa, e praticamente si farebbe Sud-Milano-Roma.

                              Lo si nota anche dal ping.

                              PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
64 bytes from 1.1.1.1: icmp_seq=1 ttl=57 time=9.88 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=57 time=8.93 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=57 time=9.33 ms
64 bytes from 1.1.1.1: icmp_seq=4 ttl=57 time=9.60 ms
64 bytes from 1.1.1.1: icmp_seq=5 ttl=57 time=9.81 ms
64 bytes from 1.1.1.1: icmp_seq=6 ttl=57 time=9.58 ms
64 bytes from 1.1.1.1: icmp_seq=7 ttl=57 time=10.3 ms
64 bytes from 1.1.1.1: icmp_seq=8 ttl=57 time=14.2 ms
64 bytes from 1.1.1.1: icmp_seq=9 ttl=57 time=9.44 ms
64 bytes from 1.1.1.1: icmp_seq=10 ttl=57 time=16.7 ms
                              64 bytes from 2606:4700:4700::1111: icmp_seq=1 ttl=57 time=18.1 ms
64 bytes from 2606:4700:4700::1111: icmp_seq=2 ttl=57 time=21.9 ms
64 bytes from 2606:4700:4700::1111: icmp_seq=3 ttl=57 time=17.9 ms
64 bytes from 2606:4700:4700::1111: icmp_seq=4 ttl=57 time=22.9 ms
64 bytes from 2606:4700:4700::1111: icmp_seq=5 ttl=57 time=19.4 ms
64 bytes from 2606:4700:4700::1111: icmp_seq=6 ttl=57 time=19.0 ms
64 bytes from 2606:4700:4700::1111: icmp_seq=7 ttl=57 time=19.6 ms
64 bytes from 2606:4700:4700::1111: icmp_seq=8 ttl=57 time=18.2 ms
64 bytes from 2606:4700:4700::1111: icmp_seq=9 ttl=57 time=19.1 ms
64 bytes from 2606:4700:4700::1111: icmp_seq=10 ttl=57 time=27.6 ms

                              Ora, per carità, 10 ms in più di latenza non sono una tragedia, ma certamente non è ottimizzato. Se proprio non vogliono ammodernare la rete sul dual stack (magari perché a vecchiotta, chissà...), almeno un border relay a Roma potrebbero metterlo.

                                celeste_lightblue Ma stai usando il Fastgate o modem libero? Perché guarda che io mi ricordavo che c'era un gateway a Roma

                                    celeste_lightblue ma sei sicuro ? A me sembra strano.

                                    Banalmente potrebbe essere che il peering v6 con Cloudflare sia solo a Milano e non a NaMeX.
                                    Ben diverso dal fatto che non c’è un gateway a Roma. Oppure Cloudflare stessa potrebbe mandare il traffico v6 a Milano.
                                    Il routing tra v4 e v6 è possibile sia diverso.

                                    Prova a fare traeroute verso lo Speedtest server di Dimensione di Roma, con cui Fastweb è connessa perché gli fanno da transito.
                                    Questo dovrebbe andare giusto.
                                    2a07:7e87::1:2

                                    P.S: La rete è dual stack, è l’accesso delle CPE residenziali a non esserlo.

                                        ErnyTech Fastgate. Perché? Cosa cambia con un altro modem?

                                        gandalf2016 Sono una lei. Perché? Cloudflare non dovrebbe avere un server IPv6 a Roma? Adesso non posso fare il traceroute. Provo dopo.

                                        Update: Parlavi di peering con Cloudflare. Strano che Fastweb non lo abbia al Namex. È comunque una configurazione non ottimizzata. Appena posso, provo a fare il traceroute.

                                              celeste_lightblue perdonami per il lui.

                                              Intendo che potrebbe avere una preference più alta su Milano Cloudflare per IPv6 piuttosto che NaMeX e andare via MIX.

                                                  gandalf2016 Fatto il traceroute.

