Diskussion zur Compliance von Reverse Proxies im Heimnetzwerk

Erörterung möglicher Compliance-Probleme und Lösungen beim Einsatz von Reverse-Proxy-Diensten im Heimnetz
Tags:
Categories:

Hintergrund

Vor etwa 90 Tagen stieß ich auf Probleme mit der IPv6-Verbindung von Hubei Telecom. Nach längerer Beobachtung und Analyse fasse ich hier die folgenden Erfahrungen zusammen.

Problem-Analyse

Zunächst wurden zwei mögliche Ursachen vermutet:

  1. PCDN-Nutzungserkennung

    • Keine aktive PCDN-Nutzung
    • Nur gelegentliches BT-Downloaden
    • Upload bereits gedrosselt, Problem besteht jedoch weiterhin

  2. Heimserver als Blog-Quellserver

    • Port über Cloudflare-Back-to-Origin-Regeln festgelegt
    • Könnte von Provider als „geschäftliche Nutzung“ eingestuft werden

Nach dreimonatiger Überprüfung liegt das Problem eher an der Freigabe von HTTP/HTTPS-Serverports nach außen.

Konkrete Symptome

  1. Abnormale IPv6-Status:

    • Erhält /56-Präfix
    • Geräte erhalten globale IPv6-Adresse
    • Kein Zugriff auf das Internet möglich
    • Nur Router im Bridge-Modus des Optischen Netzwerkterminals (ONT) funktioniert normal mit IPv6

  2. Tailscale-Verbindungsprobleme:

    • Quellserver zeigt direkte Verbindung, jedoch ungewöhnliche Latenz (~400ms)
    • Andere Geräte verbinden sich über Relay, haben jedoch niedrigere Latenz (~80ms)

Analyse der Provider-Strategie

Einige Regionen von China Telecom wenden bei häufigen eingehenden HTTP/HTTPS-Verbindungen Maßnahmen zur Drosselung an:

  1. IPv6-Dienstdrosselung

    • Adressvergabe normal
    • Fehlende Routingtabelle
    • Tatsächlich kein Internetzugang

  2. P2P-Verbindungsbeschränkungen

    • Tailscale zeigt direkte Verbindung an
    • Tatsächliche Latenz hoch
    • Bandbreite eingeschränkt

Lösungsansätze

  1. Reverse-Proxy-Dienst deaktivieren:

    • Cloudflare/Alibaba Cloud ESA-Reverse-Proxy deaktivieren
    • Nach mehrmaligem Router-Neustart Normalzustand wiederhergestellt

  2. Domain-Scan-Schutz: Vermeidung der folgenden häufigen Subdomains:

    - home.example.com
- ddns.example.com
- dev.example.com
- test.example.com

  3. Best Practices:

    • GUID zur Erzeugung zufälliger Subdomains verwenden
    • Regelmäßige oder gängige Subdomain-Namen vermeiden
    • Domains regelmäßig wechseln, um Scan-Risiko zu senken