Chez hadoly, tous les services sont adressés en ipv6 en interne. Lorsqu’une requête en ipv4 arrive sur notre réseau, elle est traduite par un nat46 qui transforme l’adresse en ipv6/96 + l’ipv4/32. (tayga + bird)
Jusqu’à il y a peu, nous n’avions jamais observé de problème (Ça ne veut pas dire qu’il n’y en avait pas).
Récemment, un de nos utilisateurs nous a signalé une différence de traitement entre un accès ipv4 vs un accès ipv6. Une requête en ipv4 met 25 secondes de plus qu’une requête ipv6. Ça correspond au comportement par défaut de la protection anti brute force de nextcloud. Confirmé dans les logs.
Sauf que la blackliste opère un /64. Une erreur de login par un client en ipv4 only a pour conséquence de retarder de 25s toutes les requêtes en ipv4 de tous les clients ipv4 only. C’est brutal.
Nous avons contourné le problème mais ce n’est pas satisfaisant même si cela supprime le faux positif.
De fait, si nous avions choisi une infrastructure interne ipv4 only et un front ipv6|ipv4, nous n’aurions pas ce problème. Mais bon… On ne peut pas non plus blamer Nextcloud de faire un choix par défaut différent du notre. Cependant, on ne peut pas modifier ce comportement car il n’est pas configurable dans nextcloud.
Du coup, des chatons ont-ils été confrontés à ce même comportement, trouvés des solutions ? Je pense à @chapril qui, de mémoire, utilise également nat64 ?
PS Notre machine s’appelle perceval. Mais ça n’a aucun rapport.