                                                   3  2001:b00:1:1:2::82 (2001:b00:1:1:2::82) 
 4  2001:b00:1:1:2::82 (2001:b00:1:1:2::82) 
 5  2001:b00:1:1:4::78 (2001:b00:1:1:4::78) 
 6  2001:b00:1:1:4::cb (2001:b00:1:1:4::cb) 
 7  * 2a07:7e87::2 (2a07:7e87::2) 
 8  * * *
 9  2a07:7e87::1:2 (2a07:7e87::1:2)

                                                  Da questo non si capisce molto perché i vari hop della rete Fastweb potrebbero passare da Milano a Roma. Però credo che tu abbia ragione perché con il ping ho risultati simili al quello del DNS IPv4 di Cloudflare al Namex.

                                                  PING 2a07:7e87::1:2(2a07:7e87::1:2) 56 data bytes
64 bytes from 2a07:7e87::1:2: icmp_seq=1 ttl=57 time=12.0 ms
64 bytes from 2a07:7e87::1:2: icmp_seq=2 ttl=57 time=10.3 ms
64 bytes from 2a07:7e87::1:2: icmp_seq=3 ttl=57 time=11.1 ms
64 bytes from 2a07:7e87::1:2: icmp_seq=4 ttl=57 time=10.0 ms
64 bytes from 2a07:7e87::1:2: icmp_seq=5 ttl=57 time=10.5 ms
64 bytes from 2a07:7e87::1:2: icmp_seq=6 ttl=57 time=10.3 ms
64 bytes from 2a07:7e87::1:2: icmp_seq=7 ttl=57 time=10.0 ms
64 bytes from 2a07:7e87::1:2: icmp_seq=8 ttl=57 time=10.1 ms
64 bytes from 2a07:7e87::1:2: icmp_seq=9 ttl=57 time=10.5 ms
64 bytes from 2a07:7e87::1:2: icmp_seq=10 ttl=57 time=11.2 ms

                                                  Quindi il tunnel esce a Roma, ma su IPv6 si va comunque a Milano per Cloudflare. Chissà se è Cloudflare che non ha server IPv6 a Roma, oppure Fastweb che fa peering con Cloudflare al Namex solo in IPv4.

                                                  Quindi deduco che Fastweb ha più border relay sparsi per la sua rete. Mica quelli del nord scendono con il tunnel a Roma?

                                                      celeste_lightblue Chissà se è Cloudflare che non ha server IPv6 a Roma, oppure Fastweb che fa peering con Cloudflare al Namex solo in IPv4.

                                                      Cloudflare ha sicuramente IPv6 al Namex, qui un traceroute con Aruba:

                                                      Traccia instradamento verso 2606:4700::1111 su un massimo di 30 punti di passaggio

  1    <1 ms    <1 ms    <1 ms  2a00:6d43:xxxx
  2     *        *        *     Richiesta scaduta.
  3    20 ms    21 ms    22 ms  2a00:6d40:1::1:1
  4    20 ms    20 ms    20 ms  2a00:6d40:1::1:109
  5    24 ms    24 ms    24 ms  cloudflare.rom.namex.it [2001:7f8:10::1:3335]
  6    24 ms    19 ms    20 ms  2606:4700::1111

                                                          celeste_lightblue Quindi deduco che Fastweb ha più border relay sparsi per la sua rete

                                                          Esatto, con lo stesso IP in anycast. Prende in automatico il più vicino

                                                          celeste_lightblue Fastweb che fa peering con Cloudflare al Namex solo in IPv4

                                                          Si può essere, oppure anche se lo fanno ha precedenza Milano per qualche ragione.
                                                          In IPv4 anche dal nord va a NaMeX per esempio da Fastweb, almeno era così quando provai.

                                                          Potrebbe anche essere Cloudflare stessa che bilancia.

                                                              fl4co Sì, vedo. Comunque l'indirizzo preciso è 2606:4700:4700::1111 (riportato qui). Con Fastweb si va sempre a Milano, sarebbe interessante sapere perché.

                                                                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                  P.I. IT16712091004 - info@fibraclick.it

                                                                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile