WireGuard本身是支持ipv6作为endpoint使用的,可是在生产环境应用它组网时,却出现了能够ping通对方主机,能够访问web服务器,但是无法传输大文件的奇怪问题。在这几天,我就该问题进行了深入分析,并终于找到了症结所在。
问题特点
尝试将endpoint切换到ipv4时,一切正常,文件可以顺利传送。
分析
由问题特点推断,是协议的改进使得原来的ipv4报文无法通过ipv6的包装顺利传送到对端。上网查找ipv6与ipv4的区别,并逐一排查。最后发现:ipv6取消了分片,在分组过大时会直接丢弃。因此如果wg虚拟网卡接口的mtu仍然设置为与ipv4相同(默认为1420),当路径上有无法支持这么大mtu的节点时,数据包将直接被丢弃,使上层协议传送出错。而ping与简单的web访问因为数据包无法达到mtu限制,从而可以正常通过。
解决办法
将wg网卡的mtu缩小,设置为1280即可。