avn

Добрый день! Поменял диск с sata на nvme, начались постоянные отвалы диска. 2 минуты простоя, диск отвалился. Как диагностировать? В логах, после отвала: [I] Jan 19 23:14:41 ndm: Core::Syslog: the system log has been cleared. [I] Jan 19 23:18:39 dropbear[2517]: Exit (root) from <192.168.97.123:53389>: Exited normally [I] Jan 19 23:18:40 dropbear[4655]: Child connection from 192.168.97.123:53477 [I] Jan 19 23:18:40 dropbear[4655]: Password auth succeeded for 'root' from 192.168.97.123:53477 [E] Jan 19 23:19:01 kernel: sd 1:0:0:0: timing out command, waited 60s [I] Jan 19 23:19:11 dropbear[4655]: Exit (root) from <192.168.97.123:53477>: Exited normally [I] Jan 19 23:19:16 dropbear[4931]: Child connection from 192.168.97.123:53479 [I] Jan 19 23:19:16 dropbear[4931]: Password auth succeeded for 'root' from 192.168.97.123:53479 [E] Jan 19 23:19:22 ndm: Core::Scgi::Session: unsupported method "PROPFIND" for "/Data1/". [W] Jan 19 23:19:24 dnsmasq[5384]: possible DNS-rebind attack detected: dns.msftncsi.com [E] Jan 19 23:20:01 kernel: sd 1:0:0:0: timing out command, waited 60s

Так, если мне надо часть трафика гнать на wg ipv6 и у меня есть префикс от провайдера на eth3 и на клиентах bridge, есть адрес ipv6 на wg0, зачем мне нат и подсеть на wg0?

Как не выкладывал. Вот скриншот

Может проголосуем за реализацию хотя бы ipset, раз нам отказали в маршрутизации. Это позволит отказаться от промежуточных dns-серверов dns-masq,AGH, и прочих.

(config)> ipv6 route 2a12:0000:0000:99::/64 Wireguard0 2a12:0000:0000:9700::91 Network::Ip6::RoutingTable error[4980739]: invalid route format. Для любого маршрута. Без шлюза работает. И второе, почему nat на префиксе 2a12::/64 поднимается и префикс не раздается?

@Le ecureuil Есть мысли, и еще маршрут не создается. Конфигурация была отослана скрытым сообщением выше. (config)> ipv6 route 2a12:0000:0000:9700::/56 Wireguard0 2a12:0000:0000:9700::91 auto reject Network::Ip6::RoutingTable error[4980739]: invalid route format.

Там же реальный префикс 2a12::/64

На 4.3a13 не работает (config)> ipv6 route 2a12:0000:0000:9700::/56 Wireguard0 2a12:0000:0000:9700::91 auto reject Network::Ip6::RoutingTable error[4980739]: invalid route format.

Проверил. 4.3.a13 префикс не раздается в сеть клиентам, nat не выключился.

Ната нету, если вы его на vps не настроили. На vps нужно настроить ndp proxy. P/S/ Посмотрел нынче на кинетик nat поднят. Раньше не было и пакеты вроде как ходили.

Попробуйте, и узнаем

Возможна. Настройка для интерфейса wg для ipv6 приведена постом выше как для сервера wg, так и для клиента wg.

Т.е. настройка примерно такая

У меня так работает на версии 4.3a7. Нативный ipv6 - 2a05::, WireGuard VPS - 2a09::. Ip (2a09::) прописан только на wg интерфейсе. У клиентов только нативные ип (2a05::). Трейс через провайдера Трейс еще через другой WG (wg2 ipv6 - 2a12::) ipconfig

А зачем это все, если есть нативный ipv6 от провайдера? Будет работать цепочка без проблем и ната (native ipv6-> wg ipv6(vps) -> ipv6 vps)

Для статистики kn-1012 4.3a7

Попробуйте и узнаем. Для начала на сервере пропишите подсеть ipv6 и адрес ipv6 сервера. У каждого клиента пропишите ipv6 из этой подсети. Далее для сервера, каждый ip клиента добавьте в ndp proxy ip -6 neigh add proxy 2a00:5940:00:91 dev ens3 ip -6 neigh add proxy 2a00:5940:00:92 dev ens3 ip -6 neigh add proxy 2a00:5940:00:93 dev ens3

Я раздавал ipv6 клиентам Wireguard (пирам) путем прописывания ipv6 адреса у каждого клиента.

А в качестве сервера кто? Vds? Если vds то можно клиентам раздать ipv6 от vds. Я так делаю. Без nat.

Правильно так: Или так: https://bgp.he.net/AS35807#_prefixes https://bgp.he.net/AS35807#_prefixes6

Так и делаю. Но мне кажется это не правильно.

С этими правилами не работает tproxy, если используется порт 443. Стоит изменить порт, на отличный от 443 и все приходит в норму.

4.3a9 не исправлено

Для ipv6 нат не нужен. Для ленивых и тех, кто не осилил ipv6, нужен. Т.е нужно разделение на nat4 и nat6. Примеры: 1. У меня есть ipv6 (2000::/3) от провайдера, я могу раздать ipv6 адреса из своего диапазона своим клиентам. Nat6 не нужен. Но надо настроить neigh proxy (ndp). 2. У меня есть ipv6 (2000::/3) от провайдера, но я ленивый и раздал wg-клиентам локальные ip fс00::/7 Nat6 нужен. Я придерживаюсь мнения, что nat для v6 вообще не нужен. Тем кому нужен, пусть через entware включают. Поэтому под понятием NAT предлагаю понимать только NAT4.

У меня нету таких цепочек. 4.3.a7 $ iptables -nvL _NDM_DNS_FORWARD_BLOCK iptables: No chain/target/match by that name.